TCC Final

Capítulo I – Fundamentação Teórica
Serão mostrados os conceitos técnicos para o embasamento do trabalho,
abrangendo suas definições e seus respectivos autores.
1.1 História das Redes de Computadores
O aparecimento das redes de computadores está ligado diretamente com os
avanços das telecomunicações, e iniciaram-se de fato em 1844, por Samuel Morse,
transmitindo a primeira mensagem em uma linha entre Washington e Baltimore, era
o Código Morse.
Dentre os vários acontecimentos destacam-se as instalações de redes telefônicas,
invenção do rádio e posteriormente a televisão, o surgimento da indústria dos
computadores e o lançamentos de satélites de comunicação.
Segundo Tanenbaum (“Redes de Computadores”, 1997), em meados da
década de 1960 foi criada uma rede que suportaria uma guerra nuclear, pois as
informações não ficariam retidas em um único lugar, as redes de telefonia eram
vulneráveis, já que se houve perda da linha ou comutação locais, estes ficariam
isolados, então o Pentágono atribuiu esta tarefa para uma divisão científica:
ARPA (Advanced Research Projects Agency): Pesquisa e desenvolvimento
de redes para fins militares em 1957. Foi uma resposta dos EUA ao lançamento do
Sputnik pela ex-União Soviética.
A ARPANET base da Internet como é conhecida hoje. As experiências
realizadas demonstraram que os protocolos da ARPANET não podiam ser
executados através de várias redes, levando assim a muitas pesquisas, chegando à
invenção dos protocolos TCP/IP e do modelo TCP/IP, com o objetivo de gerenciar a
1
comunicação inter-redes de modo que cada vez mais redes eram conectadas à
ARPANET.
O crescimento foi contínuo e em 1990 eram 3 mil redes e 200 mil máquinas
na Internet, o número de usuários praticamente dobrava a cada ano.
Segundo Carlos E. Morimoto as redes passaram por um longo processo de
evolução antes de chegarem aos padrões utilizados atualmente. As primeiras redes
de computadores foram criadas ainda durante a década de 60, como uma forma de
transferir informações de um computador a outro. Na época, o meio mais usado para
armazenamento externo de dados e transporte ainda eram os cartões perfurados,
que armazenavam poucas dezenas de caracteres cada (o formato usado pela IBM,
por exemplo, permitia armazenar 80 caracteres por cartão).
Os cartões são uma das formas mais lentas, demorada e trabalhosas de
transportar quantidades de informações muito grandes. São cartões de cartolina
com furos, que representam os bits 1 e 0 armazenados. Com mostra a figura 01:
Figura 01. Cartão perfurados representando os bits 1 e 0 armazenados. Fonte:

http://www.guiadohardware.net/tutoriais/historia-redes/ em 22/03/2010.
2
Na década de 1969 até 1972 foi criada a ARPANET, o início da Internet que é
conhecida e utilizada ainda hoje.
A redes começou a ser utilizada em dezembro de 1969, com apenas 4 nós,
que recebiam os nomes de SRI, UCLA, ECSB e UTAH. Eles eram utilizados no
Stanford Research Institute, na Universidade da Califórnia, na Universidade de
Sante Barbara e na Universidade de Utah, nos Estados Unidos. Esses nós eram
interligados através de links de 50 kbps, criados usando linhas telefônicas
dedicadas, adaptadas para uso como link de dados.
Nessa época 50 kbps para conexões em longa distância era uma velocidade
impressionante, principalmente se considerar que na década de 1970 os modems
domésticos transmitiam apenas 110 bps (bits por segundo), o que corresponde por
minuto apenas 825 caracteres de texto.
As redes inicial foi criada para teste, com o desafio de interligar 4
computadores de diferentes arquiteturas, mas rapidamente essa rede cresceu e três
anos depois já interligava 30 instituições, que incluía universidades, instituições
militares e empresas. Cada um desses nós eram interligados a pelo menos dois
outros (com exceção dos casos em que isso realmente não era possível), de forma
que a rede pudesse continuar funcionando mesmo com a interrupção de várias
dessas conexões, para garantir a operação da rede.
As mensagens eram roteadas entre nós e as interrupções nos links eram
detectadas rapidamente, de forma que a rede era bastante confiável. Enquanto
existisse um caminho possível, os pacotes eram roteados até chegarem ao seu
destino de forma muito similar ao que se utiliza hoje na Internet como mostra a figura
02:
3
Figura 02. Ilustração, cortesia do computerhistory.org, mostra o diagrama da ARPANET em 1973.
Fonte: http://www.guiadohardware.net/tutoriais/historia-redes/ em 22/03/2010.
No ano de 1974 surge o TCP/IP, que se tornou o protocolo definitivo para o
uso na ARPANET e tempo depois na Internet. Uma rede interligando diversas
universidades permitiu o livre tráfego de informações, desenvolvendo os recursos
que é usado atualmente, como Telnet, email e o FTP, que permitiam e permitem que
os usuários conectados troquem informações, acessar outros computadores
remotamente e compartilhar arquivos. Nessa época, mainframes com poder de
processamento eram raros e muito caros, de forma que acabavam sendo
compartilhados entre diversos pesquisadores e técnicos, que podiam estar situados
em qualquer ponto da rede.
Um dos computadores mais poderosos da época, acessado quase que
unicamente via rede, era o Cry-1 (fabricado em 1976). Ele operava a 80MHZ,
4
executando duas instruções por ciclo, e contava com 8MB de memória, uma
configuração que seria alcançada somente pelas máquinas domésticas, quase duas
décadas depois, Cry-1 mostrado na figura 03:
Figura 03. Cray-1. Fonte: http://www.guiadohardware.net/tutoriais/historia-redes/ em 22/03/2010.
Com o crescimento das redes, manter e distribuir listas de todos os hosts
conectados foi se tornando cada vez mais dispendioso. E em 1980 passaram a ser
usados nomes de domínio, dando origem ao “Domain Name System”, ou apenas
DNS.
A segunda parte da história começa em 1973 dentro do PARC (o laboratório
de desenvolvimento da Xerox, em Palo Alt, EUA), quando foi feito o primeiro teste de
transmissão de dados usando o padrão Ethernet.
5
Foi no PARC onde várias outras tecnologias importantes, como a interface
gráfica e o mouse, foram originalmente desenvolvidas. O teste deu origem ao
primeiro padrão Ethernet, que transmitia dados a 2.94 megabits através de cabos
coaxiais e permitia a conexão de até 256 estações de trabalho esquema Ethernet
mostrado na figura 04.
Figura 04. Padrão Ethernet. Fonte: http://www.guiadohardware.net/tutoriais/historia-redes/ em

22/03/2010.
“Ether” era o termo usado para descrever o meio de transmissão dos sinais
em um sistema. Na Ethernet original, o “ether” era um cabo coaxial, mas em outros
padrões pode ser usado um cabo de fibra óptica, ou até mesmo o ar, nos casos das
redes wireless. Este termo foi escolhido para enfatizar que o padrão Ethernet não
era dependente do meio e podia ser adaptado para trabalhar em conjunto com
outras mídias, tudo isso aconteceu muito antes do lançamento do primeiro
microcomputador, o que só aconteceu em 1981. Os desenvolvedores do PARC
criaram diversos protótipos de estações de trabalho durante a década de 1970,
incluindo versões com interfaces gráficas elaboradas para aquela época, que
6
acabaram não entrando em produção devido ao custo. O padrão Ethernet surgiu a
partir da necessidade natural de ligar estas estações de trabalho em rede como
mostra a figura 05.
Figura 05. Xerox Alto (1973). Fonte http://www.guiadohardware.net/tutoriais/historia-redes/ em

22/03/2010.
A taxa de transmissão de 2.94 megabits da Ethernet original era do clock de
2.94 MHz usado no Xerox Alto, mais foi logo ampliada para 10 megabits, dando
origem aos primeiros padrões Ethernet de uso geral. Eles foram sucessivamente
aprimorados, dando origem aos padrões que ainda são utilizados.
O padrão Ethernet e a ARPANET deram origem à Internet e às redes locais,
duas inovações que revolucionam a computação. Atualmente é possível viver sem
processadores dual-core e sem monitores de LCD, mais viver sem a Internet e sem
as redes locais seria muito mais complicado. Inicialmente o padrão Ethernet e a
7
ARPANET eram tecnologias sem relação direta. Uma servia para interligar
servidores em universidades e outras instituições, e a outra servia para criar redes
locais, compartilhando arquivos e impressoras entre computadores facilitando a
troca de arquivos e informações em ambientes de trabalho, e permitindo o melhor
aproveitamento dos recursos disponíveis. Onde é muito mais útil e eficiente ter
apenas uma impressora laser, ao invés de ter impressoras a jato de tinta para cada
micro da rede.
Em 1990 com a abertura do acesso à Internet, tudo ganhou uma nova
dimensão e as redes se popularizaram de forma surpreendente, já que não demorou
muito para todos os usuários percebessem que ter uma rede local era a forma mais
barata de se conectar todos os computadores da rede à Internet.
Há apenas uma década, o acesso via linha discada ainda era a modalidade
mais comum e não era incomum ver empresas onde cada máquina tinha um modem
e uma linha telefônica, o que aumentava o custo. Nessas situações, locar uma linha
de Frame Relay (uma conexão dedicada de 64 kbits, que é na verdade uma fração
de uma linha T1) e compartilhar a conexão entre todos os computadores acabavam
saindo mais barato, além de permitir que todos ficassem permanentemente
conectados. E com a popularização das conexões de banda larga, a escolha ficou
ainda mais evidente.
Usuários que possuem mais de um micro em casa acabam montando uma
pequena rede para compartilhar a conexão entre eles, tanto usando um modem
ADSL configurado como roteador, quanto usando um ponto de acesso wireless, ou
também usando um cabo cross-over para compartilhar diretamente a conexão entre
dois micros. É difícil encontrar uma placa-mãe que já não venha com uma placa de
rede onboard, ou um notebook que não tenha uma placa wireless pré-instalada. O
8
acesso à Internet se tornou tão ubíquo que é praticamente impossível encontrar uma
utilidade para um PC desconectado da rede.
Além disso, as redes continuam cumprindo seu papel como uma forma de
compartilhar recursos entre diversos computadores, permitindo acesso à arquivos, o
uso de impressoras, CD-ROMs e outros dispositivos e rede aplicativos remotamente.
Pode-se usar um notebook como segundo monitor, usando-o como uma
extensão da tela do seu desktop, mesmo que os dois utilizem sistemas operacionais
diferentes podem usar micros antigos como servidor de arquivos para a rede ou dar-
lhe uma sobrevida como desktop, usando-o como terminal de um micro mais rápido;
pode se usar um Proxy transparente para melhorar a velocidade do acesso à Web.
1.1.1 Evolução do Cabeamento
Nos dias de hoje, diz Carlos E. Morimoto, as redes Ethernet de 100 megabits
(Fast Ethernet) e 1000 megabits (Gigabit Ethernet) são as mais usadas. Os dois
padrões utilizam cabos de par trançado categoria 5 ou 5e, que são largamente
disponíveis, o que facilita a migração de um para o outro. As placas são
incompatíveis, podendo perfeitamente misturar placas de 100 e 1000 megabits na
mesma rede, mas ao usar as placas Gigabit são obrigadas a respeitar a velocidade
das placas mais lentas.
Antes existia o padrão de 10 megabits, que também foi largamente usado, e
que ode ser encontrado em algumas instalações. E no outro extremo, já está
disponível o padrão de 10 gigabits (10G), mais rápido que o padrão original. Essa
evolução demandou também melhorias no cabeamento da rede.
As primeiras redes Ethernet utilizavam cabos thicknet, um tipo de cabo
coaxial grosso e pouco flexível, com 1cm de diâmetro. Somente um cabo é usado
como backbone para toda a rede, e as instalações eram conectadas a ele através de
9
transceptores, que também são chamados de “vampire taps” ou “derivadores
vampiros”, este nome é usado porque o contato do transceptor perfurava o cabo
thicknet, fazendo contato com fio central. O transceptor era ligado a um conector AUI
de 15 pinos na placa de rede através de um cabo menor como mostra a figura 06:
Figura 06. O transceptor. Fonte: http://www.guiadohardware.net/tutoriais/historia-redes/pagina2.html

em 22/03/2010.
Este era essencialmente o mesmo tipo de cabeamento utilizado no protótipo
de rede Ethernet desenvolvido no PARC, mas continuou sendo utilizado durante
uma boa parte da década de 80. Embora oferecesse diversos problemas práticos, a
dificuldade entre eles em lidar com cabo central, que era pesado e pouco flexível,
sem falar no custo dos transceptores.
Estas redes eram chamadas de 10BASE-5, sigla que é a junção de três
informações. O “10” se refere á velocidade de transmissão, 10 megabits, o “BASE” é
abreviação de “baseband modulation”, o que indica que o sinal é transmitido
diretamente, de forma digital, sem o uso de modems, como no sistema telefônico.
Enquanto o “5” indica a distância máxima que o sinal é capaz de percorrer nada
menos de 500 metros.
10
As redes 10BASE-5 logo deram origem ás redes 10BASE-2, ou redes thinnet,
que utilizam cabos RG58/U, mais finos. O termo “thinnet” vem da palavra “thin”
(fino), enquanto “thicknet” vem de “thick” (espesso).
Nessas redes os transceptores foram diminuídos e movidos para dentro das
próprias placas de rede e a ligação entre as estações passou a ser feita usando
cabos mais curtos, ligados por um conector em forma de T. Permitindo que as
estações fossem ligadas diretamente umas às outras, transformando os vários
cabos separados em um único cabo contínuo como mostra a figura 07:
Figura 07 conector em forma de T Fonte: http://www.guiadohardware.net/tutoriais/historia-

redes/pagina2.html em 22/03/2010.
Nas duas extremidades do cabo eram usados terminadores, que fecham o
circuito, evitando que os sinais que chegam ao final do cabo retornem na forma de
interferência como mostra a figura 08.
11
Figura 08. TBerminador. Fonte:http://www.guiadohardware.net/tutoriais/historia-redes/pagina2.html
em 22/03/2010.
Apesar da importância, os terminadores eram dispositivos bastante simples e
baratos. O maior problema era que se o cabo fosse desconectado em qualquer
ponto (no caso de um cabo rompido ou com mal contato, por exemplo), toda rede
fique fora do ar, já que estava dividida em dois segmentos sem terminação. Como
não eram usados leds nem indicadores de conexão, existiam apenas duas opções
para descobrir onde estava o problema:
1ª Opção- Usar testador de cabos rompidos: um aparelho que indicava com precisão
em que ponto o cabo estava rompido. Um aparelho caro e exatamente por esse
motivo era incomum no Brasil.
2ª Opção- Testar ponto por ponto, até descobrir onde estava o problema, conector
BNC mostrado na figura 09.
12
Figura 09 Conector BNC, Conector T, Terminador
Fonte: http://www.guiadohardware.net/tutoriais/historia-redes/pagina2.html em 22/03/2010.
Os cabos podiam ser crimpados na hora, de acordo com o comprimento
necessário, usando um alicate específico para crimpagem. A crimpagem consistia
em descascar o cabo coaxial, encaixá-lo dentro do conector, crimpar a ponteira de
forma a prender o fio central e em seguida crimpar a bainha, prendendo o cabo ao
conector BNC.
Apesar de ser muito susceptível a problema, o cabeamento das redes
10BASE-2 eram mais simples e barato do que as redes 10BASE-5, o que
popularizou as redes, sobretudo em empresas e escritórios. Se possuir acesso a
alguma máquina 386 ou 486 antigas, é provável que encontre placas de rede que
ainda incluam o conector AUI ( para redes 10BASE-5). Como mostra a figura 10:
13
Figura 10 Placa de Rede com conector AUI Fonte: http://www.guiadohardware.net/tutoriais/historia-
redes/pagina2.html em 22/03/2010.
Esta placa é uma placa ISA de 10 megabits, que além do conector AUI, inclui
o conector BNC para cabos coaxiais thinnet e o conector RJ45 para cabos de par
trançado atuais. Estas placam foram muito usadas durante o início da década de 90,
o período de transformação entre os três tipos de cabeamento. Apesar dos três
conectores estarem presentes, só era possível utilizar um de cada vez. A vantagem
era que podia migrar os cabos coaxiais para os cabos de par trançado, trocando
apenas o cabeamento, sem precisar trocar as placas de rede.
A única desvantagem das redes thinnet em relação às thicknet é que o uso de
um cabo mais fino reduz o alcance máximo da rede, que passou a ser de apenas
185 metros, o que de qualquer forma era mais do que suficiente para a maioria das
redes locais. Por incrível que possa parecer, o obsoleto padrão 10BASE-5 foi o
padrão Ethernet para fios de cobre com o maior alcance até hoje, com seus 500
metros. Somente os padrões baseados em fibra óptica são capazes de superar esta
marca.
Independentemente do tipo, os cabos coaxiais seguem o mesmo princípio
básico, que consiste em utilizar uma camada de blindagem para proteger o cabo
central de interferências eletromagnéticas presentes no ambiente. Quanto mais
14
espesso for o cabo e mais grossa for a camada de blindagem, mais eficiente é o
isolamento, permitindo que o sinal seja transmitido a uma distância maior.
Os cabos coaxiais a muito deram lugar aos cabos de par trançado, que são
praticamente os únicos usados em redes locais atualmente. Além de serem mais
finos e flexíveis, os cabos de par trançado suportam velocidades maiores, e podem
ser usados em redes de 10, 100 ou 1000 megabits, enquanto os cabos coaxiais são
restritos às antigas redes de 10 megabits, e são mais baratos.
Com tudo os cabos coaxiais estão longe de deixarem de serem usados. Além
de serem usados nos sistemas de TV a cabo e em outros sistemas de
telecomunicações, eles são usados em todo tipo de antenas, incluindo antenas para
redes wireless. Até mesmo os conectores tipo N, tipicamente usados nas antenas
para redes wireless de maior ganho são descendentes diretos dos conectores BNC,
usados nas redes 10BASE-2.
Existem diversas categorias de cabos de par trançado, que possuem
diferenças pela qualidade e pela freqüência suportada. Como por exemplo, os cabos
de categoria 3, que são largamente utilizados em instalações telefônicas, podem
serem usados em redes de 10 megabits, mas não podem ser usados nas redes de
100 e 1000 megabits atuais. Da mesma forma os cabos de categoria 5e utilizados
não são adequados para redes de 10 megabits, que demandam cabos de categoria
6, ou 6ª. Todas as categorias utilizam o mesmo conector, o RJ45, mais existem
diferenças de qualidade entre conectores destinados a diferentes padrões de cabos.
Os sucessores naturais dos cabos de par trançado são cabos de fibra óptica,
que as velocidades suportadas são ainda maiores e permitem transmitir a distâncias
praticamente ilimitadas, com o uso de repetidores. Cabos de fibra óptica são usados
15
para criar os backbones que interligam os principais roteadores da Internet. Sem
eles, a rede seria mais lenta e o acesso mais caro.
Os cabos de fibra óptica ainda são pouco usados nas redes locais, devido à
questão do custo, tanto dos cabos propriamente ditos, quanto das placas e rede,
roteadores e outros componentes necessários. Apesar de tecnicamente inferiores,
os cabos de par trançado são baratos, fáceis de trabalhar e resiste ao surgimento de
novos padrões de rede.
Acreditava-se que os cabos de par trançado ficariam limitados às redes de
100 megabits e, conforme as redes gigabit se popularizassem eles entrariam em
desuso, dando lugar a fibra óptica. Mais isso não ocorreu pelo fato do surgimento do
padrão de redes gigabit para cabos de par trançado ainda utilizado atualmente.
A história se repetiu com padrão 10 gigabit, que inicialmente previa apenas o
uso de cabos de fibra. Contrariando todas as expectativas, conseguiram levar a
transmissão dos dados em fios de cobre ao limite, criando um padrão de 10 gigabits
para cabos de par trançado. Para um novo padrão de redes se popularizar demora
por volta de uma década, foi assim com migração das redes de 10 megabits para as
de 100 e agora das de 100 para as de 1000, os cabos de par trançado tem sua
sobrevivência assegurada por pelo menos mais uma década.
As redes wireless possuem uma origem ainda mais antiga. A primeira rede
wireless funcional a ALOHAnet, entrou em atividade em 1970, surgindo antes da
ARPANET.
Surgindo da necessidade de criar linhas de comunicação entre diferentes
campus da universidade do Havaí, situados em ilhas diferentes. Nessa época a
estrutura de comunicação era muito precária e a única forma de comunicação era
16
mandar mensagens escritas de barco, devido a distância, não existiam sequer linhas
de telefone.
Como todos os transmissores operavam na mesma freqüência, tentava se
transmitir dois nós ao mesmo tempo, mais com isso ocorria uma colisão e as
transmissões precisavam serem repetidas, o que era realizado automaticamente
depois de um curto espaço de tempo. Este mesmo problema ocorre nas redes
wireless atuais que naturalmente incorporam mecanismos para lidar com ele.
Vinte e oito anos depois da ALOHAnet, as redes wireless se tornaram
incrivelmente populares, porque permitem criar redes locais mais rápidas, sem a
necessidade de espalhar cabos pelo chão. Além da praticidade, usar uma rede
wireless pode em muitos casos sair mais barato, já que o preço de centena de
metros de cabos, combinando com o custo da instalação, podendo superar em muito
a diferença de preço nas placas e no ponto de acesso.
Há dois tipos de redes wireless:
 Redes em modo infra-estrutura: são baseadas em um ponto de acesso
wireless, que atua como ponto central permitindo a conexão dos clientes.
 Redes ad-hoc: são um tipo de rede mesh, onde as estações se comunicam
diretamente, sem o uso de um ponto de acesso.
Mesmo tendo um alcance reduzido, as redes ad-hoc são uma forma prática de
interligar notebooks em rede rapidamente. Atualmente todos os notebooks possuem
placas de rede wireless integrados, e criar uma rede ad-hoc pode proporcionar uma
rede mais rápida, do que se for montada uma rede cabeada.
17
O alcance típico dos pontos de acessos domésticos é de 33 metros em
ambientes fechados e 100 metros em campo aberto. É possível também estender o
sinal da rede por distâncias muito maiores, utilizando pontos de acesso e placas
com transmissores mais potentes ou antenas de maior ganho, desde que haja um
caminho livre de obstáculos, não é difícil interligar redes situadas em dois prédios
diferentes, a 5 km de distância por exemplo.
Mais por outro lado, o sinal é facilmente obstruído por objetos metálicos,
paredes, lajes entre outros, sofrendo também interferências de diversas fontes.
Devido a isso se deve sempre se preocupar em instalar o ponto de acesso em um
ponto elevado do ambiente, de forma a evitar o maior volume possível de
obstáculos.
Se desejar que outra pessoa capte o sinal, o melhor é instalar o ponto de
acesso perto de janelas, ou instalá-lo em uma posição central, de forma que o sinal
se propague por todo o ambiente oferecendo uma boa cobertura em qualquer parte
da casa, ou do escritório, ao mesmo tempo em que pouco sinal diminui.
O primeiro padrão a se popularizar foi o 802.11b, operava apenas 11
megabits. Esse padrão foi seguido pelo 802.11g, que opera a 54 megabits e também
pelo 802.11n que oferece até 300 megabits. Além disso, as redes wireless trabalham
com um overhead muito maior que as cabeadas, devido à modulação do sinal,
colisões e outros fatores, de forma que a velocidade real acaba sendo um pouco
menos da metade do prometido. E também a velocidade máxima é obtida apenas
enquanto o sinal está bom e existe apenas um computador transmitindo. Conforme
sinal fica mais fraco, ou vários outros computadores passam a transmitir
simultaneamente, a velocidade vai diminuindo. É esse o motivo pelo qual algumas
redes wireless acabam se tornando muito lentas.
18
1.1.2 Padrões Ethernet
Existem diversos padrões Ethernet, que são utilizados pela maioria das
tecnologias de uma rede local, das placas mais baratas às redes wireless, esses
padrões definem com detalhes a forma como os dados são organizados e
transmitidos, e permite que produtos de diferentes fabricantes funcionem
perfeitamente em conjunto e são desenvolvidos pelo IEEE (Institute of Electrical and
Electronics Engineers), que é provavelmente a maior organização profissional sem
fins lucrativos que existe atualmente.
O IEEE é responsável por um grande número de padrões relacionados a
comunicação, eletricidade, computação e tecnologia em geral. “IEEE 802 LAN/MAN
Standardes Committee” é o grupo responsável pelos padrões de redes, que é
subdividido em grupos de trabalho menores, que recebem números seqüenciais.
São apenas quatros os números mais importantes:
 802.3: É o grupo responsável pelos diferentes padrões de redes Ethernet
cabeadas, que inclui algoritmos usados para a transmissão dos dados,
detecta colisões e outros detalhes. Há diversos padrões Ethernet, que se
diferenciam pela velocidade e pelo tipo de cabeamento usado, como por
exemplo, o 10BASE-2 que é o padrão de 10 megabits antigo, que utiliza
cabos coaxiais, já o 10BASE-T é o padrão de 10 megabits para cabos de par
trançado.
Seguindo os padrões ainda existem o 100BASE-T e o 1000BASE-T, que são
respectivamente, os padrões de 100 e 1000 megabits para cabos de par trançado.
Também existem padrões para cabos de fibra ópticas, são menos usados, mais são
popularmente usados para criar backbones, interligando redes distantes.
19
Todos os padrões da Ethernet são intercompatíveis, o que é um de seus grandes
méritos. Podendo juntar placas de velocidades diferentes na mesma rede e até
mesmo misturar segmentos de rede com cabeamento diferente usando bridges. As
transferências entre nós de velocidades diferentes são feitas respeitando a
velocidade do mais lento, mesmo assim a rede continua funcionando perfeitamente.
Na época da transição das redes com cabos coaxiais para as de par
trançado, por exemplo, era comum usar HUBs que combinavam portas para cabos
de par trançado e um conector BNC, para o segmento com cabo coaxial. Esses
HUBs agiam como bridges, juntando as duas redes.
802.11: é o grupo de trabalho para redes wireless, responsável pelos padrões
802.11b, 802.11a, 802.11g, 802.11i, 802.11n entre outros. Com a popularização das
redes wireless o 802.11 se tornou um dos grupos de trabalho mais importantes. E
abaixo há às seguintes definições para os padrões 802.11:
 802.11b: a rede opera a 11 megabit, utilizando uma faixa de freqüência de
2.4GHz;
 802.11a: a rede opera a 54 megabits, utilizando uma faixa de 5GHz, sujeita a
menos interferência;
 802.11g: a rede opera a 54 megabits, utilizando a faixa de 2.4GHz, que
preserva a compatibilidade com o 802.11b;
 802.11n: opera até 300 megabits, com opção de utilizar a faixa de 2.4GHz ou
de 5GHZ.
20
Além de desenvolver padrões mais rápidos e mais acessíveis, o grupo outra
tarefa que e tanto ou mais importante esta tarefa é o desenvolvimento de padrões de
segurança, um dos problemas fundamentais das redes wireless.
O sinal é transmitido através do ar, não existindo como impedir que outras
pessoas possam interceptar as transmissões, tudo que se pode fazer é embaralhar
o conteúdo de forma que ele não seja legível. É exatamente ai que entra o 802.11i,
um padrão de segurança que engloba o WAP e o WPA2, sistemas de encriptação
utilizados para proteger a rede.
 802.15.1: É o padrão referente ao Bluetooth, que apesar de ser mais usado
em celulares e headsets, é considerado também um padrão de redes sem fio.
Os transmissores são as características fundamentais do Bluetooth, que
consomem pouca energia, e que permite que sejam usados em dispositivos
muito pequenos.
 802.16: Como o 802.11, o 802.16 também é um grupo de trabalho dedicado
ao desenvolvimento de redes wireless. A diferença entre eles é que o 802.11
desenvolvem padrões para redes domesticas, enquanto o 802.16 trabalho no
desenvolvimento de redes de longa distância, que podem se usadas para
oferecer acesso à Web em grandes cidades, e outras aplicações. Seu
principal padrão produzido é o WIMAX, que é forte candidato a substituir as
redes atuais 3G oferecidas pelas operadora de telefonia celular no
fornecimento de acesso à Web nas grandes cidades.
21
1.2 O que é uma Rede de Computadores
De acordo com Tanenbaum em “Redes de computadores” 1997, uma rede
de computadores envolve a interconexão entre dois ou mais dispositivos, com a
finalidade de compartilhar recursos dentre eles: hardware (impressoras,
computadores, fax, telefonia) e software (programas variados, banco de dados, etc.).
Em suma é uma forma de vencer a barreira geográfica, não importando se
está a três andares de um prédio ou em outro continente, o usuário acessa aquele
recurso de forma transparente como se estivesse na própria máquina ou ao seu
lado.
Para ser possível essa interligação dessas duas vias é necessária uma
”ponte”, que seria o sistema de comunicação constituído de componentes físicos
(cabos, placas, diversos dispositivos de rede em geral) e regras que regem
possibilitando esta comunicação entre os nós (cada dispositivo integrado/conectado)
da rede que são chamados de protocolos, tudo para garantir que os dados que são
trafegados através deste meio cheguem ao destino por completo.
Ainda segundo Tanenbaum, existem as redes coorporativas: os benefícios de
compartilhamento visam à economia, tendo em vista que não é necessária uma
impressora por PC, por exemplo. A confiabilidade é aumentada, já que os dados
podem ser duplicados em vários locais ao mesmo tempo tendo assim um backup, ou
se um dispositivo falhar outro pode assumir a função.
As redes pessoais têm as suas funções definidas e por de trás dela assim
como nas coorporativas a Internet aparece como meio eficiente de inserção social,
que envolvem: acesso aos diversos tipos de informação: cultural, acadêmico,
econômico, tendências, entretenimento, etc. Comunicação pessoa a pessoa, seja
em tempo real ou através de emails e entre outros tipos.
22
1.3 Tipos de Redes
As redes podem ser divididas de acordo com sua abragência física temos as
LANS, WANS e MANS.
1.3.1 Redes Locais
Redes Locais também chamadas de LAN são redes privadas contida em um
único local, elas são implementadas, por exemplo, em empresas de instituição de
ensino.
Elas são usadas para conectar computadores pessoais e estação de trabalho em
instalação industrial para compartilhamento de recursos e troca de informações.
As LANs têm três características que as diferenciam dos outros tipos de redes o
tamanho, a tecnologia de transmissão e a topologia.
As topologias de uma LAN são: malha, anel, barramento, estrela, estrela
estendida, arvore e híbrida.
 Barramento: usa um único cabo que conecta todas as estações de trabalho
como mostra a figura 11:
Figura 11. Topologia Barramento. Fonte: www.valoryempresa.com/image004.gif em 23/03/2010.
23
 Anel: conecta uma estação de trabalho próxima e a última da primeira
criando um anel como mostra a figura 12:
Figura 12. Topologia Anel. Imagem criada pelos autores.
 Estrela: conecta todas as estações de trabalho em um ponto central um
HUB ou um switch, por exemplo, como mostra a figura 13:
Figura 13. Topologia Estrela Fonte. Imagem criada pelos autores
 Estrela estendida: conecta um centralizador a outro e une as estrelas
individuais, por exemplo, um HUB que se conecta a outros HUBs que se
conectam a estações de trabalho como mostra a figura 14:
24
Figura 14. Topologia Estrela Estendida. Fonte: Imagem criada pelos autores.
 Malha: cada estação de trabalho está conectada a todas as demais
estações da rede como mostra a figura 15:
Figura 15 Topologia Malha. Fonte:

http://www.juliobattisti.org/tutoriais/paulocfarias/redesbasico003_clip_image004.jpg em 23/03/2010.
 Hibrida: é quando se une topologias diferentes em uma rede como mostra a
figura 16:
25
Figura 16. Topologia Híbrida Fonte: Imagem criada pelos autores.
1.3.2 Redes Geograficamente Distribuídas
Uma rede geograficamente distribuída, ou WAN abrange uma área
geográfica, como um pais ou continente, ela tem a finalidade de unir redes
diferentes, conforme figura 17 abaixo:
Figura 17: WAN.

Fonte: Elaborado pelos autores.
As estações de trabalho estão conectados por uma sub-rede, as estações de
trabalho são os computadores pessoais a sub-rede de comunicação pertence a uma
operadora telefônica ou um provedor de serviço a Internet, a função da sub-rede é
transportar mensagem de pessoa à pessoa assim como a telefonia transporta
palavra de pessoa à pessoa.
26
Na maioria das redes geograficamente distribuídas, a sub-rede consiste em
dois componentes distintos, linhas de transmissão e elemento de comunicação. As
linhas de transmissão transportam os bits entre as máquinas, elas podem ser
formadas por fios de cobre, fibra óptica ou mesmo enlace de rádio. Os elementos de
comunicação são computadores especializados que conectam três ou mais linhas
de transmissão. Quando os dados chegam a uma linha de entrada, o elemento de
comutação deve escolher uma de saída para encaminhá-los. Esses computadores
de comutação recebem o nome de roteadores.
1.4 Modelo OSI
O modelo de referência OSI (Open Systems Interconnection) foi desenvolvido
pela ISO (International Standarts Organization) visando padronização internacional
dos protocolos utilizados nas diversas camadas, trata-se da interconexão de
sistemas abertos isto significa que estão abertos a outros sistemas. (Tanenbaum).
Modelo em sete camadas: Física, enlace, rede, transporte, sessão,
apresentação e aplicação. Os principais princípios para se chegar neste modelo de
sete camadas são:
1. Uma camada é criada quando se tem a necessidade de outro nível de abstração.
2. Cada camada tem sua função definida.
3. Deve ser escolhida a camada pensando de modo que os protocolos são
padronizados internacionalmente.
4. Limite das camadas determinadas para não se sobrecarregarem com o fluxo de
informações transportadas entre as interfaces.
5. Número grande de camadas para melhor dimensionar funções distintas ao passo
que ao mesmo tempo seja pequena para que não se torne difícil de controlar.
27
O modelo OSI é representado com suas respectivas camadas, figura 18:
Figura 18. Modelo OSI

Autor: Tanenbaum, Pag. 33
 Camada Física: Provê serviços de transmissão e recepção de bits; define as
interfaces elétricas e mecânicas, as características de sincronização e a
especificação do meio de transmissão.
28
 Camada Enlace de Dados: Controle de acesso a um meio compartilhado;
montagem de dados em quadros; endereçamento e detecção de erros;
provê serviços de comunicação de quadros com controle de fluxo e controle
de erros.
 Camada de Rede: Roteamento de pacotes/quadros; Controle de
congestionamento;
 Camada de Transporte: Provê serviço fim-a-fim; entrega ordenada livre de
erros; entrega sem garantia de ordenação.
 Camada de Sessão: Estabelecimento de sessões entre usuários de
diferentes máquinas.
 Camada de Apresentação: Lida com a sintaxe e a semântica das
informações, codificação dos dados.
 Camada de Aplicação: Provê aplicações de rede.
1.5 Dispositivos de Rede
Os dispositivos de rede estão muito além de um computador com placa de
rede conectado em tomada, existem vários e cada um com sua função específica
para desempenhar seu papel em uma rede.
HUBs e transceivers
Segundo Fernando Cerutti Professor da Unisul - Universidade do Sul de
Santa Catarina, URL: http://inf.unisul.br/~cerutti/disciplinas/redes1/unid5-
dispositivos.pdf) dispositivos considerados mais simples na comunicação entre as
máquinas, uma vez que utilizam apenas os sinais elétricos ou ópticos, sem controle
dos dados, erros ou endereços. São dispositivos que funcionam unicamente na
camada física do modelo de referência OSI. A grande missão de um dispositivo
29
desses é propagar o sinal recebido em uma porta para todas demais. Obviamente,
os erros eventuais são propagados como sinais válidos.
Um HUB ou repetidor pode ser visto como um “cabo elétrico dentro de uma
caixa”, os HUBs possibilitaram a instalação das redes na topologia em estrela,
sendo o dispositivo onde todas as estações da topologia estão conectadas conforme
a imagem 19 do HUB:
HUB de 24 portas
Figura 19. HUBS. Autor: Fernando Cerutti
Os transceivers possuem a função de conexão de um nó ao meio físico,
fornecendo uma interface elétrica, para permitir comunicação do host com o meio.
Atualmente, essa função está acoplada às placas de rede. A Figura 11 mostra três
tipos de transceivers para interfaces AUI, com saídas RJ 45, BNC e conectores de
Fibra óptica modelo ST, conforme figura 20:
Figura 20. Transceivers. Autor: Fernando Cerutti
30
Os Modems (MOdulador DEModulador) são responsáveis pela codificação
dos sinais digitais de dados em linhas de transmissão originalmente analógicas.
Em sua forma mais simples, os modems são compostos de uma unidade de
alimentação, um transmissor e um receptor. A unidade de força provê a voltagem
necessária para operação do modem. O transmissor é composto por um modulador,
um amplificador e circuitos destinados a filtrar, formatar e controlar os sinais,
convertendo-os para pulsos elétricos analógicos, conforme a imagem 21:
Figura 21. Conexão de dados em linhas analógicas. Autor: Fernando Cerutti
NICs (Network Interface Card, figura 22) há várias nomenclaturas:
Adaptadores, placas de rede, cartão de rede, hardware de rede. Tão variado quanto
os nomes são as configurações e funcionalidades de cada implementação.
Possibilita uma gama de preços também muito variada. Esses dispositivos operam
nas camadas 1 e 2 do modelo OSI.
Figura 22. NIC. Autor: Fernando Cerutti
31
Bridges, Switches
Uma observação válida foi feita pelo Profº Fernando Cerutti, sempre é feita
confusão em torno da palavra “Switch” (comutador), pode-se denominar de Switch
os seguintes dispositivos:
• Repetidor Multiportas: Switch de camada 1;
• Bridge: Switch de camada 2;
• Router: Switch de camada 3;
É uma visão um tanto radical, mas serve para ilustrar a melhor a confusão da
nomenclatura. Estendendo o problema, alguns vendedores chamam alguns
dispositivos de Switch-HUB. Considerando que pela nomenclatura original, um HUB
é um dispositivo central. Portanto, um Switch HUB é um dispositivo central de
comutação, ou simplesmente um comutador (Switch).
Desse modo considera-se um Switch um dispositivo clássico, que trabalha na
camada 2, funcionando como Bridge, portanto.
Uma bridge, ou ponte, é um dispositivo capaz de transportar os sinais de uma redes
local (A) para outra (C).
A ponte também tem a propriedade de separar as redes em grupos mais
gerenciáveis. A ponte mapeia os membros de cada população e gerencia a
comunicação entre as populações. Todos os endereços físicos (das interfaces de
rede) conectados em cada porta das pontes são mapeados numa tabela conforme
Figura 23.
32
Figura 23 Tabela de portas Bridge. Autor: Fernando Cerutti
Roteador
A principal função de um roteador é interligar redes diferentes conforme figura 24 :
Roteador
Switch com
VLAN
Figura 24: Roteador/Switch.

Fonte: Elaborado pelos autores.
Possuindo a função de receber um pacote (PDU de camada três) em uma
interface, verificar a existência de erros, e se tudo parecer correto, o endereço de
destino deve ser comparado com a tabela de roteamento. A tabela decidirá em qual
interface o pacote será encaminhado para atingir a rede de destino.
Nas redes com diversos caminhos para o mesmo destino, os roteadores
buscam o melhor caminho. Caminho mais curto não é garantia de ser mais rápido.
Por isso as decisões precisam ser baseadas nas métricas, como a taxa de perdas, o
33
atraso e a banda disponível. Os protocolos de roteamento encontram esse caminho
e compartilhar essa informação com os demais roteadores.
1.6 Projeto de Redes
Projeto de redes de acordo com Carlos A. Mayer, Professor Universitário de
tecnologia da informação e especialista em docência. url:
http://www.scribd.com/doc/258420/Projeto-de-Rede-Local cita que neste passo,
entra-se em certos detalhes pertinentes à parte operacional, ou seja, em relação à
tecnologia, disposição geográfica (interna) da empresa, metragens, etc.
Inicialmente fazer uma descrição das características da empresa e sua distribuição
funcional.
a) Descrição Sumária: Este projeto de rede será utilizado como padrão para
as regionais na criação de novas redes e revisão das existentes. O quadro funcional
de cada regional é composto por funcionários, distribuídos em 3 andares com
respectiva metragem.
É importante embasar o projeto referenciando os conceitos ou padrões que serão
utilizados.
b) Tecnologias Utilizadas: Basicamente será utilizado o padrão modelo OSI
para funcionamento de redes locais. Dentre os materiais e equipamentos serão
usados cabo UTP Categoria 5 para conexão dos equipamentos, equipamentos
CISCO e protocolo TCP/IP.
1.7 Servidores
Servidor é um sistema de computação que fornece serviços a uma rede de
computadores e possui um sistema operacional de rede para gerenciar tanto os
recursos físicos e lógicos quanto os usuários segundo Gabriel Torres em “Redes de
Computadores Curso Completo”, 2009 . Os computadores que acessam os serviços
34
de um servidor são chamados clientes. As redes que utilizam servidores são do tipo
cliente-servidor, utilizadas em redes de médio e grande porte com uma grande
quantidade de equipamentos. A nomenclatura servidor é largamente aplicado a
computadores completos, embora um servidor possa equivaler a um software ou a
partes de um sistema computacional, ou até mesmo a uma máquina que não seja
necessariamente um computador.
Os tipos de servidores são:
 Servidor de Arquivos;
 Servidor de Impressão;
 Servidor de Disco;
 Servidor de Email;
 Servidor DNS;
 Servidor Proxy (Servidor de Internet);
 Servidor DHCP.
1.7.1 Servidor de Arquivos
È uma máquina com um disco rígido de grande capacidade de
armazenamento de onde arquivos e/ou aplicativos estão gravados e disponíveis
para todo o ambiente de rede. Um servidor de arquivos centralizado pode concentrar
o investimento de um único computador de alta capacidade e grande HD, para
prover acesso a todos os usuários. O armazenamento centralizado de arquivos
também pode proporcionar alto grau de segurança de dados para toda a
organização, exemplo de topologia conforme a figura 25.
35
Figura 25. Servidor de Arquivo. Fonte: Imagem criada pelos autores
1.7.2 Servidor de Impressão
É um Micro-computador da rede, conectado a uma impressora. Tal servidor
deve estar fisicamente centralizado em um ambiente de rede, onde todas as
estações de trabalho possam compartilhar seus recursos, exemplo de topologia
conforme a figura 26.
Figura 26. Servidor de Impressão. Fonte: Imagem criada pelos autores
36
1.7.3 Servidor de Disco
É um repositório central para arquivos e dados, conectado à rede como
qualquer outra estação, porém, cada estação o vê como uma unidade de disco
central. Um servidor de disco, geralmente possui um HD da alta capacidade, que por
sua vez, é particionado em diversos volumes, e as estações têm cada uma, acesso
a certo volume, exemplo de topologia conforme a figura 27.
Figura 27. Servidor de Disco. Fonte: Imagem criada pelos autores
1.7.4 Servidor de E-mail
Email, correio-e ou ainda email é um método que permite compor, enviar e
receber mensagens através de sistemas eletrônicos de comunicação. O termo email
é aplicado tanto aos sistemas que utilizam a Internet e são baseados no protocolo
SMTP, como sistemas conhecidos como intranets, que permitem a troca de
mensagens dentro de uma empresa ou organização e são, normalmente, baseados
em protocolos proprietários.
As aplicações de correio eletrônico normalmente oferecem ao usuário uma
série de facilidades. A maior parte delas fornece um editor de textos embutido e a
37
possibilidade do envio de arquivos anexados a correspondência. Além disso, a
maioria das aplicações permite o envio de correspondências para um único
destinatário ou o envio para mais de uma pessoa ou para um grupo de pessoas,
exemplo de topologia conforme a figura 28.
Figura 28. Servidor de Email. Fonte: Imagem criada pelos autores
1.7.5 Servidor DNS
O DNS (Domain Name System - Sistema de Nomes de Domínios) é um
sistema de gerenciamento de nomes hierárquico e distribuído operando segundo
duas definições:
 Examinar e atualizar seu banco de dados;
 Resolver nomes de servidores em endereços de rede (IPs).
O sistema de distribuição de nomes de domínio foi introduzido em 1984 e com
ele os nomes de hosts residentes em um banco de dados puderam ser distribuídos
entre servidores múltiplos, baixando assim a carga em qualquer servidor que provê
administração no sistema de nomeação de domínios. Ele baseia-se em nomes
hierárquicos e permite a inscrição de vários dados digitados além do nome do host e
seu IP. Em virtude do banco de dados de DNS ser distribuído, seu tamanho é
38
ilimitado e o desempenho não degrada tanto quando se adiciona mais servidores
nele.
O servidor DNS traduz nomes para os endereços IP e endereços IP para
nomes respectivos, e permitindo a localização de hosts em um domínio
determinado. Num sistema livre o serviço é implementado pelo software BIND. Esse
serviço geralmente se encontra localizado no servidor DNS primário.
O servidor DNS secundário é uma espécie de cópia de segurança do servidor
DNS primário. Quando não é possível encontrar um domínio através do servidor
primário o sistema tenta resolver o nome através do servidor secundário.
Existem 13 servidores DNS raiz no mundo todo e sem eles a Internet não
funcionaria. Destes, dez estão localizados nos Estados Unidos da América, um na
Ásia e dois na Europa. Para Aumentar a base instalada destes servidores, foram
criadas Réplicas localizadas por todo o mundo, inclusive no Brasil desde 2003.
Ou seja, os servidores de diretórios responsáveis por prover informações como
nomes e endereços das máquinas são normalmente chamados servidores de
nomes. Na Internet, os serviços de nomes usados é o DNS, que apresenta uma
arquitetura cliente/servidor, podendo envolver vários servidores DNS na resposta a
uma consulta, exemplo de topologia conforme a figura 29.
39
Figura 29. Servidor de DNS. Fonte: Imagem criada pelos autores
1.7.5.1 DNS Reverso
Normalmente o DNS atua resolvendo o nome do domínio de um host
qualquer para seu endereço IP correspondente. O DNS Reverso resolve o endereço
IP, buscando o nome de domínio associado ao host. Ou seja, quando temos
disponível o endereço IP de um host e não sabemos o endereço do domínio(nome
dado à máquina ou outro equipamento que acesse uma rede), tentamos resolver o
endereço IP através do DNS reverso que procura qual nome de domínio está
associado aquele endereço. Os servidores que utilizam o DNS Reverso conseguem
verificar a autenticidade de endereços, verificando se o endereço IP atual
corresponde ao endereço IP informado pelo servidor DNS. Isto evita que alguém
utilize um domínio que não lhe pertence para enviar spam, por exemplo.
40
1.7.6 Servidor PROXY
Um servidor proxy é um servidor que atua nas requisições dos seus clientes
executando os pedidos de conexão a outros servidores. Um cliente conecta-se a um
servidor proxy, requisita serviços como: Servidor de arquivos, website, ou outro
recurso disponível. A tradução da palavra inglesa proxy, segundo o dicionário
Michaelis, significa procurador, substituto ou representante.
O servidor proxy disponibiliza este recurso solicitado pelo cliente, conectando-se ao
servidor correspondente e o repassa ao cliente. Um servidor proxy pode,
opcionalmente, alterar a requisição do cliente ou a resposta do servidor e, algumas
vezes, pode disponibilizar este recurso sem nem mesmo se conectar ao servidor
especificado.
Pode também atuar como um servidor que armazena dados em forma de
cache em redes de computadores. São instalados em máquinas com ligações
tipicamente superiores às dos clientes e com poder de armazenamento elevado.
Por exemplo, no caso de um HTTP caching proxy, o cliente requisita um documento
na World Wide Web e o proxy procura pelo documento em seu cache. Se
encontrado, o documento é retornado imediatamente. Senão, o proxy busca o
documento no servidor remoto, entrega-o ao cliente e salva uma cópia no seu
cachê, exemplo de topologia conforme a figura 30.
41
Figura 30. Servidor PROXY. Fonte: Imagem criada pelos autores
1.7.7 Servidor DHCP
O DHCP, Dynamic Host Configuration Protocol, é um protocolo de serviço
TCP/IP que oferece configuração dinâmica de terminais, com concessão de
endereços IP de host e outros parâmetros de configuração para clientes de rede. O
DHCP opera da seguinte forma:
 Um cliente envia um pacote UDP em broadcast (destinado a todas as
máquinas) com um pedido DHCP.
Os servidores DHCP que capturarem este pacote irão responder (se o cliente se
enquadrar numa série de critérios) com um pacote com configurações onde
constará, pelo menos, um endereço IP, uma máscara de rede e outros dados
opcionais, como o gateway, servidores de DNS, etc.
O DHCP usa um modelo cliente-servidor, no qual o servidor DHCP mantém o
gerenciamento centralizado dos endereços IP usados na rede.
O DHCP oferece três tipos de alocação de endereços IP:
42
 Atribuição manual - Onde existe uma tabela de associação entre o Endereço
MAC do cliente (que será comparado através do pacote broadcast recebido) e
o endereço IP (e restantes dados) a fornecer. Esta associação é feita
manualmente pelo administrador de rede; por conseguinte, apenas os clientes
cujo MAC consta nesta lista poderão receber configurações desse servidor;
 Atribuição automática - Onde o cliente obtém um endereço de um espaço de
endereços possíveis, especificado pelo administrador. Geralmente não existe
vínculo entre os vários MAC habilitados a esse espaço de endereços;
 Atribuição dinâmica - O único método que dispõe a reutilização dinâmica dos
endereços. O administrador disponibiliza um espaço de endereços possíveis,
e cada cliente terá o software TCP/IP da sua interface de rede configurados
para requisitar um endereço por DHCP assim que a máquina arranque. A
alocação utiliza um mecanismo de aluguel do endereço, caracterizado por um
tempo de vida. Após a máquina se desligar, o tempo de vida naturalmente irá
expirar, e da próxima vez que o cliente se ligue, o endereço provavelmente
será outro.
Algumas implementações do software servidor de DHCP permitem ainda a
atualização dinâmica dos servidores de DNS para que cada cliente disponha
também de um DNS, exemplo de topologia conforme a figura 31.
43
Figura 31. Servidor DHCP. Fonte: Imagem criada pelos autores
1.8 Máquina Virtual
Conhecida também como VM, Virtual Machine ou em português máquina
virtual pode ser definida como um espelho da máquina física real, ou pode ter vários
sistemas operacionais instalados e diferentes tipos de serviços rodando ao mesmo
tempo, fazendo assim uma grande economia de recursos para a coorporação, e está
sendo largamente utilizada como solução, graças a facilidade de implementação,
manutenção acessível e segurança.
Ao longo dos anos, de acordo com Marcos Laureano em “Máquinas virtuais e
Emuladores, Conceitos, Técnicas e Aplicações”, disponível na URL:
http://www.mlaureano.org/aulas_material/só/livro_vm_laureano.pdf, “as máquinas
virtuais vêm sendo utilizadas com várias finalidades, como processamento
distribuído e segurança. Um uso freqüente de sistemas baseados em máquinas
virtuais é a chamada “consolidação de servidores”:
“Em vez da utilização de vários equipamentos com seus respectivos sistemas
operacionais, utiliza-se somente um computador com máquinas virtuais abrigando
os vários sistemas operacionais e suas respectivas aplicações e serviços”.
44
1.9 Sistema Operacional
O sistema operacional é a “ponte” entre o hardware e o usuário, torna a
utilização do computador mais eficiente e mais conveniente aos usuários para
realizar operações específicas. A utilização mais eficiente busca um maior retorno
no investimento feito no hardware, significa mais trabalho obtido do mesmo
hardware. Uma utilização mais conveniente vai diminuir o tempo necessário para a
construção e utilização dos programas segundo os autores Rômulo Silva de Oliveira,
Alexandre da Silva Carissimi, e Simão Sirineo Toscani, em “Sistemas Operacionais”,
2001.
Um enorme número de conceitos, abstrações, mecanismos e algoritmos foram
criados e aprimorados ao longo dos últimos 40 anos.
Para atingir os objetivos propostos, o sistema operacional oferece diversos
tipos de serviços. Todo sistema operacional oferece meios para que um programa
seja carregado na memória principal e executado. Talvez o serviço mais importante
oferecido seja o que permite a utilização de arquivos e diretórios. Também o acesso
aos periféricos é feito através do sistema operacional. À medida que diversos
usuários compartilham o computador, passa a ser interessante saber quanto de
quais recursos cada usuário necessita. Diversas informações sobre o estado do
sistema são mantidas.
Nessa categoria, tem-se à hora e data correntes, a lista de usuários utilizando
o computador no momento, a versão do sistema operacional em uso. Cabe também
ao sistema operacional garantir que cada usuário possa trabalhar sem sofrer
interferência danosa dos demais.
Os programas solicitam serviços ao sistema operacional através das
chamadas de sistema. Elas são semelhantes às chamadas de sub-rotinas.
45
Entretanto, enquanto as chamadas de sub-rotinas são transferências para
procedimentos normais do programa, as chamadas de sistema transferem a
execução para o sistema operacional. Através de parâmetros, o programa informa
exatamente o que necessita. O retorno da chamada de sistema, assim como o
retorno de uma sub-rotina, faz com que a execução do programa seja retomada a
partir da instrução que segue a chamada. Para o programador assembly (linguagem
de montagem), as chamadas de sistema são bastante visíveis. Por exemplo, o
conhecido "INT 21H" no MSDOS.
Em uma linguagem de alto nível, elas ficam escondidas dentro da biblioteca
utilizada pelo compilador. O programador chama sub-rotinas de uma biblioteca, e
estas chamam o sistema. Por exemplo, qualquer função da biblioteca que acesse o
terminal (como printf() na linguagem C) exige uma chamada de sistema.
A parte do sistema operacional responsável por implementar as chamadas de
sistema é normalmente chamada de núcleo ou kernel. Os principais componentes
do kernel de qualquer sistema operacional são:
 Gerência de processador;
 Gerência de memória;
 Sistema de arquivos;
 Gerência de entrada e saída de informação (dados).
Os programas de sistema, algumas vezes chamados de utilitários, são
programas normais executados fora do kernel do sistema operacional. Utilizam as
mesmas chamadas de sistema disponíveis aos demais programas.
Tarefas básicas para a utilização do sistema e muitas vezes são confundidas com o
próprio sistema operacional. Exemplos são os utilitários para manipulação de
arquivos: programas para exibir arquivo, imprimir arquivo, copiar arquivo, trocar o
46
nome de arquivo, listar o conteúdo de diretório, entre outros. O mais importante
programa de sistema é o interpretador de comandos. Esse programa é ativado pelo
sistema operacional sempre que um usuário inicia sua sessão de trabalho. Sua
tarefa é receber comandos do usuário e executá-los. Para isso, ele recebe as linhas
tecladas pelo usuário, analisa o seu conteúdo e executa o comando teclado. A
execução do comando, na maioria das vezes, vai exigir uma ou mais chamadas de
sistema. Por exemplo, considere um comando do tipo "lista diretório".
Para executá-lo, o interpretador de comandos deve, primeiramente, ler o
conteúdo do diretório solicitado pelo usuário. A informação é formatada para facilitar
a sua disposição na tela e, finalmente, novas chamadas de sistema serão feitas para
listar essas informações na tela. O interpretador de comandos não precisa,
obrigatoriamente, ser um programa de sistema. Ele pode fazer parte do sistema
operacional. Entretanto, a solução descrita antes é a que oferece a maior
flexibilidade. O que foi dito sobre o interpretador de comandos é igualmente válido
para a situação em que o sistema operacional oferece uma interface gráfica de
usuário (GUI – graphical user interface). A diferença está na comodidade para o
usuário, que passa a usar ícones, menus e mouse para interagir com o sistema.
1.9.1 Gerência de processador

Em um sistema multiprogramado diversos programas são mantidos na
memória ao mesmo tempo. Supondo que o sistema operacional inicia a execução do
programa 1. Após algum tempo, da ordem de milisegundos, o programa 1 faz uma
chamada de sistema. Ele solicita algum tipo de operação de entrada ou saída. Por
exemplo, uma leitura do disco.
47
Sem multiprogramação, o processador ficaria parado durante a realização do
acesso. Em um sistema multiprogramado, enquanto o periférico executa o comando
enviado, o sistema operacional inicia a execução de outro programa. Por exemplo, o
programa 2. Dessa forma, processador e periférico trabalham ao mesmo tempo.
Enquanto o processador executa o programa 2, o periférico realiza a operação
solicitada pelo programa 1.
1.9.2 Processos
Processos são criados e destruídos. O momento e a forma pela qual eles são
criados e destruídos depende do sistema operacional em consideração. Alguns
sistemas trabalham com um número fixo de processos. A forma mais flexível de
operação é permitir que processos possam ser criados livremente, através de
chamadas de sistema. Além da chamada de sistema "cria processo", serão
necessárias chamadas para "autodestruição do processo" e também para
"eliminação de outro processo".
A maioria dos processos de um sistema executa programas dos usuários.
Entretanto, alguns podem realizar tarefas do sistema. São processos do sistema
(daemons), não dos usuários. Por exemplo, para evitar conflitos na utilização da
impressora, muitos sistemas trabalham com uma técnica chamada spooling. Para
imprimir um arquivo, o processo de usuário deve colocá-lo em um diretório especial.
Um processo do sistema copia os arquivos desse diretório para a impressora. Dessa
forma, um processo de usuário nunca precisa esperar a impressora ficar livre, uma
vez que ele não envia os dados para a impressora, mas sim para o disco. O
processo que envia os dados para a impressora não está associado a nenhum
usuário. É um processo do próprio sistema operacional.
48
No estado executando, um processo pode fazer chamadas de sistema. Até a
chamada de sistema ser atendida, o processo não pode continuar sua execução. Ele
fica bloqueado e só volta a disputar o processador após a conclusão da chamada.
Enquanto espera pelo término da chamada de sistema, o processo está no estado
bloqueado (blocked), conforme figura 32:
Figura 32. Diagrama de estados de um processo. Autor: Rômulo Silva de Oliveira, Alexandre da Silva
Carissimi, e Simão Sirineo Toscani, Sistemas Operacionais. Editora SagraLuzzatto. 2001. Pag. 5.
1.9.3 Gerência da Memória
Na multiprogramação, diversos processos são executados simultaneamente,
através da divisão do tempo do processador. Para que o chaveamento entre eles
seja rápido, esses processos devem estar na memória, prontos para executar. É
função da gerência de memória do sistema operacional prover os mecanismos
necessários para que os diversos processos compartilhem a memória de forma
segura e eficiente. A técnica particular que determinado sistema operacional
emprega depende, entre outras coisas, de o que a arquitetura do computador em
questão suporta.
A memória lógica de um processo é aquela que o processo enxerga, ou seja,
aquela que o processo é capaz de acessar. Os endereços manipulados pelo
processo são endereços lógicos. Em outras palavras, as instruções de máquina de
um processo especificam endereços lógicos. Por exemplo, um processo executando
um programa escrito na linguagem C manipula variáveis tipo pointer. Essas variáveis
49
contêm endereços lógicos. Em geral, cada processo possui a sua memória lógica,
que é independente da memória lógica dos outros processos. A memória física é
aquela implementada pelos circuitos integrados de memória, pela eletrônica do
computador. O endereço físico é aquele que vai para a memória física, ou seja, é
usado para endereçar os circuitos integrados de memória.
1.9.4 Sistema de Arquivos
O sistema de arquivos é a parte do sistema operacional mais visível para os
usuários. Durante o tempo todo, usuários manipulam arquivos contendo textos,
planilhas, desenhos, figuras, jogos, etc. Esse fato exige que o sistema de arquivos
apresente uma interface coerente e simples, fácil de usar. Ao mesmo tempo,
arquivos são normalmente implementados a partir de discos magnéticos. Como um
acesso a disco demora cerca de 100.000 vezes mais tempo do que um acesso à
memória principal, são necessárias estruturas de dados e algoritmos que otimizem
os acessos a disco gerados pela manipulação de arquivos.
É importante observar que sistemas de arquivos implementam um recurso em
software que não existe no hardware. O hardware oferece simplesmente espaço em
disco, na forma de setores que podem ser acessados individualmente, em uma
ordem aleatória. O conceito de arquivo, muito mais útil que o simples espaço em
disco, é uma abstração criada pelo sistema operacional. Nesse caso, o sistema
operacional criando um recurso lógico a partir dos recursos físicos existentes no
sistema computacional.
1.9.5 Entrada e Saída de informação (dados).
Esse mecanismo constitui o que é denominado genericamente de dispositivos
de entrada e saída. Atualmente, é possível encontrar uma grande variedade de
dispositivos, desde dispositivos desenvolvidos para permitir a comunicação do
50
homem com o computador (teclado, mouse, monitor de vídeo, etc) até dispositivos
que possibilitam a comunicação entre computadores (modems, placas de redes,
etc), ou ainda os que são destinados à conexão de outros equipamentos ao
computador (unidades de fita, disquetes, disco rígido, CD-ROM, etc).
Apesar da diversidade, esses dispositivos de entrada e saída possuem alguns
aspectos de hardware em comum. De acordo com o sentido do fluxo de dados entre
o computador e o dispositivo, esses podem ser divididos em periféricos de entrada,
periféricos de saída, ou ainda periféricos de entrada e saída. Um periférico pode ser
visto como qualquer dispositivo conectado a um computador de forma a possibilitar
sua interação com o mundo externo. Os periféricos são conectados ao computador
através de um componente de hardware denominado interface. Considerando-se a
diversidade, a complexidade, e as diferentes formas de operações em função do tipo
de periférico, as interfaces empregam no seu projeto um outro componente de
hardware: o controlador. A função básica de um controlador é traduzir operações
genéricas do tipo “ler dados”, “escrever dados”, “reinicializar”, “ler status” ou
“escrever comando” para uma seqüência de acionamentos eletrônicos, elétricos e
mecânicos capazes de realizar a operação solicitada. Para isso, o controlador deve
saber como o periférico funciona, resultando que cada tipo de periférico necessita de
um controlador diferente. A gerência de E/S está relacionada com aspectos de
hardware de um computador.
51
Capitulo II – Características dos Sistemas
Nesse capitulo será apresentado algumas características próprias de cada
sistema operacional que será apresentado nesse trabalho.
2.1 Características Windows Server 2008
O Windows Server 2008 já vem com suas próprias diretivas de senhas, ou
seja, antes mesmo da instalação do Active Directory, no primeiro logon uma senha
deve ser criada para efetuar o logon, mas agora as senhas devem ter uma
complexidade que já é determinada pelo Windows Server 2008, ou seja, com
caracteres especiais são no mínimo sete dígitos.
Uma das novidades na questão de virtualização, no Windows Server 2008 é
o Hyper-v, que permite a criação de máquinas virtuais dentro do servidor e a
interconectividade dessas máquinas virtuais em um ambiente de rede.
O Server Manager oferece os serviços e aplicativos que podem instalar em
um servidor com Windows Server 2008, como por exemplo:
 Servidores de arquivos;
 Servidores controladores de domínio;
 Servidores DNS;
 Servidores de fax;
 Servidões de impressão;
 Servidores de Web.
O Windows Server 2008 não oferece o serviço de servidores de email, para
configurar um servidor de email é necessário um adquirir um software que ofereça
esse tipo de serviço e que seja compatível com o Windows Server 2008.
52
O Server Manager oferece vários aplicativos para instalação esses aplicativos
servem de suporte para os serviços assim se podem instalar apenas os aplicativos
necessários para o funcionamento dos serviços em atividade no servidor.
O serviço de backup do Windows Server 2008 não oferece mais suporte para
backups feitos em fitas, o Windows Server 2008 só oferece suporte para backups
feitos em volumes, também não é possível fazer backup de um diretório específico
apenas backup do volume inteiro, é possível especificar a data o dia e hora que esse
backup será feito.
O Windows Server 2008 possui o serviço para criação de usuários e grupos
assim inserindo esses usuários no domínio para que esses usuários tenham acesso
a os serviços oferecidos na rede, o active directory, nesse serviço é possível
também determinar o que o usuário pode acessar na rede, e no Windows Server
2008 é possível adicionar um serviço chamado indentity management for unix com
esse serviço é possível inserir usuários com sistemas baseados em Unix no domínio
do Windows Server 2008.
O Windows Server 2008 já oferece suporte para ipv6, o ipv6 oferece suporte
para novas tecnologias baseadas em serviço IP como, por exemplo, vídeos em
tempo real e voip.
2.1.1 Requisitos de instalação do Windows Server 2008
Para a instalação do Windows Server 2008 é necessário requisitos de
máquina básicos para sua execução, há as especificações tanto mínimas quanto as
recomendadas conforme a tabela 1, de acordo com o site da Microsoft:
http://msdn2.microsoft.com/en-us/windowsserver/cc196364.aspx.
53
Tabela 1. Requisitos de instalação Windows Server 2008. Elaborada pelos próprios autores.
54
2.2 Características Linux Debian 5.0
O Linux Debian possui suporte a 12 arquiteturas de processadores diferentes,
dentre elas I386 (x32), IA64 (x64), Risc e entre outras. Para sua instalação não é
requisitado uma máquina igual ao do Windows Server 2008, consome menos
memória e ocupa menos espaço no disco com arquivos de sistema.
É um sistema totalmente adaptável as necessidades, pode-se escolher entre
um instalação de um serviço em específico como de vários outros específicos, como
por exemplo, servidor de email, DNS, servidor de arquivos e entre outros.
Suas principais ferramentas podem ser atualizadas através de downloads de
novos pacotes de instalação ou simplesmente instalar algum software que não
acompanhou a instalação por padrão, como será descrito no capítulo 4, a instalação
do firewall FireStarter, do Anti-Vírus ClamAV e do virtualizador de máquinas:
VMWare.
2.2.1 Requisitos de instalação do Linux Debian 5.0
Os dados da tabela 2 está de acordo com as informações do site:
http://www.debian.org/releases/stable/i386/ch03s04.html.pt.
Tabela 2. Requisitos de instalação Linux Debian 5.0. Elaborada pelos próprios autores.
55
Os verdadeiros requisitos mínimos de memória sem muito inferiores aos
números listados nesta tabela. Dependendo da arquitetura, é possível instalar
Debian até 48MB (para i386 e amd64). O mesmo se passa para os requisitos de
espaço em disco, especialmente se escolher quais as aplicações a instalar.
É possível rodar um ambiente de desktop gráfico em sistemas mais antigos
ou fracos, mas neste caso é recomendado instalar um gestor de janelas que
necessite de menos recursos que os ambientes GNOME e KDE, as alternativas
incluem xfce4, icewm e wmaker, mas há outros que podem ser escolhidos.
56
Capitulo III – Instalação e configuração do Windows Server 2008
Nesse capitulo será mostrado a instalação e a configuração de alguns
recursos do Windows Server 2008, como por exemplo, o Active Directory onde é
possível a criação de usuários, grupos e o backup do Active Directory e depois o
gerenciamento, será mostrado como criar cotas para arquivos, impressoras e
pastas, abordará como é feita a parte de backup do Windows Server 2008, e por fim
a interoperabilidade em ambientes baseados em Linux e Unix.
3.1 Instalação do Sistema
A primeira tela da instalação do Windows Server 2008 será determinado o
idioma, o formato de data e moeda e o formato do teclado, como mostra a figura 33.
Figura 33: idioma e formato teclado. Fonte: Imagem criada pelos autores
57
Depois de concluir essa primeira tela o Windows exibirá uma tela pedindo
para que insira a chave do produto, no Windows Server 2008 existe a opção de
inserir a chave do produto após a instalação do mesmo como mostra a figura 34.
Figura 34: Chave do prouto. Fonte: Imagem criada pelos autores
Na próxima etapa da instalação o Windows exibirá uma tela com varias
versões do Windows Server 2008 nesta tela deve-se escolher a versão determinada
na compra da licença do software como mostra a figura 35.
58
Figura 35: versão da instalação. Fonte: www.technet.com Fabio Hara tutorial Windows Server 2008
Na figura 35, pode-se observar que existe a versão full installation e a core
installation a diferença é que a core não irá instalar todos os recursos gráficos, esta
versão é direcionada para servidores com funções especificas como um servidor de
de domínio ou DNS.
Na próxima tela da instalação, irá aparecer duas opções, uma será a de
upgrade e a outra a de custom, a opção de upgrade é para que tem a versão do
Windows Server 2003 assim pode-se atualizar a atualização já existente, como
mostra a figura 36.
59
Figura 36: Instalação customizada ou atualização. Fonte: Imagem criada pelos autores
Após essa etapa o Windows mostrará uma tela para que escolha em qual
disco o Windows Server 2008 será instalado como mostra a figura 37.
Figura 37: disco de instalação. Fonte: Imagem criada pelos autores
60
A instalação do Windows Server 2008 utiliza 10 gb de espaço no disco rígido,
após essa etapa a instalação terá início.
Depois da instalação o Windows pedirá para que a senha de administrador
seja inserida no Windows Server 2008. Para a criação de senhas ele exige uma
complexidade na criação das senhas então senhas como “ZXCV123” não serão
aceitas.
3.2 Tarefas iniciais de configuração
Diferente do Windows Server 2000 e 2003 que no momento da instalação era
necessário configurar o nome da máquina, se pertencia ou não ao domínio,
configuração da placa de rede, o Windows Server 2008 é diferente no momento do
primeiro logon, após a instalação por uma ferramenta chamada Initial
Configuration Tasks é a primeira tela que aparece após a instalação como mostra a
figura 38.
Figura 38: Configurações iniciais. Fonte: Imagem criada pelos autores
61
Essa ferramenta fornece todas as instruções de passo a passo do que deve
ser feito, configuração de hora e data, configuração de rede, entre outros. Para
alterar o nome da máquina é só clicar em provide computer name and domain,
depois em change e o Windows manterá um nome padrão mais próximo, é possível
mudar depois.
Com a mudança o Windows solicita para que o sistema seja reiniciado, é
recomendável. Nesta mesma tela tem-se a opção de criar um domínio de rede, que
é uma máquina configurada como controlador de domínio, que gerenciando pastas,
dispositivos como impressoras, por exemplo, se algum usuário da rede quiser usar
esses recursos ele deve entrar no domínio, a figura 39 mostra a tela onde é feita a
troca do nome e é possível inserir a máquina em domínio ou em um grupo de
trabalho.
Figura 39: Nome do computador, grupo de trabalho, domínio. Fonte: Imagem criada pelos autores
62
No exemplo o nome do computador foi mudado para TCCDRUMTATUAPE,
pode ser qualquer outro nome.
Após o sistema reiniciar, retornasse a tela de configuração onde continuará a
configuração da placa de rede, é só clicar em configure network depois pressionar o
botão direito e em propriedades e observasse que o Windows Server 2008 já possui
suporte para IPv6, o motivo é que os endereços livres do IPv4 estão próximos de
acabar por isso o IPv6 é de extrema importância, pois trabalha com um sistema de
endereçamento alfa numérico, outra diferença é o que o IPv6 foi criado para
trabalhar como novas tecnologias baseadas em IP como VOIP, vídeos em tempo
real entre outras, a figura 40 mostra a opção de escolha entre o IPv4 e o IPv6 no
Windows Server 2008.
Figura 40: IPv4 e IPv6. Fonte: Imagem criada pelos autores
Neste exemplo é utilizado o IPv4, no endereço IP, é utilizado o endereço IP
192.128.1.50 com a máscara 255.255.255.0 e o endereço de gateway que será o
63
192.128.1.1, não será configurado o endereço DNS por enquanto, então coloca-se
colocar o endereço 127.0.0.1 que é o próprio endereço IP da máquina, nunca
poderá colocar no endereço de DNS o endereço de Internet pois isso irá ocasionar
vários problemas na configuração do Active Directory configuração do endereço IP
mostrada na figura 41.
Figura 41: endereço IP. Fonte: Imagem criada pelos autores
Nos próximos passos é possível ativar as atualizações automáticas existe
também a opção para que o Windows faça as atualizações na hora no próximo
passo podemos adicionar regras serviços no nosso servidor pode-se utilizar o Initial
Configuration Tasks ou uma outra ferramenta que se chama Server Manager.
64
O Server Manager mostra todas as ferramentas e serviços que estão
instalados no servidor, é possível também ver e gerenciar algumas opções de
segurança como firewall do Windows como mostra a figura 42.
Figura 42: gerenciador. Fonte: Imagem criada pelos autores
Outra ferramenta de segurança é o IE ESC que restringe até mesmo o
administrador da rede a navegar por determinados sites isso fortalece ainda mais a
segurança da rede.
Outra função desse aplicativo é adicionar os serviços que iram ser usados no
servidor, o caminho é em roles e em seguida add roles, assim pode-se adicionar os
serviços que serão utilizados nesse servidor como mostra a figura 43.
65
Figura 43: serviços. Fonte: Imagem criada pelos autores
Outra possibilidade é adicionar os features os recursos que serão utilizados
no servidor para adicionar as features é só ir em features e add features como
mostra a figura 44.
Figura 44: recursos. Fonte: Imagem criada pelos autores
66
Os recursos oferecem suporte a os serviços do servidor. Ainda no Server
Manager na parte de storage e no disck management é possível ver todos os discos
disponíveis no servidor como mostra a figura 45.
Figura 45: discos. Fonte: Imagem criada pelos autores
Em Configuration é possível ver os serviços que estão em execução no
servidor, a parte de configuração avançada do firewall do Windows, é possível
também configurar o agendador de tarefas, a configuração do WMI que é uma
ferramenta de gerenciamento de serviços.
Em usarios locais e contas locais é possível ver todos os usuários conectados
ao servidor.
E por fim o Device Manager onde é possível observar todos os dispositivos
físicos do servidor como placa de vídeo, placa de rede, processador, etc.
67
3.3 Instalação do Active Directory
Para instalar o Active Directory é necessário usar o Server Manager e em
seguida, em add roles o serviço que será utilizado será o Active Directory domain
services como mostra a figura 46.
Figura 46: Active Directory domain services. Fonte: Imagem criada pelos autores
A função do Active Directory é fornecer uma estrutura de objetos de redes
como usuários, diretórios, computadores, quando instalado em um servidor ele
transforma esse servidor em um controlador de domínio.
Agora a parte de rede localiza-se em Network and Sharing Center e em
seguida em Manage Network Connections se houver mais de uma placa de rede no
servidor é necessário ir na aba Advanced depois em Advanced Settings e observar
se a placa que irá se comunicar com as estações de rede esta listada como a
primeira pois será através dela que o servidor irá responder as requisições do Active
68
Diretory caso contrario isso causará problemas para autenticação do Active
Directory listagem das placas mostrada na figura 47.
Figura 47: Listagem de placas de rede. Fonte: Imagem criada pelos autores
Para configurar o endereço de DNS na placa de rede e colocar o endereço do
servidor, pois quando instalado o Active Directory no servidor ele deve ser
o servidor de DNS da rede corporativa, então em todas as estações de trabalho da
na rede será configurado o endereço de DNS do controlador de domínio da rede.
A instalação do Active Directory,definição do local onde serão instalados
todos os arquivos necessários para o Active Directory .
Após o término da instalação o Windows irá pedir para que seja executado um
comando chamado “dcpromo.exe” como mostra a figura 48.
69
Figura 48:Solicitação de execução do comando dcpromo. Fonte: Imagem criada pelos autores
Agora é necessário ir em iniciar e executar o “comando dcpromo.exe” e uma
outra tela de instalação irá surgir para concluir a instalação como mostra a figura 49.
Figura 49: Continuação da instalação. Fonte: Imagem criada pelos autores
70
Agora será selecionada a opção de Use advanced mode installation, logo
após duas outras opções iram aparecer uma é a existing forest e a outra e a create
a new domain in a new forest a opção existing forest é para ambientes que já
possuam um domínio e serve para adicionar mais um controlador de domínio, a
outra opção é para criar tudo criando assim um controlador de domínio em uma
rede como mostra a figura 50.
Figura 50: Criando um novo controlador de domínio. Fonte: Imagem criada pelos autores
Agora é necessário informar o nome do domínio, nessa parte é obrigatório
colocar dois tipos de nomes, um é no padrão netBIOS; este nome deve possuir até
15 caracteres, já no formato FQDN ele pode ter até 255 caracteres como mostra a
figura 51.
71
Figura 51: formato FQDN. Fonte: Imagem criada pelos autores
Para redes internas que não será acessado pela Internet pode-se optar
pelo .corp caso contrario pode-se utiliza-se o .com ou .com.br nessa parte é
importante utilizar nome do domínio ponto uma dessas opções, logo após será irá
verificar o nome de domínio netBIOS como mostra a figura 52.
Figura 52: Formato netBIOS. Fonte: Imagem criada pelos autores
72
Por padrão será sugerido o nome do formato FQDN mais esse nome pode
ser outro qualquer.
Agora será definido o nível de funcionalidade da rede, três opções irão
aparecer onde se pode escolher por controladores de domínios Windows 2000,
Windows Server 2003 e Windows Server 2008, lista do nível mais baixo para o mais
alto, caso o nível mais alto for selecionado não haverá como regredir para um nível
menor de funcionalidade mostrado na Figura 53.
Figura 53: Nível de funcionalidade do domínio. Fonte: Imagem criada pelos autores
No próximo passo o Windows irá perceber que o endereço de DNS está
apontando para o servidor, porém essa máquina não possui o serviço de DNS,
então será sugerido pelo Windows que o serviço de DNS seja instalado no servidor
como mostra a figura 54.
73
Figura 54: Instalação do DNS. Fonte: Imagem criada pelos autores
Logo após o Windows informara onde irá ficar o banco de dados do Active
Directory, onde ficaram os arquivos de log e a pasta SYSVOL que á as pastas
utilizada para armazenar as polices ou políticas de grupos como mostra a figura 55.
Figura 55: Banco de dados, log pasta SYSVOL. Fonte: Imagem criada pelos autores
74
Agora será pedida a senha do modo de restauração da máquina, essa senha
será utilizada quando houver a necessidade de iniciar o servidor em modo de
segurança para fazer manutenções no servidor, como mostra a figura 56.
Figura 56: Senha de restauração. Fonte: Imagem criada pelos autores
Agora um resumo do que o Windows irá modificar no servidor será mostrado,
é de extrema importância que a opção reboot on completion seja marcada é muito
importante que o servidor seja reiniciado após a instalação para que a instalação
não seja comprometida.
3.4 Verificando a Instalação do active directory
Após a instalação do active directory é necessário verificar se a instalação foi
bem sucedida, logo no início já se pode reparar que o nome do domínio aparece
separado por uma barra pelo administrador como mostra a figura 57.
75
Figura 57: Nome do domínio. Fonte: Imagem criada pelos autores
Em administrative tools será verificado se o DNS foi instalado corretamente
dentro da console do DNS é necessário verificar a criação de duas pastas, uma é
_msdcs.nome do domínio e a outra terá o nome do domínio como mostra a figura
58.
Figura 58: Pasta _msdcs e pasta com nome do domínio. Fonte: Imagem criada pelos autores
76
Na pasta que contém o nome do domínio é importante verificar a criação de
quatro pastas a _msdcs, _sites, _TCP, _UDP, como mostra a figura 59.
Figura 59: Pastas do dns. Fonte: Imagem criada pelos autores
Novamente em administrative tools será verificado o a console Active
directory user and computers se o nome de domínio for mostrado que dizer que o
Windows já esta acessando o active directory como mostra a figura 60.
77
Figura 60: Verificando nome de domínio no active directory. Fonte: Imagem criada pelos autores
Em domain controllers é possível verificar o seu servidor, é recomendável que
não se remova as máquinas da pasta domain controllers isso pode ocasionar vários
problemas no active directory.
Agora clicando em iniciar na barra de pesquisa digitando \\ e o nome do
servidor, o \\ significa um caminho de rede, fazendo esse procedimento uma tela
será exibida é importante verificar se dois compartilhamentos foram criados o
netlogon e o sysvol todo controle de domínio deve ter essas duas pastas como
mostra a figura 61.
78
Figura 61: pastas netlogon e sysvol. Fonte: Imagem criada pelos autores
3.5 Active Directory Sites and Services
Novamente em administrative tools e em Active Directory Sites and Services
essa ferramenta o administrador deve informar todas as localidades da empresa,
como escritórios e a localidade da matriz da empresa, para a comunicação entre
escritórios remotos que utilizarão o protocolo TCP/IP, esses escritórios terão faixas
de endereço IP diferentes, por padrão o Windows cria a primeira localidade como
default-frist-site-name para atribuir a faixa de endereço IP é necessário clicar com o
botão direito do mouse em subnet e depois em new subnet , agora é só atribuir a
faixa de endereçamento IP a essa subnet como mostra a figura 62.
79
Figura 62: Criação de subnet. Fonte: Imagem criada pelos autores
Logo após uma faixa IP será cadastrada e mostrada na pasta subnets pode-
se criar também os sites é só clicar com o botão direito do mouse em na pasta site e
em new site e atribuir faixas de endereçamentos IP a esses sites como mostra a
figura 63.
Figura 63: criação de sites. Fonte: Imagem criada pelos autores
80
3.6 Criação de usuários, grupos e unidades organizacionais
Para isso é necessário ir em console Active directory user and computers nele
pode-se criar unidades organizacionais isso ao permite que o administrador da rede
organizar os objetos da rede, para criar uma unidade organizacional é só clicar com
o botão direto do mouse no nome do domínio em seguida em organizational unit
Figura 64: Unidade organizacional. Fonte: Imagem criada pelos autores
Logo após deve-se nome essa unidade organizacional, dentro da unidade
organizacional pode-se criar outras unidades de acordo com os departamentos de
uma empresa para isso é só clicar com o botão direito do mouse em new e logo
depois em organizational unit, agora é só colocar o nome do departamento e pronto
81
Figura 65: Objeto organizacional. Fonte: Imagem criada pelos autores
Para criar usuários é só clicar com o botão direito do mouse no objeto
organizacional em seguida new e user, uma janela vai aparecer nela deve-se
informar o nome do usuário e o login do usuário como mostra a figura 66.
Figura 66: Criação de usuários. Fonte: Imagem criada pelos autores
82
Após essa etapa será solicitado que determine a senha de logon do usuário,
existe a opção user must change password at next logon essa opção permite que o
usuário mude sua senha no próximo logon na rede como mostra a figura 67.
Figura 67: Criação de senhas de usuários. Fonte: Imagem criada pelos autores
A senha de usuários assim como a do administrador deve conter caracteres
especiais.
Para criar um grupo o é só clicar com o botão direito no objeto organizacional
em new e group em seguida determina-se o nome do grupo como mostra a figura
68.
83
Figura 68: Criação de grupos. Fonte: Imagem criada pelos autores
Por padrão os grupos são criados como global mais isso pode ser mudado,
existem três tipos de grupos.
 Domain local : Grupos locais de domínio são usados para atribuição direta de
diretivas de acesso em recursos específicos que não estão diretamente
ligadas ao active directory como banco de dados por exemplo.
 Global: grupos globais são usuários inseridos no domínio de modo misto
podem ser colocados apenas nos descritores de segurança dos objetos de
recursos que residem no mesmo domínio.
 Universal: grupos universais podem ser usados em qualquer lugar na mesma
floresta do Windows.
Para inserir um usuário em grupo, é só clicar no usuário depois na aba member
off depois em add em seguida escrever o nome do grupo que deseja inserir o
usuário em enter the object name to select em seguida em check names depois é só
84
clicar em ok e pronto o usuário já esta em grupo de trabalho como mostra a figura
69.
Figura 69: Inserir usuários em grupos de trabalho. Fonte: Imagem criada pelos autores
Para inserir estações de trabalho ao domínio deve-se ir nas configurações
TCP/IP das estações de trabalho e colocar o endereço de DNS do controlador de
domínio da rede.
3.7 – Instalação do servidor de DHCP
O servidor de DHCP distribui endereços IP para estações na rede, para
instalar esse serviço deve-se entrar no Server Manager em seguida em roles e
depois em add roles depois é só selecionar o serviço de DHCP e a instalação terá
início como mostra a figura 70.
85
Figura 70: Instalação do DHCP. Fonte: Imagem criada pelos autores
Agora será exibida as informações de rede, o servidor que tiver o serviço de
DHCP deve ter IP fixo não pode ser IP dinâmico como mostra a figura 71.
Figura 71: Informações de rede. Fonte: Imagem criada pelos autores
86
Logo após será mostrado o nome de domínio e os servidores de DNS, logo
depois o Windows vai perguntar se será instalado o suporte a WINS, WINS é um
suporte para estações Windows 98 e NT 4 para resolver o nome de máquina como
endereço IP se a rede não possuir estações Windows 98 e NT 4 não é necessário
instalar esse serviço.
Agora é necessário informar a faixa de endereçamento IP que será
distribuída para as estações de trabalho como mostra a figura 72.
Figura 72: Determinando faixa de endereçamento IP. Fonte: Imagem criada pelos autores
Nessa parte além do faixa de endereçamento IP deve-se informar o scope
name e determinar quanto tempo esse endereço IP vai ser oferecido as estações de
trabalho na próxima tela será perguntado se será ou não habilitado o suporte para
ipv6 isso é opcional.
87
Agora o Windows perguntará qual credencial será utilizada para ativar o
serviço de DHCP como mostra a figura 73.
Figura 73: Credencial para o serviço de DHCP. Fonte: Imagem criada pelos autores
Agora um resumo do que foi feito será mostrado e o serviço de DHCP será
instalado na rede.
3.8 Compartilhamentos de pastas e gerenciador de arquivos
Para compartilhar pastas é só clicar com o botão direito mouse em share ou
properties em seguida na guia share e em advanced sharing em seguida o nome de
compartilhamento da pasta será mostrado, não é preciso que o nome da pasta seja
o mesmo do compartilhamento pode-se mudar o nome, em premissions pode-se
definir as permissões de acesso da pasta, se o administrador da rede desejar pode-
se determinar que só um certo grupo de trabalho tenha acesso a pasta como mostra
a figura 74.
88
Figura 74: Compartilhamento de pastas. Fonte: Imagem criada pelos autores
Agora será mostrado como se pode controlar os tipos de arquivos que serão
inseridos nas pastas, para isso deve-se ir a console Server manager em seguida em
roles em add roles e selecionar file services como mostra a figura 75.
Figura 75: File services. Fonte: Imagem criada pelos autores
89
Agora deve-se selecionar o disco que será monitorado e a instalação terá
início, essa ferramenta determinará que tipos de extenções de arquivos podem ser
salvos nas pastas do domínio, e limitar o espaço usado por usuários nas pastas.
Para iniciar a ferramenta deve-se ir em administrative tools e em file Server
resource manager e a console da ferramenta será exibida em quota management é
possível criar cotas por diretórios, para criar uma cota é só clicar em create quota e
uma janela será exibida nesta tela deve-se informar o diretório o limite de espaço
permitido nesse diretório como mostra a figura 76.
Figura 76: Cotas para diretórios. Fonte: Imagem criada pelos autores
Para editar a cota criada, clicar com o botão direito do mouse e em Edit quota
propreties e pode-se informar o tamanho do espaço permitido para pasta, irá ser
alterada a dois tipos de quotas a hard cota e a soft quota na hard quota, quando o
limite é ultrapassado não será permitido para o usuário gravar mais arquivos, já na
soft quota o usuário poderá continuar salvando arquivos, mas será monitorado em
90
notication threshold, podem-se configurar regras de notificação antes que a pasta
ultrapasse seu limite, uma mensagem será envida para o administrador conforme
determinado pelo mesmo pode ser por email por event log pode executar um
comando ou gerar um relatório, relatório pode ser por tamanho de arquivo, grupo de
trabalho como mostra a figura 77.
Figura 77: Edição de quotas. Fonte: Imagem criada pelos autores
Em file screening management aqui será definido que tipo de extensão será
que podem ser gravadas no diretório, para bloquear um tipo específico de arquivo é
só clicar em create file screen uma janela vai ser exibida nesta janela deve-se
informar o diretório e quais tipos de arquivos devem ser bloqueados como mostra a
figura 78.
91
Figura 78: Tipos de extensões bloqueadas. Fonte: Imagem criada pelos autores
Para criar relatórios de utilização de espaço em disco é só clicar em storange
reports management pode determinar que o Windows envio um relatório em uma
data pré determinada clicando em new report por diretórios e pode-se escolher qual
será o formato do relatório como mostra a figura 79.
Figura 79: Relatório de uso em disco. Fonte: Imagem criada pelos autores
92
Pode-se definir como a entrega será feita como mostra a figura 80, caso nada
seja informado ele enviará para um diretório no Windows mostrado na mesma
janela.
Figura 80: Entrega de relatório de uso em disco. Fonte: Imagem criada pelos autores
E na aba scheldule pode-se determinar quando o Windows vai enviar esse
relatório se toda a semana, todo mês conforme determinado pelo administrador
93
Figura 81: Freqüência de entrega do relatório. Fonte: Imagem criada pelos autores
Se preferir pode-se gerar um relatório na hora é só clicar em generate reports
now depois escolher o diretório e em seguida determinar o tipo de relatório e o
formato que o relatório será exibido.
3.9 Gerenciamento de impressoras de rede
Para gerenciar impressoras em rede, pede-se para instalar impressoras em
um servidor e então esse servidor irá controlar as permissões de acesso as
impressoras de rede, para instalar impressoras no Windows Server 2008 abrir o
control panel e em seguida em printers no menu de impressoras se deve clicar em
add printers o Windows Dara duas opções de instalação de impressoras uma será a
add a local printers para impressoras conectadas diretamente ao servidor e a outra
opção é a add a network esse tipo de impressora uso o protocolo TCP/IP para se
conectar a rede.
94
Se a escolha for de uma impressora local o Windows pedirá para que se
determine que tipo de porta seja usado USB, porta de impressão entre outra como
mostra a figura 82.
Figura 82: Portas para impressoras. Fonte: Imagem criada pelos autores
Agora se pode informar qual tipo de impressora será usado o Windows
Server 2008, já possui vários de drives de impressoras de diversas marcas como
mostra a figura 83.
95
Figura 83: Tipo de impressora. Fonte: Imagem criada pelos autores
Logo após será pedido para que se determine o nome da impressora, em
seguida o Windows vai pedir para que informe se a impressora será compartilhada
ou não e a que lugar ele pertence como mostra a figura 84.
Figura 84: Localidade da impressora. Fonte: Imagem criada pelos autores
96
Para criar impressoras de rede deve-se escolher a opção create a new port e
escolher a opção standard TCP/IP port como mostra a figura 85.
Figura 85: Impressora de rede com protocolo tcp/IP. Fonte: Imagem criada pelos autores
Logo após o Windows vai pedir qual o endereço TCP/IP da impressora, em
seguida o Windows já vai identificar a impressora, e o mesmo procedimento sera
solicitado pelo Windows para determinar a localidade da impressora.
Para definir as permissões de acesso é só clicar com o botão direito do
mouse na impressora em seguida em properties em seguida é só clicar na guia de
compartilhamento nesta guia vai ter uma opção chamada de list in the directory
nesta opção qualquer usuário cadastrado no active directory vai ter acesso a essa
impressora, na guia advanced terá opções de disponibilidade dessa impressora
definindo o horário que a impressora estará funcionando como mostra a figura 86.
97
Figura 86: Disponibilidade da impressora. Fonte: Imagem criada pelos autores
Na guia security é possível definir as permissões por padrão todos os
usuários da rede podem imprimir mais se pode determinar um grupo específico e só
esse grupo terá acesso a essa impressora como mostra a figura 87.
Figura 87: Permissões de uso da impressora. Fonte: Imagem criada pelos autores
98
3.10 Backup no Windows Server 2008
No Windows Server 2008 não é mais possível usar fita para backup somente
disco rígido e é feito somente backup por volume e não por diretório específico, para
configurar um disco rígido para a função de backup é só em administrative tools e
em seguida em computer management agora é só clicar em disck management se
houver um disco um disco instalado no servidor o Windows vai informar que já
encontrou um novo disco nessa parte pode-se escolher dois tipos de partição a MBR
ou a GPT, a opção GPT só é usada com partições acima de 2 TB como mostra a
figura 88.
Figura 88: Tipo de partição de disco. Fonte: Imagem criada pelos autores
Logo após a criação do volume deve-se clicar com o botão direito do mouse
em new simple volume em seguida deve-se definir o tamanho da partição e a letra
de drive que será atribuída para essa partição, o tipo de sistema de arquivo que será
usado e o nome do volume como mostra a figura 89.
99
Figura 89: Formatação da partição. Fonte: Imagem criada pelos autores
Após a instalação é só ir a administrative tools e clicar em Windows Server
backup após abrir a ferramenta vai aparecer um tutorial de backup do servidor.
Para fazer um backup agendado é só clicar em backup Schedule agora se
pode escolher duas opção a full Server que fará o backup de todos os arquivos do
servidor ou a custom na nessa opção deve-se escolher qual volume deve ser feito o
backup, agora deve-se escolher quando o backup será feito, se pode escolher
quantas vezes o backup será feito por dia e os horários como mostra a figura 90.
100
Figura 90: Escolha de horários para se fazer o backup. Fonte: Imagem criada pelos autores
Agora será perguntado de qual volume será feito o backup só se pode
selecionar o disco não se pode selecionar o diretório, logo após o Windows vai
perguntar se o volume seleciona vai ser usado somente para backup, depois o
Windows vai formatar o volume e ele será utilizado somente para backup e o volume
já vai estar pronto para fazer backup do servidor nos horários estipulados pelo
administrador.
Para fazer um backup fazer um backup sem agendamento é só clicar em
backup once, no backup once se pode utilizar as mesma opções utilizadas no
backup Schedule ou a opção diferent options nesta opção também se pode fazer
backup de todo o servidor ou determinar o volume, agora duas opção de
armazenamento de backup vão aparecer a local drivers nesta opção se pode
armazenar o backup em um disco ou uma mídia com uma mídia de dvd por
101
exemplo, ou a opção de remote shared folder onde o backup será feito em um
compartilhamento de rede.
3.11 Monitor de confiabilidade do servidor
Para abrir o console do monitor de confiabilidade do Windows Server 2008
basta clicar em administrative tools e em seguida em reliability and performance,
nessa ferramenta se pode verificar a utilização do CPU do servidor, os executáveis
que estão em atividade no servidor, em disck se pode saber em qual diretório estão
os executáveis ativos naquele momento, em network se pode verificar quais
executáveis do servidor as máquinas na rede estão utilizando e quantas máquinas
estão conectadas a esse servidor, monitor de confiabilidade mostrado na figura 91.
Figura 91: Monitor de confiabilidade. Fonte: Imagem criada pelos autores
Clicando em reliability monitor é possível ter um histórico desde a instalação
do servidor, o reliability monitor mostra uma avaliação de uso do servidor que vai de
102
0 a 10 no início essa avaliação começa em 10 a após algum tempo de uso se
houver problemas no servidor essa avaliação cai e os problemas são reportados
como falhas de instalação de aplicativos ou serviços, falhas de aplicativos, falha de
hardware, falhas no Windows e falhas em geral, clicando nos alertas de falhas é
possível ter um relatório do que ocorreu e a data que essa falha ocorreu como
mostra a figura 92.
Figura 92: Falhas ocorridas no servidor. Fonte: Imagem criada pelos autores
Também é possível selecionar uma data específica e verificar se ocorreu
algum problema nessa data.
3.12 Instalação do Hiper-V
O Hiper-V é o programa nativo de virtualização do Windows Server 2008,
somente nas versões 64 bits, porém quando o sistema é instalado na máquina a
versão é a beta, isto quer dizer que não vem suportando todas as funções
103
avançadas, sendo necessária a atualização do Windows através do Windows
Update para ter a versão completa.
Para a instalação, segue o caminho padrão, em Server Manager, Add Roles,
e optar por Hiper-V, conforme figura 93.
Figura 93: Adicionando role do Hiper-V. Fonte: www.technet.com Fabio Hara tutorial Windows Server
2008
Após a adição desta role ela pode ser visualizada e acessada no menu iniciar,
conforme mostra a figura 94 e 95.
104
Figura 94: Acessando Hiper-V. Fonte: www.technet.com Fabio Hara tutorial Windows Server 2008
Figura 95: Dentro do Hiper-V. Fonte: www.technet.com Fabio Hara tutorial Windows Server 2008
105
3.12.1 Configuração do Hiper-V
Para instalar uma máquina virtual é necessário um CD ou então uma ISO de
qualquer sistema operacional, e para iniciar basta ir em Actions, New, Virtual
Machine e logo após aparecerá a tela conforme a figura 96.
Figura 96: Adicionando máquina virtual. Fonte: www.technet.com Fabio Hara tutorial Windows Server
2008
Na primeira tela é pedido um nome de identificação da máquina virtual, em
sequência a localização que por padrão é C:\ProgramData\Microsoft\Windows\Hiper-
V\ que pode ser alterado. Na tela seguinte é feita a configuração de memória que o
sistema terá disponível para utilizar em sua execução, conforme a figura 97.
106
Figura 97: Determinando a memória do sistema. Fonte: www.technet.com Fabio Hara tutorial
Windows Server 2008
A configuração de rede é a próxima, mas antes de configurar esta parte é
necessário ter configurado os dispositivos e o ambiente pretendido, se a rede é:
 Externa (cria uma conexão virtual com o meio físico, a máquina virtual será
acessada por clientes externamente),
 Interna (não cria uma conexão virtual com o meio físico, somente as
máquinas virtuais se comunicarão e entre a máquina física onde estão
instaladas),
 Privada (somente as máquinas virtuais irão acessar umas as outras sem
conexão com a máquina física onde estão instaladas.
Para realizar essa configuração o caminho usado é: Actions, Virtual Network
Manager e abrirá a tela conforme figura 98.
107
Figura 98: Criando rede virtual. Fonte: www.technet.com Fabio Hara tutorial Windows Server 2008
Nesta situação foi escolhida a opção externa com o nome “Acesso Externo”,
basta adicionar em add, depois determinar o nome desta conexão e escolher a placa
de rede e salva as alterações, conforme a figura 99.
Figura 99: Salvando rede virtual. Fonte: www.technet.com Fabio Hara tutorial Windows Server 2008
108
Continuando a criação da máquina virtual, após ter configurado a rede virtual,
voltar em New Virtual Machine Wizard, Configure Networking e selecionar a rede
externa criada no exemplo anterior , conforme figura 100.
Figura 100: Selecionando rede virtual. Fonte: www.technet.com Fabio Hara tutorial Windows Server
2008
Após ter configurado a rede, o passo seguinte é criar o disco rígido virtual
onde o sistema será armazenado, para quando o sistema estiver sendo instalado
conseguir enchergar este disco de modo transparente, ou seja, é como se fosse um
disco real mas na verdade é um espaço criado dinamicamente, pois não irá ocupar o
espaço de uma vez do disco da máquina física, só quando for feita alterações e
adição de arquivos, por exemplo um disco físico de 160 GB, e é criado dentro do
Hiper-V um disco virtual de 127 GB no máximo, isto quer dizer que esse disco não
irá ocupar os 127 GB de uma vez só mas pra máquina é como se houvesse.
É possível adicionar o nome deste disco virtual com a extensão .vdh (que é
uma imagem para abrigar o sistema) e sua localização, mas também é possível criar
109
a máquina virtual com um disco virtual já existente bastando apenas apontar o
caminho de disco (ou seja um arquivo com extensão .vdh). Neste exemplo foi criado
um novo disco conforme a figura 101.
Figura 101: Criando disco virtual. Fonte: www.technet.com Fabio Hara tutorial Windows Server 2008
Na opção de Installation Options, como o nome diz , é nesta tela que possui
as opções de como será feita a instalação do sistema operacional na máquina
virtual, existem quatro opções, a primeira é por mídia de CD/DVD-ROM onde é
escolhido a letra do drive, tem a opção por arquivo de imagem .ISO, opção por
floppy disk (disquete) ou até mesmo instalação pela rede. Na situação apresentada
foi escolhido por CD/DVD-ROM, conforme figura 102.
110
Figura 102: Opção de instalação. Fonte: www.technet.com Fabio Hara tutorial Windows Server 2008
É apresentado por último um resumo da instalação que será feita em
Summary, bastando clicar em Finish para concluir e para o Hyper-V criar a máquina
virtual , conforme figura 103.
Figura 103: Resumo final. Fonte: www.technet.com Fabio Hara tutorial Windows Server 2008
111
3.13 Integração com clientes Linux/Unix
Está presente na versão Windows Server 2008 o módulo de suporte a clientes
Linux e Unix, permitindo que estas estações de trabalho façam a autenticação
dentro dos controladores Windows, utilizando até as mesmas senha com a opção de
sincronização de senhas.
É necessário que o Active Dirctory esteja instalado, para poder habilitar a
opção Server for Network Information Services ou também conhecido por Server for
NIS, dentro do Server Manager, Roles, Active Directory Domain Services, clicar em
Add Role Services, conforme a figura 104.
Figura 104: Acessando a Role NIS. Fonte: www.technet.com Fabio Hara tutorial Windows Server
2008
Abrirá uma tela para poder selecionar o serviço NIS, e então as estações
Linux/Unix enchergará o servidor bastando atribuir o IP do servidor AD nestas
estações, que posteriormente as contas dos usuários poderam ser controladas
112
dentro do AD, tendo um único login de um usuário que servirá para Windows e Linux
ao mesmo, conforme a figura 105.
Figura 105: Adicionando a Role Server for NIS. Fonte: www.technet.com Fabio Hara tutorial Windows
Server 2008
Para concluir a instalação é necessário a reinicialização do servidor. Após a
reinicialização ao acessar o Server Manager, o AD irá mostrar os resultados da
instalação do serviço se foi feita com sucesso, confome figura 106.
113
Figura 106: Resultado da instalação NIS. Fonte: www.technet.com Fabio Hara tutorial Windows
Server 2008
114
Capítulo IV – Linux Debian 5.0
4.1 O que é Debian?

Debian é simultaneamente o nome de uma distribuição não comercial e livre e
de um grupo de voluntários dedicados ao desenvolvimento de software livre e a
promover os ideais da comunidade de Software Livre. O nome Debian vem dos
nomes dos seus fundadores, LAN Murdock e de sua mulher, Debra. A palavra
"Debian" é pronunciada em Português como Débian.
O Projeto Debian começou em 1993, quando LAN Murdock lançou um convite
aberto aos criadores de software para contribuírem para uma distribuição de
software completa e coerente baseada no relativamente novo kernel Linux. Esse
relativamente pequeno grupo de dedicados entusiastas, originalmente com fundos
da Free Software Foundation e influenciados pela filosofia GNU, cresceu com o
passar dos anos para uma organização com cerca de 1000 Debian Developers.
Os Debian Developers estão envolvidos numa série de atividades, incluindo a
administração do site Web e do arquivo FTP, design gráfico, análise legal de
licenças de software, escrever documentação e manter pacotes de software. A
versão 5.0 "Lenny" da distribuição Debian foi oficialmente lançada a 14 de Fevereiro
de 2009.
115
4.2 Hardware suportado
Debian 5.0 suporta onze arquiteturas de maior relevo e várias variações de
cada arquitetura conhecidas por “flavors”, conforme tabela 3 :
Tabela 3. Compatibilidade de Hardware Debian. Obtido no site:

http://www.debian.org/releases/stable/i386/ch03.html.pt
116
4.3 Instalação
Um resumo da instalação do Linux Debian 5.0.
4.3.1 Obtendo o software
O modo mais fácil de instalar o Debian é a partir de CD. Fazendo um
download de uma imagem do CD de instalação (“arquivo com a extensão”. iso”) e
gravar um CD com essa imagem.
Nos mirrors da Debian, existem várias imagens de CDs e DVDs de instalação,
desde um "mini" CD de 32M até a um conjunto de DVDs, com praticamente todo o
software que existe nos repositórios da Debian.
Como o objetivo é instalar um servidor, o recomendável é usar uma imagem
de instalação chamada de NETINSTALL, que é uma imagem mínima em que todos
os pacotes necessários são instalados e atualizados a partir da Internet, assim após
concluir a instalação, não será necessário atualizar nada de imediato, o link para
download é http://cdimage.debian.org/debian-cd/5.0.4/i386/iso-cd/debian-504-i386-
netinst.iso
4.3.2 Preparar o computador

Após gravar o CD com a imagem escolhida, configure o computador para
inicializar pelo CD-ROM, essa configuração pode ser feita pela BIOS ou na própria
inicialização que é mostrado um menu de escolhas. Assim como na figura 107,
escolha a forma de instalação do sistema operacional Debian, nesse caso foi
utilizado o graphical install.
117
Figura 107. Tela de instalação. Fonte: imagem criada pelos autores
De acordo com a figura 108 escolha a língua nativa do sistema
operacional.
Figura 108. Escolha de língua nativa. Fonte: imagem criada pelos autores
118
De acordo coma figura 109 escolha o país de origem, pois a língua
portuguesa pode variar de acordo com a grafia em cada país.
Figura 109. Especificação de idioma. Imagem criada pelos autores
O teclado brasileiro padrão é ABNT2, mas durante a instalação poderá
escolher outro tipo mais adequado a configuração utilizada, de acordo com a figura
110.
119
Figura 110. Tipo de teclado. Imagem criada pelos autores
Um servidor normalmente tem no mínimo duas interfaces, uma para a rede
interna e outra para rede externa (Internet), de acordo com a figura 111, o sistema
perguntará qual é a primária, escolha a que está conectada a Internet, geralmente é
a eth0, mas se não for esta, será possível retroceder para que seja reconfigurado.
Obs.: Use de preferência para se conectar a Internet a eth1, pois a eth0 por
ser a principal é requisitada por alguns serviços de rede interna como será mostrado
adiante, então ao usar duas interfaces ou uma interface física com duas interfaces
virtuais, prepare para que a eth1 se conecte a Internet e a eth0 a rede interna, caso
erre a interface apenas mude de lugar o cabo de rede.
120
Figura 111. Placa de rede principal. Imagem criada pelos autores
De acordo coma figura 112, escolha o hostname do servidor, para identificar a
máquina por um nome, e não somente pelo endereço IP, a escolha do hostname
facilita a identificação do servidor, pois esse pode ser localizado por um nome
simples, mas também por um endereço IP.
121
Figura 112. Escolha do hostname. Imagem criada pelos autores
Nome de domínio é um nome que serve para localizar e identificar conjuntos
de computadores na Internet. O nome de domínio foi concebido com o objetivo de
facilitar a memorização dos endereços de computadores na Internet. Sem ele, seria
necessário memorizar uma sequência grande de números, caso este seja um
servidor para a Internet ou rede externa, use, por exemplo, domínio.com.br ou
domínio.net, e caso este servidor seja interno escolha qualquer nome, conforme
figura 113.
122
Figura 113. Nome de domínio. Imagem criada pelos autores
De acordo coma figura 114 escolha o fuso horário local, assim o sistema
operacional poderá ajustar o horários automaticamente.
Figura 114. Fuso Horário. Imagem criada pelos autores
123
Agora é pedido que escolha a maneira como será particionado os discos na
instalação, de acordo coma figura 115, foi escolhido o particionamento assistido,
onde o sistema operacional auxilia na formatação do HD.
Figura 115. Particionando discos. Imagem criada pelos autores
Agora escolha a maneira como o disco deve ser formatado, nesse caso foi
usado o disco inteiro com LVM.
O LVM (Logical Volume Manager) faz a associação entre
dispositivos/partições físicas (incluindo discos RAID) e dispositivos lógicos. O
método tradicional faz a alocação de todo espaço físico ao tamanho da partição do
disco (o método tradicional), o que traz muito trabalho quando o espaço esgota,
cópias de dados ou planejamento de uso de máquina (que pode mudar com o
passar do tempo). O sistema de LVM soluciona os seguintes problemas:
124
Uso eficaz de disco, principalmente quando há pouco espaço para criação de
partições independentes.
Permite aumentar/diminuir dinamicamente o tamanho das partições sem
reparticionamento do disco rígido usando o espaço livre em outras partições ou
utilizando o espaço livre reservado para o uso do LVM.
Uma partição de disco é identificada por um nome de volume e não pelo
dispositivo. Pode então se referir aos volumes como: usuários, vendas, diretoria, etc.
Sua divisão em três camadas possibilita a adição/remoção de mais discos de
um conjunto caso seja necessário mais espaço em volumes, etc.
Permite selecionar o tamanho do cluster de armazenamento e a forma que eles são
acessados entre os discos, possibilitando garantir a escolha da melhor opção
dependendo da forma que os dados serão manipulados pelo servidor, confome
figura 116.
Figura 116. Particionando em modo assistido. Imagem criada pelos autores
125
Agora é escolhido o HD que será formatado e onde será instalado o sistema
operacional, de acordo coma figura 117.
Figura 117. Escolha do HD. Imagem criada pelos autores
A figura 118 tem três maneiras de instalação do Debian, de acordo com as
necessidades, com todos os diretórios na mesma partição, o diretório /home
separado em outra partição ou com os diretórios /home, /usr, /var e /tmb separados
em partições diferentes, para saber qual opção será adequada, o texto irá explicar a
função de cada um dos diretórios.
A pasta /usr
( "Unix System Resources", ou recursos de sistema Unix). Este é o diretório
com mais arquivos em qualquer distribuição Linux, pois é aqui que ficam os
executáveis e bibliotecas de todos os principais programas. O Linux possibilita ao
administrador da rede instalar aplicativos no /usr de apenas uma máquina e
compartilhar esse diretório com outras máquinas da rede.
126
A pasta /home
Contém os diretórios pessoais dos usuários comuns. Quando este diretório se
torna excessivamente grande, ele pode ser subdividido para facilitar sua
manutenção. Por exemplo: /home/professores, /home/estudantes.
A pasta /var
Contém em geral os arquivos que sofrem modificações durante a sessão,
bem como arquivos temporários. Cada máquina possui o seu próprio diretório /var
(não é compartilhado em rede).
A pasta /tmp
Local destinado aos arquivos temporários. Observe a duplicidade aparente
deste diretório com o /var/tmp. Na realidade o /tmp, em geral, tem os dados
apagados entre uma sessão e outra, enquanto que o /var normalmente fica com os
dados salvos por mais tempo. Programas executados após o boot do sistema devem
preferencialmente usar o diretório /var/tmp, que provavelmente terá mais espaço
disponível, e não serão apagados na reinicialização.
Figura 118. Esquema de particionamento. Imagem criada pelos autores
127
Confirmado as mudanças em disco, é necessário ter certeza se a
configuração está correta, pois as mudanças não poderão ser desfeitas
posteriormente e os dados apagados, conforme a figura 119.
Figura 119. Gravando em disco. Imagem criada pelos autores
Agora será iniciado o particionador do disco, para que o sistema operacional
possa atualizar as informações de particionamento, figura 120.
128
Figura 120. Iniciando o particionador. Imagem criada pelos autores
Agora será mostrada uma visão geral sobre como o disco será particionado,
figura 121, no mínimo serão criados duas partições, uma para o sistema e outra para
o SWAP (troca), que é uma emulação da memória RAM (random acess memory) em
disco, para que quando a RAM ficar muito cheia, a SWAP do disco possa receber as
informações dela e assim o programa não acabará fechando, mesmo que fique mais
lento,a criação de uma partição exclusiva melhora o rendimento da SWAP pois essa
como tem uma partição livre exclusiva, estará com mais disponibilidade e o sistema
de arquivos dela é exclusivamente criado para a SWAP.
129
Figura 121. Visão geral. Imagem criada pelos autores
Agora confirme as mudanças em disco, conforme a figura 122 o HD será
formatado e o dados apagados, o sistema de arquivos padrão do Debian é o EXT3
para arquivos e o SWAP para a memória virtual.
Figura 122. Última confirmação. Imagem criada pelos autores
130
Agora é escolhida a senha de root, figura 123, o administrador do
computador, é importante escolher uma senha que tenha letras, números e
caracteres especiais, e nunca deve ser anotado ou compartilhado com outras
pessoas que não tenham direitos administrativos sobre o servidor.
Figura 123. Senha de administrador (root).
Imagem criada pelos autores
Agora é escolhido o nome real, figura 124, pode ser o nome da empresa ou
do administrador, pode ser um apelido também, esse nome real só sera usado por
alguns programas para informar por exemplo, o nome verdadeiro da pessoa que
enviou um email.
131
Figura 124. Configurar usuário e senha. Imagem criada pelos autores
Escolha o nome de login para o usuário comum não administrativo, figura
125, é importante usar sempre o usuário comum, qualquer erro em um comando
executado quando se está usando o usuário root pode ter graves consequências.
No GNU/Linux (e no Unix em geral), o super-usuário tem o nome de root. O
equivalente no Windows© para root é o Administrador. O super-usuário pode fazer
tudo, e então, trabalhar diariamente como super-usuário pode ser perigoso.
Podendo digitar o comando incorretamente e derrubar o sistema. Idealmente,
deve-se usar um usuário que tem privilégios para as tarefas que executa. Em alguns
casos, esse usuário tem de ser o root, mas na maioria deles pode ser um usuário
comum.
Dessa maneira, ao abrir o console de linha de comando, use o comando
sudo, seguido de um comando, forneça a senha e o comando que só seria
132
executado, como administrador também será usado pelo usuário comum, desde que
o mesmo tenha a senha e o privilégio administrativo de usar o comando sudo.
Figura 125. Nome de login. Imagem criada pelos autores
É selecionado o espelho de instalação, um espelho nada mais é do que o
servidor que possui uma cópia fiel dos arquivos, nesse caso de onde virão os
pacotes de instalação e atualizações, escolha o país de sua preferência, pois a
escolha do país pode influenciar na velocidade de transmissão de dados.
Segundo a figura 126, nem sempre o servidor geograficamente mais perto,
pode oferecer a melhor transmissão de dados.
133
Figura 126. Gerenciador de pacotes. Imagem criada pelos autores
Selecionar o servidor de acordo com a preferência, existe uma lista para cada
país, figura 127.
Figura 127. Servidor espelho. Imagem criada pelos autores
134
Agora selecionado o Proxy pelo qual o sistema se conecta para a Internet,
figura 128, deixar em branco caso se conecte diretamente a Internet, um proxy
compartilha a conexão com diversas máquinas, guardando cada página acessada.
Assim, cada vez que uma máquina solicita uma visita, o proxy verifica se esta já foi
acessada anteriormente, e se foi acessada, o próprio proxy já envia o resultado,
ganhando velocidade, além de poder impor políticas de utilização ou recolher
dados estatísticos, o nome ou endereço do computador cliente não são revelados,
apenas o do servidor proxy, pois as máquinas da rede interna não possuem
endereços válidos na Internet e, portanto, não têm uma conexão direta com a
Internet.
Figura 128 Configuração de Proxy. Imagem criada pelos autores
135
Escolha se deseja participar do sistema de popularidade de pacotes, figura
129, assim os desenvolvedores podem ficar sabendo com que frequência seus
pacotes são feitos downloads, e quem está em vantagem, incentivando melhorias
por parte dos desenvolvedores.
Figura 129. Concurso de popularidade. Imagem criada pelos autores
Agora escolha o tipo de configuração do sistema, de acordo com a
configuração escolhida, serão instalados os programas de acordo com o que foi
escolhido durante a instalação.
Após este passo será feito o download dos pacotes da Internet diretamente
do servidor espelho escolhido, dependendo da conexão poderá demorar algumas
horas, cada pacote será baixado e instalado.
136
De acordo coma figura 130, marcar apenas as configurações de sistema
básico e desktop, para assim poder personalizar melhor o sistema operacional,
basicamente não existe uma versão Server do Debian, se será servidor depende de
como o sistema operacional será configurado, ao contrário de muitas distribuições
baseadas em Debian ou outros sistemas operacionais.
Figura 130. Seleção de softwares. Imagem criada pelos autores
De acordo com a figura 131, é pedido para escolher se o GRUB será
instalado no setor de inicialização, escolha sim, (GRUB vem de Grand Unified Boot
Loader que em português significa grande carregador unificado de boot.) ele é capaz
de inicializar qualquer sistema operacional baseado em Linux ou Windows.
137
Figura 131. GRUB, Programa de inicialização. Imagem criada pelos autores
A instalação está finalizada, retire o cd de instalação do leitor digital e
reinicialize o computador. Após a reinicialização é necessário mudar a ordem de
boot (inicianlização) da máquina e o sistema iniciará do HD.
138
Figura 132. Finalizando a instalação.Imagem criada pelos autores
Após inicializar o sistema, figura 133, essa será a primeira tela, nela é
escolhido qual kernel que irá usar, a primeira opção e para uma inicialização normal
e a segunda é para entrar em modo de segurança, recomendado em caso de erro
no sistema, principalmente, por exemplo, kernel panic.
139
Figura 133, inicialização do sistema operacional Debian. Imagem criada pelos autores
De acordo coma figura 134 digite o nome de usuário comum e senha comece
a utilizar o sistema.
Figura 134. Tela de boas vindas. Imagem criada pelos autores
Depois de inicializar o sistema, certifique-se de estar com as configurações de
placa de rede corretas, no lado superior direito e tem um desenho de um plug de
140
conexão, clique com o lado direito do mouse, e clique em configurações de rede, irá
abrir uma janela como da figura 135.
A eth1 é a interface segundaria conectada a Internet, e a eth0 é a interface
primária de conexão interna.
Confira se a placa de rede interna tem o endereço IP correto e a externa se
ela está configurada adequadamente para se conectar a Internet, dependendo do
serviço poderá ser DHCP ou IP fixo.
Agora o sistema operacional Debian está instalado e conectado a Internet,
totalmente atualizado, agora será necessário configurar os serviços de um servidor.
Figura 135. Configurações de rede. Imagem criada pelos autores
141
4.4 Antes de começar a configurar o servidor:
A configuração do servidor consiste, basicamente, na instalação de pacotes
de software e da configuração, através de edição de documentos.
Quando um pacote de software é instalado, é gerada uma configuração, muito
básica, que oferece apenas uma funcionalidade muito reduzida. Para obter todo o
potencial de um software, é necessário personalizar a sua configuração.
Mas como um pequeno erro de configuração, pode tornar todo o sistema
inútil, devem ser tomadas algumas precauções antes de alterar qualquer
configuração.
 Cópias de segurança
Nunca altere um arquivo de configuração sem antes fazer uma cópia de
segurança. Em caso de problemas, será possível repor o arquivo original.
Por exemplo, caso seja necessário alterar o arquivo de configuração
/etc/network/interfaces, primeiro faça uma cópia:
server:~# cp /etc/network/interfaces /etc/network/interfaces.ori
Em seguida, editar o arquivo:

server:~# nano -w /etc/network/interfaces
Podem conferir-se as diferenças entre o ficheiro original e o alterado com o
comando diff:
server:~# diff /etc/network/interfaces.ori /etc/network/interfaces

9,10c9,20
< allow-hotplug eth0
< iface eth0 inet DHCP
---
> #allow-hotplug eth0
> #iface eth0 inet DHCP
>
> # Endereco IP fixo
> auto eth0
142
> iface eth0 inet static
> address 192.168.119.100
> netmask 255.255.255.0
> network 192.168.119.0
> broadcast 192.168.119.255
> gateway 192.168.119.1
Caso pretenda repor o arquivo original, pode-se apagar o arquivo
/etc/network/interfaces alterado, e repor o original:
server:~# rm /etc/network/interfaces
server:~# cp /etc/network/interfaces.ori /etc/network/interfaces
O arquivo /etc/network/interfaces tem agora o conteúdo original.
 Qual editor usar

Os arquivos de configuração são regra geral, documentos de texto, pelo que
podem ser alterados com um editor de texto.
Os puristas defendem o vi ou o vim como editor de eleição. Uma alternativa
possível e, eventualmente mais amigável, é o nano. Qualquer um destes editores
existe na instalação base, pelo que podem ser usados imediatamente após a
instalação. Para editar um documento com o vi ou o vim basta executar o programa
desejado com o do arquivo como argumento.
Por exemplo, para editar o ficheiro /etc/network/interfaces:
 com o vi:
server:~# vi /etc/network/interfaces
 com o vim:
server:~# vim /etc/network/interfaces
 Para usar o nano deve-se acrescentar a opção -w para evitar a inserção de

quebras de linha, o que poderia causar problemas num arquivo de
configuração:
server:~# nano -w /etc/network/interfaces
143
4.5 Configurações para a rede local
A instalação por padrão do Debian configura a rede para obter um endereço
dinâmico via DHCP. No entanto, para que o sistema seja configurado como um
servidor deve ter um endereço IP estático.
O objetivo é configurar a interface de rede eth0 com o endereço IP estático
192.168.1.100, por exemplo. Ao mesmo tempo será indicado o endereço do
dispositivo acesso à Internet, ou "gateway" (192.168.1.1). Numa configuração
caseira, este será o endereço estático do router ADSL ou Cabo.
 Configuração
A configuração das interfaces de rede é guardada no arquivo
/etc/network/interfaces, codificação conforme anexo 1.
É necessário também indicar qual o endereço do servidor DNS. Nesta
configuração, o servidor DNS funciona no router ADSL, pelo que o parâmetro
nameserver deve ter o valor 192.168.1.1, no arquivo /etc/resolv.conf:
domain localdomain
search localdomain
nameserver 192.168.1.1
Reiniciar os serviços de rede:

server:~# /etc/init.d/networking restart
Reconfiguring network interfaces...done.
 Verificação
O comando ifconfig fornece informação detalhada sobre a configuração das
interfaces de rede. A configuração da interface eth0 deve exibir agora os parâmetros
previamente definidos, resultado completo do comando conforme anexo 2:
server:~# ifconfig
144
O nome do sistema, ou hostname, é guardado no ficheiro /etc/hostname. Este
arquivo deve conter apenas o nome do sistema e não o nome completo do domínio:
Server.
O novo nome deve ser atribuído ao sistema: server:~# hostname -F

/etc/hostname
Finalmente, o nome do servidor deve ser associado a um nome completo de
domínio e a um endereço IP, no arquivo /etc/hosts, conforme anexo 3.
4.5.1 Interfaces Virtuais
Usando interfaces virtuais poderá configurar uma única placa Ethernet para
ser uma interface para várias sub-redes IP. Por exemplo, suponha que o sistema
esteja em uma rede LAN 192.168.0.x/24. E precise conectar o sistema à Internet
usando um endereço IP público provido via DHCP usando uma única placa Ethernet
existente. Edite o /etc/network/interfaces de forma a incluir linhas como essas:
iface eth0 inet static

address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
iface eth0:0 inet DHCP
A interface eth0:0 é uma interface virtual. Quando é ativada, também é
ativada a sua superior eth0, assim a placa assume a função de duas, ela recebe o
endereço DHCP de uma rede e assim acessa a Internet e ainda tem um endereço IP
fixo e assim se comunica com sua rede interna por exemplo. O arquivo completo no
caso dessa instalação conforme anexo 4.
Na configuração da interface eth0:0 só são definidos os parâmetros address e
netmask, uma vez que os restantes parâmetros são iguais aos da interface eth0.
145
Graças à linha “auto eth0:0”, no arquivo /etc/network/interfaces, a interface
virtual será automaticamente ativada a cada inicialização do sistema. Mas agora,
ative manualmente a ligação:
server:~# ifup eth0:0
Associe um nome de sistema ou hostname ao novo endereço, no arquivo
/etc/hosts:
127.0.0.1 localhost
192.168.1.100 server.home.LAN server
192.168.1.101 virtual.home.LAN virtual
# The following lines are desirable for IPv6 capable hosts

::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
 Verificação
O comando ifconfig deverá mostrar a interface virtual eth0:0 ativada, com o
endereço IP e demais parâmetros atribuídos, conforme anexo 5.
4.5.2 Agregação de interfaces de rede
A maior parte dos sistemas atuais dispõe de 2 ligações Ethernet. Estas
podem ser utilizadas em separado ou em paralelo, numa técnica chamada bonding.
Esta técnica é muito interessante, uma vez que possibilita o balanceamento de
dados (os dados são transmitidos pelas 2 interfaces) e tolerância a falhas (caso uma
ligação falhe, a transmissão é assegurada pela outra).
Nesse servidor, serão agregadas as duas interfaces físicas do sistema eth0 e
eth1 para criar uma nova interface de rede bond0 de alta disponibilidade.
146
Nota: Ethernet bonding, regulado pela norma IEEE 802.3ad com o título link aggregation é
um termo da disciplina de redes de computadores que descreve o acoplamento de dois ou
mais canais Ethernet em paralelo para produzir um único canal de maior velocidade e/ou
aumentar a disponibilidade e redundância desse canal.
Instalação
server~# aptitude install ifenslave
 Configuração
Para criar a interface bond0 deverá ser carregado e configurado o módulo
bonding do kernel, o que é feito no arquivo /etc/modprobe.d/arch/i386,conforme
anexo 6.
A interface bond0 tem atribuído um endereço Internet e as 3 interfaces
(bond0, eth0 e eth1) têm o mesmo endereço físico ("HWaddr 00:30:1B:B0:C3:4A"),
para que sejam "vistas" pelo resto da rede como sendo apenas uma.
4.6 Gestão de pacotes e atualizações
A gestão das atualizações e instalações de software é efetuada com a ajuda
do gestor de pacotes aptitude. Graças ao aptitude é possível, por exemplo, atualizar
todo um sistema apenas com dois comandos.
 Atualização do sistema
aptitude safe-upgrade
Instala todas a atualizações disponíveis, procedendo à instalação de pacotes
para satisfazer todas as dependências..
aptitude full-upgrade
Instala todas a atualizações disponíveis, procedendo à instalação ou remoção
de pacotes para satisfazer todas as dependências .
 Instalação de pacotes
147
aptitude install <pacote>
Instala um pacote de software e todos os pacotes de que depende. É possível
instalar vários pacotes de uma só vez, usando a sintaxe: aptitude install pacote1
pacote2 pacote3.
aptitude reinstall <pacote>
Reinstala um pacote, substituindo os ficheiros. Bastante útil, quando se quer
repor ficheiros que tenham sido alterados entretanto.
 Remoção de pacotes
aptitude remove <pacote>
Remove um pacote. É possível remover vários pacotes de uma só vez,
usando a sintaxe: apt-get remove pacote1 pacote2 pacote3.
aptitude purge <pacote>
Remove totalmente um pacote, incluindo os ficheiros de configuração.
Pesquisa de pacotes
aptitude search <critério>
Procura na lista de pacotes e mostra as ocorrências de critério.
Informações sobre pacotes
aptitude show <pacote>
Mostra informações acerca do pacotes.
Limpar a cache de pacotes
aptitude clean
148
Remove todos os ficheiros de pacotes existentes em cache.
aptitude autoclean
Remove os ficheiros de pacotes de versões ultrapassadas existentes em cache, mas
mantém os pacotes de versões atualizados.
4.6.1 Repositórios de atualização do Debian
Uma lista de repositórios já existe com as informações fornecidas durante a
instalação Para facilitar a manutenção, deve-se retirar o CD-Rom e acrescentar mais
alguns repositórios à lista existente tais como os repositórios contrib e non-free, bem
como desativar (comentar) as referências a pacotes de código fonte(deb-src).
A lista de repositórios está em /etc/apt/sources.list:
# deb cdrom:[Debian GNU/Linux 5.0.0 _Lenny_ - Official i386 NETINST Binary-1

20090214-16:03]/ lenny main
#deb cdrom:[Debian GNU/Linux 5.0.0 _Lenny_ - Official i386 NETINST Binary-1

20090214-16:03]/ lenny main
deb http://ftp.pt.Debian.org/Debian/ lenny main contrib non-free

# deb-src http://ftp.pt.Debian.org/Debian/ lenny main
deb http://security.Debian.org/ lenny/updates main contrib non-free

# deb-src http://security.Debian.org/ lenny/updates main
 Utilizando um proxy
Alguns casos poderá ser necessário acessar à Internet, através de um proxy.
Neste caso, o aptitude deverá ser configurado para usar um proxy. Existem dois
métodos possíveis:
 Definir uma variável de ambiente http_proxy ou ftp_proxy tendo como
valor a URL do servidor proxy:
server:~# export http_Proxy="http://Proxy.isp.com:3128/"
149
O aptitude terá em conta esta variável quando se ligar à Internet.
 Incluir as definições do proxy na configuração do aptitude. Para indicar
o proxy a utilizar deverá editar ou criar o ficheiro /etc/apt/apt.conf:
Acquire::http::Proxy "http://proxy.isp.com:3128";
O formato da URL de um Proxy é "http://user:pass@xxx.xxx.xxx.xxx:port",
onde:
user:pass
nome do utilizador e password, caso o Proxy necessite de autenticação;
xxx.xxx.xxx.xxx
endereço do servidor Proxy;
port
porta de ligação ao serviço de Proxy;
Repositório "backports"
Se um dos objetivos do Debian é a estabilidade, o seu preço é a utilização de
software bastante testado e, portanto, antigo. No entanto, pode surgir necessidade
de instalar software mais recente ou inexistente à data de saída do Debian Lenny.
Para isso existe o repositório backports, que disponibiliza versões mais
recentes ou inexistente à data de lançamento do Lenny.
 Configuração
A localização do repositório deve ser adicionada à lista existente em
/etc/apt/sources.list:
# [...]
# Debian-backports
deb http://www.backports.org/Debian lenny-backports main contrib non-free
# [...]
A chave pública do repositório backports também deve ser adicionada à lista
de chaves conhecidas pelo apt,conforme anexo 7:
150
4.7 Servidor Intranet
Uma vez terminada a configuração de base de um sistema servidor, é a hora
de expandir a sua funcionalidade de modo a fornecer os serviços para a rede
interna.
 DNS
O DNS (Domain Name System - Sistema de Nomes de Domínios) é um
sistema de resolução de nome e endereços IP. É o DNS que informa que
"www.Debian.org" tem o endereço IP "194.109.137.218" e vice-versa.
Este sistema é constituído por uma rede global de servidores, organizados em
árvore, cada um contendo uma tabela de associações de nomes de servidores e
respectivos endereços IP.
 Objetivo
Embora os endereços Internet tenham nomes “legíveis” (www.google.com),
estes devem ser traduzidos para o endereço IP (216.239.59.147) do respectivo
servidor. Essa conversão é efetuada realizando uma pesquisa no Sistema de
Nomes de Domínios ou DNS (Domain Name System). Uma cache DNS guarda
localmente os resultados dessa pesquisa para utilização futura, evitando a repetição
de pesquisas e aumentando drasticamente a velocidade de resposta.
 Instalação
server:~# aptitude install bind9 bind9-doc dnsutils
 Configuração
A configuração gerada durante a instalação é perfeitamente funcional sem
qualquer alteração. No entanto, será personalizada a instalação em dois aspectos
151
principais: a que o servidor é que ao pedir ajuda na resolução de nomes, caso não o
consiga, fazer localmente (forwarders) e alguns aspectos de segurança.
Os forwarders utilizam os servidores DNS do fornecedor de acesso à Internet
(Neste caso, serão utilizados os servidores OpenDNS (http://www.opendns.com).
Por redundância, acrescente também o do router ADSL.
Por segurança só serão aceitas ligações recebidas pela interface local ou pela
destinada à rede interna (listen-on { 127.0.0.1; 192.168.1.100; };). Também só serão
respondidos os pedidos de resolução que partirem do próprio posto ou da rede
interna (allow-query { 127.0.0.1; 192.168.1.0/24; };). Todos os outros serão
ignorados, de modo a evitar eventuais utilizações abusivas do nosso servidor DNS
por parte de terceiros.
A configuração é guardada no arquivo /etc/bind/named.conf.options, conforme
anexo 8:
Configuração dos clientes:
 Windows
Para o sistema operacional Windows indique, nas propriedades do protocolo
Internet (TCP(IP) da ligação de rede, o endereço do servidor DNS (192.168.1.100)
como sendo o servidor DNS preferido, conforme figura 136.
152
Figura 136. Configuração do TCP/IP no Windows.
Imagem criada pelos autores
 Linux
No caso de sistemas Linux, editar o ficheiro /etc/resolv.conf e acrescentar ou
substituir o nameserver:
# [...]
# [...]
 Configuração automática de clientes
O servidor DNS também pode ser atribuído automaticamente aos clientes
através do protocolo DHCP. Para tal, basta acrescentar a opção domain-name-
153
servers com o ou os endereços dos servidores DNS ao ficheiro
/etc/dhcp3/dhcpd.conf do servidor DHCP:
# [...]
option domain-name-servers 192.168.1.100;
# [...]
Antes de instalar o servidor DNS, a Cache DNS deverá estar previamente
configurada e testada.
4.7.1 Servidor DNS
 Instalação
server:~# aptitude install bind9 bind9-doc dnsutils
 Configuração
A resolução de nomes converte nomes de sistemas no seu endereço IP e
vice-versa. Assim, a configuração consiste, basicamente na criação de 2 zonas, uma
(zone "home.LAN") que converte nomes em endereços IP e outra (zone
"1.168.192.in-addr.arpa") que converte endereços IP no respectivo nome de sistema.
As zonas são declaradas no ficheiro /etc/bind/named.conf.local, conforme
anexo 9.
O protocolo DNS permite também a criação de aliases, ou canonical names,
identificados pelo tipo de registo CNAME. Um alias é um nome alternativo de um
sistema.
No final do ficheiro poderão ser declarados alguns aliases: o sistema "server"
passará também a ser conhecido (CNAME ou canonical name) como "Proxy" e o
servidor "virtual" responderá também pelos nomes "www" e "ftp", conforme anexo
10.
154
4.7.2 DNS Dinâmico
O servidor acessa à Internet, através do router ADSL ou cabo (gateway), cujo
endereço interno é 192.168.1.1. Este endereço, que é sempre o mesmo (Estático) e
só é visível na rede interna.
De cada vez que o router se liga à Internet, é atribuído um endereço
dinâmico, que pode ser diferente a cada ligação. Então, a questão que se coloca é a
seguinte:
Quando estou em viagem, como posso ligar-me remotamente ao servidor, se
não sei qual é o seu endereço?
A solução é configurar um serviço de resolução de nomes (DNS) na Internet.
Este serviço permite associar um nome ao endereço dinâmico, sendo apenas
necessário atualizar o endereço cada vez que este é alterado, o que se pode fazer
automaticamente.
Existem na Internet vários serviços de DNS dinâmico, sendo alguns de
utilização gratuita, como por exemplo o DynDNS.
Para configurar o serviço, basta visitar o site http://www.dyndns.com, criar
uma conta, e associar um nome ao endereço dinâmico atual.
Em seguida, do lado do nosso servidor, deve ser configurada atualização
automática do endereço.
 Objetivo
Instalar o cliente para atualização automática do endereço dinâmico em
DynDNS. Será então possível aceder ao servidor a partir de qualquer parte do
mundo, através de um nome fácil de memorizar.
155
 Instalação
server:~# aptitude install ddclient
Durante a instalação é pedida a configuração do cliente:

 Dynamic DNS service provider: www.dyndns.org
 DynDNS fully qualified domain names: omeuservidor.dyndns.org
 Username for dynamic DNS service: omeulogin
 Password for dynamic DNS service: ***
 Interface used for dynamic DNS service: eth0
 Configuração
Embora durante a instalação tenha sido indicado que a interface de acesso à
Internet é a eth0, não pode ser esse o endereço a atualizar no DynDNS, pois é o
endereço interno, não acessível do exterior. O endereço que interessa atualizar é da
interface externa do router. Este é mais facilmente obtido a partir do exterior (Web),
pelo que é necessário alterar a configuração guardada no ficheiro /etc/ddclient.conf,
conforme anexo 11.
4.7.3 O protocolo DHCP
Com o protocolo DHCP, quando um sistema é ligado em rede, lhe é atribuído
automaticamente um endereço IP único. Ao mesmo tempo, é fornecida uma série de
parâmetros de rede, tais como o endereço do gateway, o endereço do servidor DNS,
etc. O protocolo DHCP torna a tarefa do administrador de rede bastante mais fácil,
pois a configuração é centralizada, e não distribuída em cada posto.
NOTA: Em cada segmento de rede deve existir apenas um servidor DHCP. Numa rede
caseira, o router ADSL ou Cabo, funciona geralmente como servidor DHCP. Neste caso,
deve-se desligar o serviço DHCP no router antes de iniciar o serviço noutro sistema.
 Instalação
server:~# aptitude install dhcp3-server
156
 Configuração
O serviço DHCP só estará disponível para a rede interna. Por isso só aceitará
ligações pela interface eth0, o que é definido no ficheiro de configuração
/etc/default/dhcp3-server:
# Defaults for DHCP initscript

# sourced by /etc/init.d/DHCP
# installed at /etc/default/dhcp3-server by the maintainer scripts
#
# This is a POSIX shell fragment
#
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
# Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="eth0"
A parte principal da configuração é mantida no ficheiro /etc/dhcp3/dhcpd.conf.
Neste ficheiro é indicado o nome de domínio (option domain-name
"home.LAN";), os endereços dos servidores DNS (option domain-name-servers
192.168.1.100, 192.168.1.1;).
É também definida a duração normal e máxima da atribuição do endereço IP
atribuído (default-lease-time 600; max-lease-time 7200;). O cliente poderá sempre
pedir uma nova atribuição antes da atual expirar, podendo receber ou não o mesmo
endereço IP.
Finalmente, para o segmento de rede 192.168.1.0, é indicada a gama de
endereços disponível para a atribuição (range 192.168.1.32 192.168.1.63;), qual o
router a utilizar (option routers 192.168.1.1;) e qual o endereço de broadcast (option
broadcast-address 192.168.1.255;) conforme anexo 12.
157
Configuração dos clientes:
 Linux
Num cliente Linux, basta instalar o pacote DHCP client. A configuração
gerada durante a instalação deverá ser suficiente.
server:~# aptitude install dhcp3-client dhcp3-common
 Windows
Num cliente Windows, deverá ser ativada a opção "Obter automaticamente
um endereço IP", nas propriedades TCP/IP da interface de rede. Numa rede caseira,
com acesso à Internet via modem ADSL ou cabo, esta opção deverá, em princípio,
já estar ativada.
4.7.4 Proxy
Um proxy é um serviço de rede pelo qual um sistema cliente se liga
indiretamente a outro sistema. Os dados deixam de serem trocados diretamente e
passam a ser tratados pelo serviço Proxy, que se coloca entre o servidor e o cliente.
Graças a esta arquitetura, é possível implementar diversos serviços, tais
como regras de acesso, caches Web, filtros de conteúdos, anti-vírus, comunicações
anonimas, etc
Cache Web: Squid
 Objetivo
O pacote Squid é um proxy Internet com uma cache integrada. A vantagem
de uma cache Internet é a de guardar localmente dados pedidos anteriormente para,
numa utilização futura, serem servidos localmente, evitando acessos repetidos a
servidores distantes.
158
 Instalação
server:~# aptitude install squid
 Configuração
A configuração do squid é guardada no ficheiro /etc/squid/squid.conf.
O squid aceita ligações na porta 3128, por padrão. No entanto esta pode ser
alterada:
#[...]
# Squid normally listens to port 3128
http_port 3128
#[...]
Por segurança o squid só responderá a pedidos originados na rede local ou
no próprio servidor. Esta restrição é conseguida definindo uma lista de controle de
acesso ou ACL (Access Control List) (acl home.LAN src 192.168.1.0/24) e
autorizando o acesso aos sistemas incluídos nessa lista (http_access allow
home.LAN) conforme o anexo 13.
 Configuração de clientes
É possível configurar o browser Firefox para utilizar um Proxy, acessando ao
menu Ferramentas —> Opções… —> Avançadas —> Rede —> Definições…, ativar
a opção Configuração manual do proxy e inserir o endereço do servidor Proxy
(192.168.1.100) e a porta (3128). Podem-se definir excepções para o próprio posto
(127.0.0.1) e para a rede local (192.168.1.0/24), conforme figura 137:
159
Figura 137. Configurando Proxy no Firefox. Imagem criada pelos autores
No caso de sistemas Linux, é possível declarar a variável "http_proxy" com a
URL do proxy a utilizar:
fribeiro@server:~$ export http_proxy="http://192.168.1.100:3128/"
No entanto, na próxima sessão terá que ser declarada novamente.
Um método mais duradouro é declarar a variável automaticamente a cada
login, incluindo a declaração no arquivo ~/.profile do utilizador:
fribeiro@server:~$ echo 'http_proxy="http://192.168.1.100:3128/"' >> ~/.profile
A declaração pode ainda ser feita de modo automático e para todos os
utilizadores, se incluída no arquivo de sistema /etc/profiles:
server:~# echo 'http_proxy="http://192.168.1.100:3128/"' >> /etc/profile
160
4.8 ClamAV anti-virus
 Objetivo
Instalação do pacote anti-vírus ClamAV. Este pode posteriormente ser
integrado num sistema de filtragem de emails ou ficheiros.
 Instalação
server:~# aptitude install clamav clamav-docs clamav-daemon clamav-freshclam
Para que o ClamAV possa verificar arquivos compactados, devem ser
também instalados alguns pacotes para descompactar ficheiros:
server:~# aptitude install arc arj bzip2 cabextract lzop nomarch p7zip pax tnef unzip
zoo
Se tiver acesso aos repositórios "non-free", é possível instalar mais alguns
pacotes:
server:~# aptitude install lha unrar
 Configuração
A atualização da base de dados de assinaturas de vírus é descarregada da
Internet pelo daemon clamav-freshclam 24 vezes ao dia. No entanto, essa
periodicidade pode ser alterada no ficheiro /etc/clamav/freshclam.conf:
# [...]
# Check for new database 24 times a day
Checks 24
# [...]
Caso se pretenda utilizar um servidor proxy para aceder à Internet, deve-se
alterar a configuração também em /etc/clamav/freshclam.conf:
161
# [...]
#
HTTPProxyServer proxy.home.LAN
HTTPProxyPort 3128
Reiniciar o serviço, para ter em conta as alterações de configuração:
server:~# /etc/init.d/clamav-freshclam restart
Após a instalação, deve ser feita a atualização da base de dados de
assinaturas de vírus.
server:~# freshclam
ClamAV update process started at Mon Dec 22 15:24:37 2008
main.cvd is up to date (version: 49, sigs: 437972, f-level: 35, builder: sven)
daily.cvd is up to date (version: 8792, sigs: 40698, f-level: 38, builder: mcichosz)
As futuras atualizações serão feitas automaticamente, várias vezes por dia.
 Verificação
O instituto EICAR (European Institute for Computer Antivirus Research) tem
uma série de arquivos para testar software anti-vírus. Um dos arquivos
(eicar.com.txt) contém apenas uma inofensiva cadeia de caracteres, mas que deve
ser reconhecida como um "vírus":
fribeiro@server:~$ echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-

ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com.txt
Testar o funcionamento do ClamAV:
fribeiro@server:~$ clamscan eicar.com.txt

eicar.com.txt: Eicar-Test-Signature FOUND
----------- SCAN SUMMARY -----------

Known viruses: 478291
Engine version: 0.94.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Time: 3.294 sec (0 m 3 s)
162
A primeira parte do resultado indica que foi detectado a assinatura do "vírus"
de teste "Eicar". Na segunda parte, o sumário indica que foi encontrado um ficheiro
"infectado".
Testar também o daemon clamdscan:
fribeiro@server:~$ clamdscan eicar.com.txt

/home/fribeiro/eicar.com.txt: Eicar-Test-Signature FOUND
----------- SCAN SUMMARY -----------

Infected files: 1
Time: 0.011 sec (0 m 0 s)
NOTA: Para detecção de vírus, podem ser utilizados os comandos clamscan e
clandscan. No entanto, a segunda forma clandscan é muito mais rápida, uma vez que
sendo um daemon, está já carregada em memória, ao contrário do comando clamscan,
que deve ser lido do disco para a memória cada vez que é invocado. (Ver os tempos de
execução de um e de outro nos exemplos acima).
Finalmente, o clamAV também disponibiliza um pacote de testes que pode ser
utilizado após instalação:
server:~# aptitude install clamav-testfiles

server:~# clamdscan /usr/share/clamav-testfiles/
/usr/share/clamav-testfiles//clam.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles//clam.cab: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles//clam.exe.bz2: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles//clam.zip: ClamAV-Test-File FOUND
----------- SCAN SUMMARY -----------

Infected files: 4
Time: 0.007 sec (0 m 0 s)
Filtro de conteúdos: Dansguardian

O pacote dansguardian é um proxy de filtro de conteúdos. Quando um site
Internet é acessado através do dansguardian, este analisa o seu conteúdo e, em
função de uma lista de regras predefinidas e configuráveis pelo utilizador, permite ou
163
bloqueia o acesso. É assim possível bloquear o acesso a sítios indesejáveis, impedir
a downloads de determinado tipo de arquivos, ou evitar a propagação de vírus.
NOTA: A instalação do pacote dansguardian depende da instalação prévia de
um servidor proxy como o squid e de um anti-vírus como o ClamAV.
 Instalação
server:~# aptitude install dansguardian
Configuração
Toda a configuração é efetuada no arquivo
/etc/dansguardian/dansguardian.conf, conforme anexo 14.
 Configuração de clientes
É possível configurar o browser Firefox para utilizar um proxy, figura 138,
acessando ao menu Ferramentas —> Opções… —> Avançadas —> Rede —>
Definições…, ativar a opção Configuração manual do proxy e inserir o endereço do
servidor proxy (192.168.1.100) e a porta (8080). Podem-se definir exceções para o
próprio posto (127.0.0.1) e para a rede local (192.168.1.0/24):
164
Figura 138. Proxy no Firefox, Dansguardian. Imagem Criada pelos autores.
No caso de sistemas Linux, é possível declarar a variável "http_proxy" com a
URL do proxy a utilizar:
fribeiro@server:~$ export http_proxy="http://192.168.1.100:8080/"
No entanto, na próxima sessão terá que ser declarada novamente. Um
método mais duradouro é declarar a variável automaticamente a cada login,
incluindo a declaração no arquivo ~/.profile do utilizador:
fribeiro@server:~$ echo 'http_proxy="http://192.168.1.100:8080/"' >> ~/.profile
A declaração pode ainda ser feita de modo automático e para todos os
utilizadores, se incluída no ficheiro de sistema /etc/profiles:
server:~# echo 'http_proxy="http://192.168.1.100:8080/"' >> /etc/profile
165
 Utilização
Após configurar o browser para utilizar o proxy dansguardian, sempre que o
utilizador tentar acessar um site com conteúdo indesejável, aparecerá uma
mensagem informando que o acesso foi bloqueado e qual a razão. Um bom teste é
tentar aceder à página de testes da Eicar:
Figura 139. Acesso Bloqueado. obtido no site http://servidorlenny.wikidot.com/proxy-squid,

01/05/2010.
NOTA: A configuração de base do dansguardian é extremamente restritiva. Por
exemplo, será negado o acesso a ficheiros relativamente comuns, como do tipo "iso",
"zip" ou "mp3". As listas de filtros poderão ser encontradas no diretório
/etc/dansguardian/lists. No entanto, a sua configuração sai do âmbito deste documento.
166
4.9 Servidor MySQL
 Objetivo
Instalar o banco de dados MySQL, com uma configuração mínima.
A instalação por padrão do MySQL só aceita ligações a partir do próprio host
(localhost). Isto não é problemático, uma vez que a base de dados só será utilizada
por aplicações do próprio servidor.
A instalação do pacote mysql-server recomenda a instalação de um pacote
de email, o que, por agora, não interessa, pois será instalado mais tarde. Por isso,
serão instalados os pacotes mysql sem seguir as recomendações, o que é feito
acrescentando a opção - without-recommends durante a instalação
server:~# aptitude install --without-recommends mysql-server mysql-client
 Configuração
A instalação por padrão do MySQL cria um utilizador root sem password. Por
segurança, o primeiro passo é alterar a password de root. Este é o utilizador root do
MySQL, não do sistema, pelo que as passwords devem ser diferentes, conforme
anexo 15.
4.10 Certificados de segurança SSL
Muitos serviços necessitam de estabelecer uma ligação segura entre o cliente
e o servidor e confiar na identidade mútua. Essa segurança é assegurada por uma
ligação encriptada e a confiança é fornecida por certificados que atestam a
identidade do servidor. O protocolo TLS (Transport Layer Security) fornece uma
ligação segura encriptando a comunicação e autenticação da identidade através de
certificados digitais, emitidos por entidades certificadoras (Certificate Authority)
independentes e de confiança reconhecida.
167
 Instalação
server:~# aptitude install openssl ca-certificates
Geração dos certificados
A geração de um certificado SSL requer os seguintes passos: primeiro é
gerada uma chave privada; em seguida esta é usada para gerar um pedido de
certificação (Certificate Signing Request (CSR)). O pedido de certificação é então
enviado para a entidade certificadora (Certificate Authority (CA)) que devolve o
certificado assinado. Este último passo pode ser feito pelo próprio, gerando assim
um certificado auto-assinado (Self-signed Certificate).
Criar um diretório de trabalho:

server:~# mkdir certs
server:~# cd certs
server:~/certs#
Chave privada:
Gerar a chave privada (Private Key) encriptada:
server:~/certs# openssl genrsa -des3 -out server.key 1024

Generating RSA private key, 1024 bit long modulus
.............++++++
......++++++
e is 65537 (0x10001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:
Chave privada sem password:
A chave privada está encriptada e protegida por uma password, o que implica
que se escreva a password cada vez que um serviço necessita da chave. Como
solução, é possível gerar uma versão da chave sem a proteção da password:
server:~/certs# openssl rsa -in server.key -out server.key.insecure

writing RSA key
168
Esta chave sem password, deve ser guardada com especial cuidado e,
nomeadamente, só deve ser acessível pelo utilizador root:
server:~/certs# chmod 600 server.key.insecure
Pedido de certificação:
Gerar o pedido de certificação (Certificate Signing Request). No campo
Common Name deverá ser indicado o nome do servidor para o qual está a ser
gerado o certificado. Caso se pretenda um certificado para vários servidores no
mesmo domínio pode-se usar a sintaxe *.home.LAN, conforme anexo 16:
Certificado auto-assinado:
O pedido de certificado deveria ser enviado para a entidade certificadora, que
devolveria o certificado assinado. Neste caso, será usado para criar um certificado
auto-assinado (Self-Signed Certificate), válido por 365 dias, conforme anexo 17:
O certificado auto-assinado é válido por 365 dias. No entanto, este pode ser
renovado em qualquer momento, bastando para tal regenerar o certificado auto-
assinado.
Instalação da chave privada e certificado auto-assinado:
Finalmente, copiar as chaves privadas para /etc/ssl/private e o certificado para
/etc/ssl/certs:
server:~/certs# cp server.key server.key.insecure /etc/ssl/private/

server:~/certs# cp server.crt /etc/ssl/certs/
O certificado auto-assinado está pronto a usar.
Sendo o certificado auto-assinado, ou seja, não estando assinada por uma
entidade certificada, a sua utilização dará sempre origem a um aviso por parte da
aplicação cliente, conforme figura 140:
169
Figura 140. Aviso de segurança do cliente. obtido no site http://servidorlenny.wikidot.com/ssl-cert-
self, 01/05/2010.
4.11 SAMBA
Com o SAMBA, é possível, construir domínios completos, fazer controle de
acesso a nível de usuário, compartilhamento, montar um servidor WINS, servidor de
domínio, impressão, etc.
Agora será configurado para partilhar arquivos de modo mais aprimorado.
 Instalação
server:~# apt-get install samba samba-common samba-doc smbclient smbfs

smbldap-tools
Durante a instalação será solicitado o nome do grupo de trabalho ou domínio
a que o servidor pertence, como na figura 141:
170
Figura 141. Configuração do SAMBA. obtido no site http://servidorlenny.wikidot.com/file-sharing-
samba. 01/05/2010.
 Configuração
Toda a configuração do serviço samba é feita no arquivo
/etc/samba/smb.conf, conforme anexo 18.
 Segurança
Por segurança, é possível limitar o acesso ao servidor samba a apenas
alguns segmentos da rede. Assim, para garantir que o servidor de arquivos só estará
disponível para a rede local, são listadas as interfaces de rede do próprio sistema
(lo) e da rede local (eth0), instruindo o serviço a aceitar ligações apenas por essas
interfaces, conforme anexo 19.
 Compartilhar por usuário
A configuração por padrão do samba compartilha toda a estrutura de diretório
/home de cada utilizador. Isto significa que todos os arquivos, tais como os arquivos
171
de configuração e os arquivos do diretório Maildir (onde estão todas as mensagens
de email) estariam também partilhados, o que não é desejável. Por isso será criada
uma diretoria exclusivamente para o compartilhamento samba dentro da home de
cada utilizador. Para que restrição seja criada automaticamente quando for criado
um novo usuário, é adicionada à árvore em /etc/skel, com direitos de acesso
exclusivos para próprio utilizador:
server:~# mkdir /etc/skel/Documents; chmod 0700 /etc/skel/Documents
No entanto, o diretório de compartilhamento deverá ser criada para cada
utilizador já existente:
server:~# su - fribeiro -c 'mkdir ~/Documents; chmod 0700 ~/Documents'
Em seguida são definidos os parâmetros dos compartilhamentos dos
usuários, indicando o caminho para o diretório dos compartilhamentos individuais e
permitindo o acesso em escrita, conforme anexo 20.
 Criação de usuários
Deverão também ser criados os usuários e atribuídas as respectivas senhas
na base de dados dos utilizadores do samba, conforme anexo 21.
 Compartilhamento comum
É possível definir também compartilhamentos acessíveis a todos os usuários,
criando um espaço comum de troca e armazenamento de arquivos. Em primeiro
lugar deve ser criada um diretório para o armazenamento de ficheiro. Esse diretório
dever ter direitos de acesso limitados ao utilizador e um grupo chamado nogroup,
conforme anexo 22.
172
Em seguida, deverá ser definido o compartilhamento do arquivo de
configuração do samba, em que é definido o caminho para o diretório de
compartilhamento, e que a máscara de criação de arquivos e diretórios permitirá o
acesso aos próprios utilizadores e ao grupo nogroup. Finalmente é forçada a criação
de ficheiros no grupo nogroup para que os utilizadores possam acessar sem
restrições a todos os arquivos. Todas as alterações são feitas no arquivo
/etc/samba/smb.conf, conforme anexo 23.
 Verificação
Um PC da rede local deverá ser possível acessar o compartilhamento do
servidor, de acordo coma figura 142.
Figura 142, login no SAMBA, obtido no site http://servidorlenny.wikidot.com/file-sharing-samba
O resultado final do compartilhamento no SAMBA será de acordo com a figura

143:
173
Figura 143, resultado do SAMBA, obtido no site http://servidorlenny.wikidot.com/file-sharing-samba.
01/05/2010
4.12 Servidor de domínio
O objetivo será a criação de um Servidor de domínio, assim como o Active
Directory do Windows
1. Ter um servidor LDAP contendo todos os usuários (exceto de sistemas
- UID >= 1000), grupos ( GID >= 100) e máquinas Windows;
2. Um único usuário especial será o administrador do ldap;
3. Clientes deverão utilizar-se do NSS com o módulo PAM normalmente
para autenticação;
4. Somente o administrador ldap terá acesso às senhas criptografadas
pelo NSS;
174
5. As senhas do SAMBA serão sincronizadas com as do LINUX e vice-
versa, ou seja, as alterações de senhas serão mantidas as mesmas tanto para
SAMBA quanto para LINUX;
6. O servidor ldap que irá instalar será o MASTER e o samba será o
PDC(Power Domain Controller). Isso equivale a termos um único servidor AD / PDC
(da Microsoft).
Em outras palavras, o servidor será ao mesmo tempo servidor ldap, servidor
samba e cliente ldap dele mesmo.
O ldap proporciona uma escalabilidade para posteriormente instalar outros
servidores ldap+samba que irão atuar como slave+bdc. Isso equivale a ter diversos
servidores BDC (da Microsoft) instalados em vários pontos onde se faz necessária a
autenticação centralizada.
Além de permitir que máquinas Windows sejam utilizadas nesse domínio,
outra facilidade é de poder utilizar desse servidor ldap para autenticar outras
máquinas com Ubuntu (Debian), tendo assim um único repositório para toda a rede,
codificação em anexo 24.
 Ingressando máquinas Windows no Domínio (ex: com win2k)
Os hosts clientes Ingressarão no domínio criado mediante senha e nome de
usuário do administrador, da figura 144 a figura 151, está ilustrada o procedimento
adotado para os micros clientes Windows 2000 e XP, pois o procedimento é
idêntico.
175
Figura 144, Ingressando cliente Windows, imagem obtida no site
http://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSamba#Algumas_dicas_iniciais03/05/20
10.
Figura 145. Ingressando cliente Windows 2, obtida no site

http://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSamba#Algumas_dicas_iniciais 03/05/2010
176
Figura 146.Ingressando cliente Windows 3. imagem obtida no site.
http://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSamba#Algumas_dicas_iniciais 03 /05/2010
Figura 147, Ingressando cliente Windows 4, imagem obtida no site

http://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSamba#Algumas_dicas_iniciais
177
Figura 148, Ingresso com sucesso, imagem obtida no site
http://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSamba#Algumas_dicas_iniciai s 03/05/2010
178
Figura 149, reinicializando o Windows, imagem obtida no site
Figura 150, reiniciar agora, imagem obtida no site

179
Figura 151, Logon no domínio, imagem obtida no site
http://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSamba#Algumas_dicas_iniciais
O usuário d323209 já deve ter sido criado de acordo com as orientações
acima, ou seja, ele tem que ser um usuário Windows, conforme anexo 25.
Usuário d323209 logado mostrando os drives (F:\, T:\ e U:\) mapeados

automaticamente de acordo coma figura 152.
180
Figura 152, pastas compartilhadas, imagem obtida no site
http://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSamba#Algumas_dicas_iniciais .03/05/2010
4.13 Virtualização
Para a virtualização será usado uma solução proprietária e gratuita da
VMWare, o VMWare Server, para adquirir o programa, primeiro faça um cadastro
gratuito para receber o serial, depois de efetuar cadastro e receber o email de
confirmação, o link apontará para uma página onde estará disponível um serial para
Windows e outro para Linux.
Usando o VMware Server, um servidor dedicado pode ser dividido em vários
servidores diferentes, cada um se comportando como se fosse uma máquina
separada. Além da possibilidade de combinar os diversos servidores da rede local
em uma única máquina, permite dividir um único servidor dedicado em diversos
servidores virtuais, que podem desempenhar funções secundárias ou até mesmo
181
serem sublocados. Podendo também utilizá-lo em um desktop, pois ele substitui o
VMware Player e o VMware Workstation com vantagens, além de ser gratuito.
Em geral, ao locar um servidor dedicado recebe uma faixa de IPs com
máscara 255.255.255.248, com 5 endereços IPs utilizáveis. Isso significa que pode
usar um endereço para o servidor principal e ainda ficar com mais 4 endereços para
as máquinas virtuais (sendo que uma delas pode acumular a função de servidor
DNS secundário).
As limitações do VMware Server são o suporte a até 3.6 GB de memória RAM
(na versão 2.0 o limite foi ampliado para 8 GB, desde que o utilize sobre um sistema
operacional de 64 bits) e o suporte a um máximo de 64 máquinas virtuais ativas
simultaneamente.
Estão disponíveis três componentes, o VMware Server propriamente dito, a
interface de gerenciamento via Web (Management Interface) e o "VMware Server
Linux client package" que é um arquivo compactado contendo o VMware Server
Console. Os dois primeiros são instalados no servidor, enquanto o último (o Server
Console) é instalado no desktop, a partir de onde administrará o servidor:
 Preparando o Ambiente
Baixe os arquivos de instalação do vmware no link indicado pelo email de
confirmação, copie o arquivo baixado para seu servidor (usando SFTP por exemplo).
 Instalando Pacotes Necessários
Como o VMware Server não possui os módulos já compilados para o kernel
padrão do Debian Lenny, na instalação, será requisitado que instale os programas
de compilação (make, gcc, …) e os cabeçalhos do kernel (linux-headers), para
instalar use os comandos:
182
apt-get install build-essentials gcc-4.1
apt-get install linux-headers-ùname -r`
O Debian por padrão instala o gcc-4.1 e 4.3, porém ele deixa o 4.3 como
padrão, sendo necessário mudar para o 4.1 para o VMware não acusar erro:
rm -fr /usr/bin/gcc
ln -s /usr/bin/gcc-4.1 /usr/bin/gcc
Desta forma o sistema está pronto para a compilação.
Descompacte o arquivo com o comando:
tar xzvpf VMware-server-2.0.2-203138.i386.tar.gz

Entre no diretório criado:
cd vmware-server-distrib
Execute o instalador:
./vmware-install.pl
O instalador é um script perl que executa em modo texto, o que permite a
instalação em servidores sem o ambiente gráfico instalado. Não existe muito
mistério, desde que os headers e os compiladores estejam em ordem, e irá
acabando com uma instalação utilizável mesmo que simplesmente pressione Enter
em todas as opções. Algumas perguntas que precisam de um pouco mais de
atenção são:
Trying to find a suitable vmmon module for your running kernel.

None of the pre-built vmmon modules for VMware Server is suitable for your
running kernel. Do you want this program to try to build the vmmon module for
your system (you need to have a C compiler installed on your system)? [yes]
Using compiler "/usr/bin/gcc". Use environment variable CC to override.
What is the location of the directory of C header files that match your running
kernel? [/lib/modules/2.6.8-2-386/build/include]
Aqui é perguntado sobre o os módulos do Kernel, confirmando a localização
dos headers. Este arquivo "/lib/modules/2.6.8-2-386/build/include" é, na verdade, um
183
link para a pasta "/usr/src/kernel-headers-2.6.8-2-386", onde estão os headers do
kernel. Em caso de erros neste ponto, verifique a instalação dos headers e a
presença do link. Outra dica é que precisa ter instalados os pacotes "gcc" e "g++" da
mesma versão usada para compilar o Kernel.
As próximas perguntas são sobre as interfaces de rede virtuais:
Do you want networking for your virtual machines? (yes/no/help) [yes]

Do you want to be able to use NAT networking in your virtual machines? (yes/no)
[no]
Do you want to be able to use host-only networking in your virtual machines? [no]
Naturalmente, deve responder sempre "yes" na primeira pergunta, caso
contrário as máquinas virtuais ficarão desconectadas da rede, mas as duas
seguintes precisam de uma inspeção mais cuidadosa. Por padrão, o VMware
oferece uma rede virtual em modo bridge (bridged network), onde as máquinas
virtuais simplesmente acessam a rede, como se fossem máquinas separadas. Cada
uma tem seu próprio IP, como se fossem vários servidores distintos.
As opções para criar uma rede NAT e host-only permitem que as máquinas
virtuais sejam configuradas com endereços internos, e acessem a rede através do
host. Esta configuração é útil no VMware Player (onde geralmente quer que o
sistema dentro da máquina virtual apenas acesse a Internet, sem compartilhar
nada), mas não é tão interessante no VMware Server, onde a ideia é justamente
criar servidores virtuais. Veja que no exemplo anterior foi desativado ambas as
opções. Caso o servidor tenha mais de uma placa de rede, o instalador pergunta:
Your computer has multiple ethernet network interfaces available: eth0, eth1.
Which one do you want to bridge to vmnet0? [eth0]
184
Ou seja, ao detectar que existe mais de uma placa de rede disponível, ele
pergunta a qual delas as máquinas virtuais devem ser ligadas. É importante indicar a
placa correta, referente à rede onde as máquinas virtuais ficarão disponíveis, seja a
placa da rede local, ou seja a placa com o link de Internet.
Embora a mesma placa física seja compartilhada por todas as máquinas
virtuais, o VMware se encarrega de encaminhar corretamente os pacotes recebidos.
Ele simula inclusive a existência de diversos endereços MAC, um para cada placa
de rede virtual. Imagine que ele cria uma espécie de "HUB virtual", onde as
máquinas virtuais são conectadas.
Em seguida:
Please specify a port for remote console connections to use [902]
Esta é a porta que será usada para a conexão do cliente, o vmware-server-
console. Poderá alterar a porta por outra menos visada (e indicá-la manualmente ao
conectar). O ponto principal é que a porta precisa ficar aberta no firewall. Se quiser
aumentar a segurança com a porta 902 aberta, pode ainda utilizar um túnel para se
conectar a ela através da porta utilizada pelo SSH.
Em seguida, deve-se definir a pasta onde as máquinas virtuais serão
armazenadas. Aqui escolhi a pasta "/var/vms" (a pasta "/var" é usada por padrão
para armazenar os sites do apache, bases de dados do MySQL, etc.), mas a
escolha fica por de acordo com as necessidades. Naturalmente, as máquinas
virtuais podem ocupar bastante espaço, por isso é importante checar o espaço livre
dentro da partição destino.
In which directory do you want to keep your virtual machine files?

[/var/lib/vmware/Virtual Machines] /var/vms/
Depois de fornecer o código de registro, que recebe via email, a instalação está
completa:
185
The configuration of VMware Server 2.0.2 build-80187 for Linux for this running
kernel completed successfully.
Depois de instalado, o VMware pode ser iniciado e parado através do serviço
"vmware", como em "/etc/init.d/vmware start" ou "/etc/init.d/vmware stop". Sempre
que tiver problemas, experimente, antes de mais nada, reiniciar o serviço.
O próximo passo é instalar o VMware Server Console, na estação de
trabalho. A instalação é bem similar à do servidor, com a diferença de não serem
necessários os headers e os compiladores. Basta descompactar o arquivo (ele usa
uma dupla compactação, em .tar.gz e depois em .zip), acessar a pasta que será
criada e executar o script "vmware-install.pl", como em:
$ unzip Vmware-server-linux-client-2.0.2-80187.zip
$ tar -zxvf Vmware-server-console-2.0.2-80187.tar.gz
$ cd vmware-server-console-distrib
# ./vmware-install.pl
Depois de instalado, chame-o usando o comando:
$ vmware-server-console
Ao abrir a conexão com o servidor, pode-se logar usando qualquer conta de
usuário. De início, entre como root, para testar e fazer a configuração, mas depois é
interessante criar uma conta de usuário separada, que tenha acesso à pasta das
VMs. O VMware utiliza SSL de 128 bits para garantir a segurança da conexão, mas
sempre é bom evitar utilizar o root para tarefas rotineiras.
Corrigindo o vmware-config.pl.
Atenção: Essa correção é para Debian 5.0.3 (Lenny) caso utilize outra versão,
pule esse passo e tente executar o vmware-config.pl original, somente tente corrigir
o vmware-config caso tenha o problema mostrado no anexo 26.
186
Após a Instalação
Para acessar a console de administração, basta abrir um navegador e digitar:
https://172.20.20.1:8333/
Troque o IP 172.20.20.1 pelo IP do servidor Debian.
Aparecerá a tela de login e senha com a figura 153:
Figura 153, Iniciando o VMWare, imagem obtida no site http://www.hack.net.br/linux/instalando-

vmware-server-2-0-2-no-Debian-5-0-3-lenny.04/05/2010.
Entre com o usuário root, e sua senha, depois só configurar o servidor de
acordo com suas necessidades e instalar o sistema operacional que quiser e o
programa funcionará normalmente.
4.14 Servidor de e-mail
O servidor de email era um agrupamento de várias soluções em software
livre, o POSTFIX, Spamassassin, Mailscanner, Pyzor e Razor.
POSTFIX é um software para envio e entrega de emails.
O Mailscanner é um gateway de email para detecção de vírus, spam e
phishing. Usa o Exim, sendmail ou postfix como base e suporta clamav e alguns
187
antivírus comerciais para fazer a pesquisa de vírus. Para detecção de spam, o
MailScanner usa o spamassassin.
O pyzor é uma rede de sistemas distribuídos para controle de spam, este
utiliza digest de mensagens para fazer análise e identificar o SPAM.
Razor do Vipul é uma rede distribuída e colaborativa de filtragem e detecção
de spam. O Razor estabelece um catálogo distribuído e constantemente atualizado
do spam em propagação. Este catálogo é usado por clientes para filtrar o spam
conhecido.
Spamassassin é um filtro de email que analisa o conteúdo e lhe atribui pontos
de acordo com o conteúdo e assim decidindo se é um spam ou não, se a pontuação
fica acima de certo limite (5 por default), a mensagem é colocada num arquivo
chamado "bulk" dentro da pasta "mail" do usuário. Portanto, será colocada em
mail/bulk. Mas, se a mensagem tem uma pontuação muito alta (14 por default), ela é
colocada no arquivo mail/SPAN, e se a pontuação for inferior a 5, a mensagem é
deixada na pasta normal (Inbox).
Adicione o repositório que contém o Mailscanner e importe a chave pública
para o gerenciador de pacotes, os repositórios são os servidores de onde se obtém
os software e atualizações, conforme anexo 27.
Para testar o servidor use os arquivos da EICAR, eles disponibilizam um

arquivo com assinatura de vírus para testar o antivírus sem correr risco.
Obs: Para otimizar o Mailscanner, modificar o valor da linha Max Children de 1
para 5. Assim ao invés de 01 serão criados 05 processos por CPU. Deve haver
cuidado, pois cada processo consome em média 20 MB.
4.15 Firewall
Opções existentes em termos de segurança, o firewall é fundamental, e
existem muitas ferramentas, será descrito as principais.
188
4.15.1 Firestarter
O Firestarter é um firewall gráfico para Linux, no Debian para instalar basta

executar o comando, ao executar pela primeira vez, mostrará o assistente da figura
147:
$ sudo apt-get install firestarter
Figura 154. Assistente Firestarter. Imagem obtida no site

http://www.guiadohardware.net/artigos/firewall-iptables/ 04/05/2010
Ao abrir o Firestarter pela primeira vez, é aberto um assistente, de acordo
coma figura 155, que pede algumas informações básicas sobre a configuração da
rede e oferece opções para compartilhar a conexão e ativar o firewall sob demanda,
ao conectar via modem ou ADSL PPPoE.
O compartilhamento de conexão cria um compartilhamento simples, via NAT.
Para compartilhar a conexão é preciso que o servidor possua duas placas de rede,
uma para a rede local e a outra para a Internet.
Estas configurações podem ser alteradas posteriormente no menu "Editar >
Preferências". O Firestarter pode ser usado também para configurar o servidor
DHCP, caso ele esteja instalado; se a opção de habilitar o servidor DHCP aparecer
189
desativada na sua configuração, verifique se o pacote com o servidor DHCP (dhcp3-
server, DHCP-server ou DHCP,) está instalado. O Firestarter apenas altera a
configuração, ele não faz a instalação do servidor DHCP:
Figura 155, configuração Firestater, imagem obtida no site

Como o Firestarter precisa manipular as regras do IPtables e configurar
outros componentes do sistema, ele só pode ser executado como root. Em muitas
distribuições, é adicionado um ícone no menu que executa o Firestarter através do
gksu ou kdesu, solicitando a senha de root durante a abertura.
Uma vez aberto, o Firestarter bloqueia por padrão todas as portas e todas as
tentativas de conexão, uma configuração bastante segura. A partir daí, poderá ir
criando uma lista de exceções, permitindo conexões em determinadas portas e a
partir de determinados endereços.
Ainda na janela de configurações, verifique se a opção "Método de rejeição de
pacotes preferido" está configurada como "Descartar silenciosamente", em que é
190
usada a política "DROP" do IPtables, ao invés de "REJECT", onde o emissor recebe
resposta.
A opção "Tráfego de broadcast" se refere a todos os pacotes direcionados à
rede, como, por exemplo, os pacotes usados por servidores Windows (e Samba)
para mapear os compartilhamentos disponíveis na rede. Deixe sempre a opção
"Block broadcasts from external network" habilitada, para que sejam bloqueados os
pacotes de broadcast provenientes da Internet.
Obs; Caso esteja usando uma rede wireless, acessando através de uma rede
de terceiros (ou utilizando qualquer tipo de rede que considere insegura), marque
também a opção "Block broadcasts from internal network", para bloquear também os
pacotes provenientes da rede local, como mostra a figura 156:
Figura 156, opções avançadas, imagem obtida no site http://www.guiadohardware.net/artigos/firewall-

iptables/ 04/05/2010
191
Um dos recursos mais interessantes, e o principal diferencial com relação a
outros projetos, é que o Firestarter transforma os logs de tentativas de acesso
gerados pelo IPtables em avisos dentro da aba "eventos". Quando uma nova
tentativa de acesso é registrada, o ícone ao lado do relógio fica vermelho existe
opção de aceitar ou recusar a conexão. Na figura 157, existe uma tentativa de
acesso ao servidor SSH, que está habilitado na porta 22 a partir do host
192.168.1.2:
Figura 157, decisão de permissão, imagem obtida no site

A opção "Permitir serviço de entrada para a origem" como na figura 158, faz
com que, daí em diante, o host 192.168.1.2 possa acessar o SSH (apenas na porta
22), sem disparar novamente o alarme, enquanto a opção "Permitir conexões a partir
da origem" faz com que o 192.168.1.2 possa acessar qualquer serviço, em qualquer
porta. Esta segunda opção é interessante para computadores da rede local.
192
A opção "Permitir serviço de entrada para todos" abre a porta do SSH para
todo mundo, incluindo micros da Internet. Esta é uma opção que deve ser usada
com mais cautela.
Todas as regras adicionadas entram em vigor imediatamente e ficam
acessíveis para modificação ou consulta na aba "Política". Pode ir também direto ao
ponto, abrindo as portas utilizadas por algum serviço em especial antes que o
firewall bloqueie a conexão. Na interface principal, acesse a aba "Política", clique
com o botão direito sobre o quadro "Permitir serviço", "Adicionar Regra".
Já estão disponíveis regras prontas para vários serviços. Lembre-se de que é
necessário abrir portas apenas quando você está rodando um servidor Samba,
Apache, SSH, etc, de acordo coma figura 151; não é preciso abrir portas para
acessar estes mesmos serviços como cliente. A única exceção importante para esta
regra é o NFS, onde é preciso manter a porta 111 aberta (no cliente) para conseguir
montar os compartilhamentos.
Note que além da opção para abrir para todo mundo, você pode abrir apenas
para um endereço IP específico ou para uma faixa de IPs, como em "192.168.1.0".
193
Figura 158, portas, imagem obtida no site http://www.guiadohardware.net/artigos/firewall-iptables/
04/05/2010
Caso o compartilhamento da conexão esteja ativo, aparecerá mais uma seção
dentro da aba "Política", a "Serviço de encaminhamento", que permite redirecionar
portas de entrada para micros da rede local, como na figura 159.
A configuração é similar à abertura de portas, mas agora, em vez de
especificar quais endereços terão acesso à porta aberta, terá que especificar qual
micro da rede local receberá as conexões direcionadas a ela:
194
Figura 159, regras de entrada, imagem obtida no site http://www.guiadohardware.net/artigos/firewall-
Podem acompanhar as conexões em uso através do campo "Conexões
ativas", na tela principal, como segue a figura 160. Note que a lista inclui todas as
conexões, tanto as conexões como cliente, contatando outros micros da rede ou
Internet quanto às conexões como servidor, recebendo uma conexão a partir de
fora.
Outra observação é que como mostra a figura 160, muitos programas abrem
diversas conexões simultâneas, o Gaim (ou outro cliente de ICQ/MSN), por exemplo,
abre uma conexão com o servidor principal (quando você fica online) e mais uma
conexão para cada janela de conversa aberta. Uma única instância do Bittorrent, por
exemplo, pode chegar a abrir mais de 20 conexões, já que baixa e serve o arquivo
para vários hosts simultaneamente. Preste atenção nas conexões em que o destino
é seu próprio endereço IP, pois elas indicam conexões a servidores ativos no seu
host.
195
Figura 160, conexões ativas, imagem obtida no site http://www.guiadohardware.net/artigos/firewall-
Caso o compartilhamento de conexão esteja ativo, a lista mostra todas as
conexões, de todos os micros da rede local (ou seja, uma lista possivelmente bem
grande). Isso pode ser usado para detectar micros que estão rodando programas
que consomem muita banda, como programas P2P em geral, e tomar as
providências necessárias, avisando o usuário ou bloqueando as portas ou
endereços IP das estações.
Para isso, acesse a aba "Política". Mude a opção no botão "Edição" para
"Política de tráfego de saída". As opções agora permitem bloquear tráfego de dentro
para fora, impedindo que determinados programas-clientes funcionem, ou que certos
servidores ou sites sejam acessados.
Neste caso, existem duas abordagens. Pode-se bloquear a porta usada pelo
cliente, ou pode bloquear o acesso ao servidor a que ele se conecta. Por exemplo, o
MSN envia mensagens através da porta 1863 e se conecta ao servidor
messenger.hotmail.com. Bloqueando qualquer um dos dois, o cliente já deixa de
funcionar. Mas, para garantir, bloqueiam-se ambos. Existe ainda um cliente
disponível via navegador, através da página http://webmessenger.msn.com, que
pode bloquear também.
196
O ICQ se conecta ao servidor login.icq.com, através da porta 5190. Assim
como no caso do MSN, existe uma versão via navegador, disponível no site
http://go.icq.com. Pode ser bloquear as três coisas. Se os usuários utilizarem
clientes via Web, como o meebo.com, poderá também adicioná-los à lista,
eliminando assim as brechas sucessivamente.
Na mesma tela, é possível bloquear também sites específicos, adicionando
domínio por domínio à lista. A idéia aqui é bloquear páginas específicas nas quais os
usuários estejam gastando muito tempo, ou páginas de conteúdo impróprio. Lembre-
se de que:
1- No caso de páginas de conteúdo impróprio, é mais prático usar um
filtro de conteúdo (como um servidor Squid com o DansGuardian) do que ficar
tentando bloquear endereço por endereço no firewall, já que existem muitos.
2- Bloquear um domínio ou um endereço IP aqui vai bloquear o acesso
de todos os protocolos (POP3, SMTP, SSH, FTP, etc.), não apenas http, ou
seja, significa realmente cortar relações. Caso bloqueie o acesso ao IP de um
servidor que hospeda vários sites, vai bloquear o acesso a todos eles.
Na figura 161, está sendo usada a opção "Tolerante por padrão", na qual o
firewall por padrão permite todo o tráfego de saída e assim específica manualmente
o que bloquear. Podem utilizar também o modo "Restrito por padrão", onde o firewall
bloqueia tudo e precisará ir abrindo uma a uma as portas que serão utilizadas,
recomendável em servidores e ambientes muito controlados. O mínimo neste caso é
abrir as portas 53/UDP (DNS), 80/TCP (http) e 443/TCP (https) para permitir o
acesso à Internet básica e, a partir daí, ir abrindo um a um os demais protocolos
necessários.
197
Figura 161, listas de conexão, imagem obtida no site http://www.guiadohardware.net/artigos/firewall-
Uma vez que o firewall é ativado, as regras ficam ativas mesmo que feche a
interface principal. O Firestarter fica residente na forma do serviço de sistema
"firestarter", que é executado de forma independente da interface. Pode-se usar o
comando "iptables -L", que lista as regras de firewall ativas para comprovar isso. Ao
fechar a interface gráfica, somente se perde apenas a possibilidade de monitorar as
tentativas de acesso e aceitar conexões.
Para realmente parar o firewall, será necessário reabrir a interface e clicar no
"Parar firewall" ou usar o comando "/etc/init.d/firestarter stop". Ao contrário da
maioria dos firewalls para Windows, o firewall em si é independente da interface.
Para que o firewall seja inicializado automaticamente durante a inicialização, é
importante que o sistema esteja configurado para inicializar o serviço "firestarter"
198
durante o boot. Nas distribuições derivadas do Debian, use o comando "update-rc.d
-f firestarter defaults"..
Poderá também configurar a interface do Firestarter para ficar residente como
um ícone do lado do relógio ao ser fechado no "Editar > Preferências > Interface >
Minimizar para a bandeja ao fechar a janela".
Para inicializar automaticamente sem precisar de senha, primeiro vem a
edição do arquivo sudoers que vai atribuir a execução do programa com o sudo sem
senha.
sudo nautilus /etc
Ache nesta pasta o arquivo “sudoers” e com o botão direito nele, vá para
propriedades> permissões e altere o acesso para “leitura e escrita” .
Feche as propriedades e abra o arquivo com o editor de texto. Adicione a seguinte
linha ao final:
%admin ALL= NOPASSWD: /usr/sbin/firestarter
Clique em salvar e feche
Depois novamente com o botão direito em cima dos arquivos vá para
Propriedades>permissões e altere o acesso para “somente leitura”.
OBS: Este passo é muito importante não esqueçer de marcar novamente “somente leitura”,
pois caso não marque, o sudo pára de funcionar, precisando ser atribuídas as permissões
pelo terminal.
Depois de configurado:
Sistema> Preferências> Aplicativos de sessão Clique em adicionar e coloque:
Nome: firestarter
Comando: sudo /usr/sbin/firestarter --start-hidden
Quando a sessão iniciar o firewall irá iniciar junto.
199
 Monitorização do servidor
Por vezes é importante ter um painel de informações onde, rapidamente,
podem-se verificar diversos parâmetros do servidor, desde a ocupação da memória,
à carga do processador, passando pelo estado de vários serviços, espaço em disco,
etc.
O pacote munin permite monitorizar diversos parâmetros de um ou vários
sistemas, como por exemplo, estado e carga dos serviços, temperaturas, espaço em
disco, etc.
O munin funciona segundo uma arquitetura cliente-servidor, em que um sistema
servidor recolhe e organiza dados recebidos de vários sistemas clientes. Para
monitorizar apenas um servidor, deverão ser instalados e configurados os pacotes
cliente e servidor no mesmo sistema.
OBS: O pacote munin utiliza uma interface Web. É necessário, portanto, instalar
um servidor http.
 Instalação cliente
A instalação consiste apenas em instalar o pacote cliente:
server:~# aptitude install munin-node munin-plugins-extra
 Configuração
A configuração do sistema cliente consiste em adicionar o endereço do
servidor à lista de endereços que podem estabelecer ligação ao cliente. O endereço
deve ser acrescentado no formato expressão regular. No nosso caso, como o cliente
e o servidor é o mesmo, basta adicionar o endereço 127.0.0.1.
200
Essa configuração é efetuada no arquivo /etc/munin/munin-node.conf, conforme
anexo 28.
 Segurança
Como o munin fornece muita informação acerca das características do
sistema, o seu acesso deve ser bastante restrito. O servidor httpd apache2 pode
proteger um diretório, dando acesso apenas a utilizadores devidamente autenticados
e autorizados. Como se pretende o máximo de segurança, a autenticação será feita
através do método de autenticação "Digest" do apache2, que transmite os dados de
forma segura. A configuração é feita em 2 fases. Em primeiro lugar, será exigido um
utilizador e palavra-passe válidos para acessar o diretório /munin, o que é feito no
arquivo /etc/apache2/sites-available/munin, conforme anexo 29.
 Verificação
Para verificar o funcionamento do munin, basta abrir um browser e indicar
http://server.home.LAN/munin na barra de endereços:
 Prevenção de ataques de força bruta
“Um Ataque de Força Bruta caracteriza-se por uma tentativa continuada de
obter acesso a um serviço do sistema (ssh, smtp, http, etc.), tentando diversas
combinações de nome do utilizador e senha. Para conseguir executar este ataque, o
atacante pode usar um software que gere diversas combinações de caracteres ou
basear-se em uma lista de palavras (dicionário).”
4.15.2 Fail2Ban
201
O pacote Fail2Ban pode ser utilizado para proteger servidores de e-mail, ftp, Web,
etc, bastando para tal editar o arquivo /etc/fail2ban/jail.local para configurar os vários
serviços que se pretendem proteger, o monitor do servidor, conforme figura 162.
Figura 162, monitor do servidor, imagem obtida no site http://servidorlenny.wikidot.com/security-

bruteforceattack-fail2ban. 08/05/2010.
O Fail2Ban é uma aplicação que analisa continuamente os arquivos de log e
bloqueiam os endereços Internet de onde originaram várias tentativas falhas de
acesso com senha inválida.
 Instalação
server:~# aptitude install fail2ban whois
 Configuração
OBS: A configuração ativada durante a instalação ativa o fail2ban para a porta ssh. No
entanto outras portas podem ser monitorizadas e protegidas.
202
A documentação do Fail2Ban aconselha a que toda a configuração seja feita
em arquivos com a extensão. local. Estes podem ser criados copiando o arquivo de
configuração original, com a extensão .conf:
server:~# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Toda a configuração é a partir de agora efetuada apenas no arquivo
/etc/fail2ban/jail.local.
Numa primeira fase, define-se os endereços que não estão sujeitos a restrições
(endereço local e rede local), durante quanto tempo os endereços atacantes serão
banidos (1800 segundos (30 minutos)) e após quantas tentativas (3 tentativas
permitidas). Essa configuração deve ser efetuadas no arquivo /etc/fail2ban/jail.local,
conforme anexo 30.
4.16 Plug-ins
É possível expandir a funcionalidade do munin, recorrendo aos diversos
plugins disponíveis no sítio Internet do projeto, em
http://muninexchange.projects.linpro.no. No entanto, a sua configuração sai do
âmbito deste trabalho.
 Detecção de rootkits
“Um rootkit é um pedaço de código malicioso que tenta alterar componentes
do sistema de modo a camuflar a sua existência ou a existência de arquivos
associados.” ( http://servidorlenny.wikidot.com/rootkit-detection)
Por exemplo, um rootkit que altere os comandos ls ou ps, de modo a que o ou
os seus arquivos e processos em execução não sejam listados, será difícil a
203
detecção e poderá assim abrir uma porta de entrada para o sistema,
comprometendo seriamente a segurança.
É, portanto imperativo que seja verificado periodicamente a possível existência
de rootkits no sistema, de modo a tomar medidas para eliminá-los o mais
rapidamente possível.
 Objetivo
Instalar o pacote rkhunter, um sistema de detecção de rootkits que avisa por
email o administrador do sistema se detectar alterações no sistema que indiciem a
presença de um rootkit.
 Instalação
server:~# aptitude install rkhunter
 Configuração
A configuração por padrão do pacote rkhunter é normalmente suficiente: o
ficheiro /etc/default/rkhunter define que a atualização da base de dados é feita
semanalmente, a verificação da existência de rootkits é feita diariamente, e os
resultados são enviados por email para o administrador de sistema (root).
Deverá, no entanto ser feita a atualização da base de dados de propriedades
de arquivos do rkhunter, conforme anexo 31.
4.17 IPV6
O IPV6 é a versão atualizada do protocolo IP, que utiliza endereços de 128
bits. Ele surgiu para solucionar o problema da escassez de endereços IP, que vem
se tornando um problema cada vez mais grave.
204
No IPV4 são usados endereços de apenas 32 bits, o que permitem apenas 4
bilhões de combinações de endereços. Pode parecer bastante, mas a má
distribuição dos endereços e peculiaridades do protocolo, como a necessidade de
reservar o primeiro e o último endereço de cada faixa, faz com que o volume de
endereços realmente disponíveis seja muito menor.
“Com o crescimento no volume de servidores e de dispositivos conectados à
Web, é apenas questão de tempo até que os endereços IPv4 se esgotem
definitivamente. Pode demorar, mas uma migração em massa para o IPV6 vai
acontecer mais cedo ou mais tarde.” ( Carlos E. Morimoto, Capítulo 4, Entendendo o
IPV6, Servidores Linux, Guia Prático.)
No IPV6 os endereços são escritos usando caracteres em hexa, conjunto
que além dos números de 0 a 9, inclui também as letras A, B, C, D, E e F,
totalizando 16 caracteres, cada um usado para representar um grupo de 4 bits.
Como são utilizados endereços de 128 bits, são necessários oito quartetos de
caracteres em hexa, separados por “:", como em:
2001:bce4:5641:3412:341:45ae:fe32:65.
Um endereço IPV6 pode ser abreviado de diversas formas. Em primeiro
lugar, todos os zeros à esquerda dentro dos quartetos podem ser omitidos. Por
exemplo, em vez de escrever "0341", pode-se escrever apenas "341"; em vez de
"0001" apenas "1" e, em vez de "0000" apenas "0", sem que o significado seja
alterado. É por isso que muitos quartetos dentro dos endereços IPV6 podem ter
apenas 3, 2 ou mesmo um único dígito. Os demais são zeros à esquerda, que foram
omitidos.
É muito comum que os endereços IPV6 incluam seqüências de números 0,
já que atualmente poucos endereços são usados, de forma que os donos preferem
205
simplificar as coisas. Graças a isso, o endereço "2001:bce4:0:0:0:0:0:1" pode ser
abreviado para apenas "2001:bce4::1", onde omite-se todo o trecho central
"0:0:0:0:0".
Assim como no IPV4, os endereços IPV6 são divididos em dois blocos. Os
primeiros 64 bits (os 4 primeiros quartetos) identificam a rede, enquanto os últimos
64 bits identificam o host. No endereço "2001:bce4:0:0:0:0:0:1", por exemplo, tem-se
a rede "2001:bce4:0:0" e o host "0:0:0:0:1" dentro dela. Não existem mais máscaras
de tamanho variável como no IPV4.
Para simplificar a configuração, a parte do endereço referente ao host é
definida automaticamente a partir do endereço MAC da placa de rede. Como os
endereços MAC possuem apenas 12 dígitos (enquanto no IPV6 a parte do host
contém 16 dígitos), são adicionados os dígitos "ffff" entre o sexto e sétimo dígito do
endereço. O endereço "00:16:F2:FE:34:E1", por exemplo, viraria então
"0016:f2ff:fffe:34e1".
A atribuição de endereços em uma rede IPV6 segue um processo diferente e
até mais simples do que em uma rede IPV4, onde os endereços são atribuídos
automaticamente, sem necessidade de utilizar um servidor DHCP especializado.
Os roteadores IPV6 enviam constantemente pacotes especiais, chamados
"RAs" (router advertisements). Como o nome sugere, estes pacotes divulgam a
existência do roteador e o endereço de rede utilizado por ele (os 64 bits iniciais do
endereço). Ao receberem estes pacotes, os clientes geram seus endereços IPV6
automaticamente, combinando os 64 bits do endereço fornecidos pelo roteador com
os 64 bits, gerados a partir do endereço MAC da placa de rede. Como o endereço
MAC só muda quando se substituiu a placa de rede, o cliente continuará utilizando o
mesmo endereço, sempre que reinicializar. No Linux, o serviço responsável por
206
enviar os router advertisements é o radvd (router-advertising daemon). A
configuração é bastante simples; comece instalando o pacote, como em:
# apt-get install radvd
Em seguida, crie o arquivo "/etc/radvd.conf" especificando a interface de
rede local e o prefixo, ou seja, a parte do endereço referente à rede, como em:
interface eth0
{
AdvSendAdvert on;
prefix fee::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
};
Nesse exemplo, está sendo utilizando o "fee::" como prefixo, que é uma faixa
de endereços fácil de lembrar.
Naturalmente, deve-se utilizar um endereço IPV6 iniciado com o prefixo na
configuração do servidor. Para especificar um endereço manualmente, use o
comando “ifconfig interface add endereço”, como em:
# ifconfig eth0 add fee::0015:f2ff:ffa1:d9cc
Para tornar a configuração definitiva, adicione as linhas abaixo no arquivo
"/etc/network/interfaces", especificando a interface e o endereço IPV6 utilizado:
iface eth0 inet6 static

address fee::0015:f2ff:ffa1:d9c
netmask 64
Terminada a configuração, reinicie o serviço "radvd" e o servidor passará a
divulgar o prefixo da rede, permitindo que os clientes configurem seus endereços
IPV6 automaticamente, combinando o prefixo da rede com os 16 dígitos gerados a
partir do endereço MAC da placa de rede:
207
# /etc/init.d/radvd restart
Quase todas as distribuições Linux atuais e também o Windows Vista,
Seven, Server trazem o protocolo IPV6 ativado por padrão, de forma que um
roteador configurado para enviar os pacotes RA é uma boa adição para a sua rede
local.
O radvd não conflita com dhcp3-server e os hosts da rede podem utilizar
endereços IPV4 e IPV6 simultaneamente sem nenhum conflito, de forma que pode
simplesmente adicionar o IPV6 à uma rede IPV4 já configurada, sem contra-
indicações. Dessa forma, podem-se tanto continuar acessando os outros micros da
rede utilizando os endereços IPV4 tradicionais quanto através dos endereços IPV6.
Capitulo V – Vantagens e desvantagens
Nesse capitulo serão mostradas algumas vantagens e desvantagens dos
sistemas operacionais Windows Server 2008 e debian 5.0.
5.1 Vantagens e desvantagens Windows Server 2008
Vantagens
208
 Uma das vantagens do Windows Server 2008 é a ferramenta Server
manager onde é possível instalar serviços e recursos do Windows
Server 2008;
 O serviço active directory com suporte a controladores de domínios
dos sistemas Windows Server 2000 e Windows Server 2003;
 Já possui vários drives para diversos dispositivos;
 Com a grande popularização do sistema é possível achar com mais
facilidade profissionais especializados em sistema Windows;
 Possui compatibilidade entre usuários de sistemas baseados em Unix;
 Já vem com padrão de segurança de senhas;
 Possui suporte a ipv6;
 Monitor de confiabilidade e desempenho do sistema operacional;
 Possui um aplicativo que permite criar um ambiente virtualizado com
diferentes sistemas operacionais;
 Sistema de compartilhamento de pastas e dispositivos;
 Assistente de instalação de serviços;
 É possível encontrar vários materiais publicados;
Desvantagens
 Alto custo de licença do sistema;
 Necessário para instalação de alguns serviços como, por exemplo, serviço de
Proxy e email adquirir softwares adicionais compatíveis com o active
directory;
 Necessário equipamento de alto desempenho;
209
 Não trabalha mais com sistema de backup em fita.
5.2 Vantagens e desvantagens debian 5.0
Vantagens
 Kernel estável;
 Funciona com varias arquiteturas de processadores risc, ciesc e híbridos;
 Não necessita de alto desempenho de hardware para o seu funcionamento;
 Software livre (código fonte livre);
 A utilização de ambientes texto e grafico simultaneamente;
 Possui um sistema de início, reinicio e encerramento de serviços sem precisar
reiniciar o sistema;
 Um sistema que pode ser utilizado como sistema home ou sistema Server
utilizando o synapitic escolhendo os pacotes e serviços que será utilizado;
 Por se tratar de uma arquitetura Unix não existem muitos vírus;
 Instalação do sistema em modo gráfico ou em modo texto;
 Incentivo do governo a distribuição de plataformas Linux.
Desvantagens
 Falta de profissionais qualificados e custo de mão de obra alto;
 Falta de livros publicados;
 Falta de drives para dispositivos;
 Falta de padronização de instalação de programas;
 Um sistema pouco popular.
210
5.3 O mercado de Servidores
Reportagem da revista Info de 27 de março de 2007, falando: "será que o
Unix está com os dias contados? O instituto Gartner (Diagnósticos América:
Especializado em laboratórios clínicos) chegou a prever que em 2007 não haveria
mais desenvolvimento para o Unix e agendou para o ano de 2011 seu funeral. Mas o
fato é que a tecnologia ainda está longe de ostentar números moribundos. Continua
a mover bilhões de dólares em vendas, numa trindade formada basicamente pelo
Solaris, da Sun; o AIX, da IBM; e o HP-UX, da HP.”
A conclusão básica dessa reportagem fala que o mercado de servidores o
Unix está perdendo espaço para Linux e Windows.
“Não é no preço do software e sim no do hardware que o Unix enfrenta um de
seus maiores desafios. A estruturada parceria com servidores equipados com
processadores RISC vem perdendo terreno para a atrativa relação custo/benefício
de duplas como a Intel/Linux. Foi o que aconteceu no iG. Quando o provedor
gratuito estreou, em janeiro do ano 2000, proliferavam máquinas Sun rodando
Solaris. Hoje, nos dois datacenters do Internet Group, que dão conta das operações
do iG, do iBest e do BrTurbo, cerca de 90% dos servidores rodam Linux, com as
distribuições Red Hat e SUSE. O Windows fica com algo entre 5 e 10%, e o Unix
sobreviveu em alguns poucos servidores, em sistemas específicos. “
Continuando a reportagem:
“É justamente na hora de comprar novas máquinas que muitas empresas
acabando tirando o RISC de circulação — e, em conseqüência, o Unix. Um dos
exemplos está no datacenter do CPTEC (Centro de Previsão de Tempo e Estudos
211
Climáticos), do Inpe (Instituto Nacional de Pesquisas Espaciais), que processa todos
os dias gigantescos volumes de dados. “Estamos indo na direção do Opteron e do
Xeon”, diz Luiz Flávio Rodrigues, chefe dos serviços de suporte computacionais do
CPTEC. Segundo ele, o Linux responde hoje por 95% nas compras de novas
máquinas, enquanto o Unix fica com meros 5%. No total, o Linux já dominou 70%
dos servidores do datacenter, com as distribuições Red Hat e SUSE. O RISC/Unix,
no entanto, continua firme no supercomputador NEC-SX6. São 12 nós com oito
processadores e 768 GFlops de performance de pico, rodando o sistema Unix da
NEC. “
5.4 Servidores de elite
Com a acirrada competição com o Linux e a Intel nas máquinas de menor
porte, a base instalada do Unix vai se concentrando no topo da pirâmide — e em
aplicações consideradas críticas. Quando se fala em grandes volumes de
processamento, ainda existe um reduto de Unix. “Entre os nossos clientes, está
havendo um aumento de vendas do Linux no middle market, mas nos sistemas de
grande porte ele continua forte”, afirma Elizabeth Faria, gerente sênior de consultoria
da Oracle.
A última edição da pesquisa de recursos de informática da Fundação Getúlio
Vargas perguntou a uma amostra de 1 630 companhias de grande e médio porte no
Brasil qual era seu maior computador. Em 51% delas, a arquitetura PC é dona desse
equipamento. O RISC fica com uma fatia de 29%. No software, considerando a base
instalada de servidores, o Windows leva 64%, seguido pelo Linux, com 16%, e pelo
Unix, com 14%. Dois anos antes, a relação entre Linux e Unix era justamente
inversa: 14% X 16%. O Windows tinha 62%.
212
Na maioria das empresas, o que se vê na prática está longe de ser uma
opção xiita por um sistema ou outro. Eles costumam conviver, sem traumas, nos
datacenters. É o caso da agência de viagens CVC. Dos 15 servidores, cinco são
RISC, rodando HP-UX, o que inclui a principal aplicação da empresa, a de vendas.
“Não temos a intenção de sair do Unix”, afirma Marcos Faria, diretor de tecnologia
da CVC. Os outros dez servidores são na plataforma Intel e se dividem em Linux e
Windows. O pingüim fica em servidores, periféricos, como os de DNS e firewall, nas
distribuições Debian e Red Hat. Mas já começa a bicar outras áreas da operadora. O
novo site, por exemplo, vai combinar Java e Linux.
O McDonald’s é outro exemplo de como as tecnologias dividem espaço. Os
13 servidores Unix tendem a concentrar aplicações mais críticas de produção, além
do desenvolvimento. Há ainda quatro máquinas rodando Linux e 15 com Windows. A
empresa não pretende tirar o Unix de circulação. “Há mais de dez anos ouço que o
mainframe vai acabar, e nada”, diz Roberto Galdieri, diretor de TI do McDonald’s.
Capitulo VI – Considerações Finais
Este trabalho tem como objetivo comparar os sistemas operacionais Windows
Server 2008 e debian 5.0 em um ambiente de rede e comparar os principais serviços
oferecidos por esses sistemas operacionais.
213
No desenvolvimento desse trabalho concluísse que o sistema Windows
Server 2008 é mais prático na instalação e configuração de serviços, opções de
serviços bem distribuídos e organizados, fácil manipulação por se tratar de um
ambiente gráfico. Suporte da própria empresa, porem não possui um servidor de
email e firewall nativo, sendo necessário pagar por um software proprietário. Por
ainda as empresas usarem sistemas de backup em fita, a falta de suporte para essa
mídia e um ponto negativo.
No caso do sistema operacional debian 5.0 possui servidores de email
gratuito e firewall nativo não sendo necessário pagar nenhuma licença, pode ser
instalado e configurado em uma plataforma de hardware de baixo desempenho e
possui alta disponibilidade não sendo necessário reiniciar o servidor por anos. Não
possui suporte oficial sendo necessário contratar um especialista, não é pratico e a
maioria das configurações é feita por linha de comando e edição de arquivos de
texto, tornando a configuração mais lenta e difícil.
Bibliografia e Referências de pesquisa
JEFFREY, Shaphiro R. “Windows Server 2008 bible”, Editora Wiley publishing. 2008.
ISBN: 978-0-470-17069-4.
214
TANENBAUM, Andrew S. "Redes de Computadores", Editora Campus 6ª tiragem
1997.
MORIMOTO, Carlos E. “Redes, Guia Prático”, Editora GDH Press/Sul Editores 2008.
ISBN: 978-85-99593-13-4.
TORRES, Gabriel. “Redes de Computadores Curso Completo”. 2009. ISBN:

8561893052. ISBN-13: 9788561893057.
OLIVEIRA, Rômulo S. CARISSIMI, Alexandre da S. TOSCANI, Simão Sirineo.

“Sistemas Operacionais”, Editora SagraLuzzatto. 2001.
 www.technet.com
Fabio Hara tutorial Windows Server 2008
 Data de acesso de acesso: 22 de março 2010
http://www.guiadohardware.net/tutoriais/historia-redes/
Autor: Carlos E. Morimoto
http://www.guiadohardware.net/tutoriais/historia-redes/pagina2.html
 Data de acesso: 25 de março 2010
Dispositivos de Rede: Fernando Cerutti.

http://inf.unisul.br/~cerutti/disciplinas/redes1/unid5-dispositivos.pdf
Classificação das Redes de computadores:

http://www.dei.isep.ipp.pt/~andre/documentos/redes-classificacao.html.
 Data de acesso: 26 de março 2010
Projeto de Rede Local. Autor: Carlos A. Majer.

http://www.scribd.com/doc/258420/Projeto-de-Rede-Local.pdf
 Data de acesso: 8 de maio de 2010
https://penguim.wordpress.com/2009/06/09/configurando-um-servidor-de-
email-com-postfix-spamassassin-mailscanner-pyzor-razor-no-debian-lenny/
http://servidorlenny.wikidot.com/security-bruteforceattack
http://packages.debian.org/pt/sid/mailscanner
http://www.gdhpress.com.br/redes/leia/index.php?p=cap5-12
215
http://www.guiadohardware.net/artigos/firewall-iptables
http://www.suporte-tecnico.net/home/modules.php?
name=News&file=article&sid=102
http://www.debian.org/doc/manuals/reference/ch-gateway.pt-br.html
http://evandrolima.blogspot.com/2007/08/samba-3-ldap-phpldapadmin.html.
Autor Evandro Lima.
http://www.hack.net.br/linux/instalando-vmware-server-2-0-2-no-debian-5-0-3-
lenny
http://www.guiadohardware.net/tutoriais/vmware-server/
http://www.guiadohardware.net/tutoriais/vmware-server2/
http://www.guiadohardware.net/tutoriais/vmware-server3/
http://www.guiadohardware.net/artigos/firewall-iptables/
http://msdn2.microsoft.com/en-us/windowsserver/cc196364.aspx
Anexos
Nos anexos estão as informações de comandos, seus respectivos

resultados (logs) e arquivos de texto para edição, os anexos estão
enumerados e são referenciados quando necessário no capítulo IV.
216
1. Desenho das interfaces de rede guardado no arquivo
/etc/network/interfaces:
# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).
# The loopback network interface

auto lo
iface lo inet loopback
# The primary network interface

# allow-hotplug eth0
# iface eth0 inet DHCP
# Static IP address
auto eth0
address 192.168.1.100
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
2. O comando ifconfig:
server:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0c:29:3c:96:f8
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe3c:96f8/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6677 errors:0 dropped:0 overruns:0 frame:0
TX packets:3394 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7775032 (7.4 MiB) TX bytes:247832 (242.0 KiB)
Interrupt:19 Base address:0x2000
lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
217
Deverá ser também possível contatar servidores Internet:
server:~# ping -c3 www.Debian.org
PING www.Debian.org (194.109.137.218) 56(84) bytes of data.
64 bytes from klecker.Debian.org (194.109.137.218): icmp_seq=1 ttl=128 time=67.7
ms
64 bytes from klecker.Debian.org (194.109.137.218): icmp_seq=2 ttl=128 time=107
ms
64 bytes from klecker.Debian.org (194.109.137.218): icmp_seq=3 ttl=128 time=93.6
ms
--- www.Debian.org ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2005ms
rtt min/avg/max/mdev = 67.780/89.547/107.240/16.365 ms
3. Arquivo /etc/hosts:
127.0.0.1 localhost
192.168.1.100 server.home.LAN server
# The following lines are desirable for IPv6 capable hosts

::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
Verificação
server:~# hostname --short
server
server:~# hostname --domain
home.LAN
server:~# hostname --fqdn
server.home.LAN
server:~# hostname --IP-address
192.168.1.100
4. Interface virtual eth0:0:


auto lo
218
#allow-hotplug eth0
#iface eth0 inet DHCP
# Static IP address
auto eth0
address 192.168.1.100
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
# Virtual interface
# Static IP address
auto eth0:0
iface eth0:0 inet static
address 192.168.1.101
netmask 255.255.255.0
5. O comando ifconfig na interface virtual eth0:0:
server:~# ifconfig
eth0:0 Link encap:Ethernet HWaddr 00:0c:29:3c:96:f8


inet addr:127.0.0.1 Mask:255.0.0.0
RX bytes:2856 (2.7 KiB) TX bytes:2856 (2.7 KiB)
O comando ping permite verificar se um servidor está acessível e a
responder a comunicações em rede:
219
server:~# ping -c3 virtual
PING virtual.home.LAN (192.168.1.101) 56(84) bytes of data.
64 bytes from virtual.home.LAN (192.168.1.101): icmp_seq=1 ttl=64 time=0.031 ms
--- virtual.home.LAN ping statistics ---

3 packets transmitted, 3 received, 0% packet loss, time 1999ms
rtt min/avg/max/mdev = 0.031/0.041/0.047/0.009 ms
6. interface de rede bond0
# [...]
alias bond0 bonding
options bonding mode=balance-rr miimon=100 downdelay=200 updelay=200
# [...]
O parâmetro mode=balance-rr indica que a interface irá operar em modo
balance-rr, em que os dados serão transmitidos alternadamente pelas diversas
interfaces físicas.
Em seguida, carregue o módulo em memória:

server:~# modprobe bonding
E verifique que está realmente carregado:

server:~# lsmod | grep bonding
bonding 69540 0
O passo seguinte é a parametrização da nova interface de rede e remover (ou
comentar) qualquer referência às interfaces físicas por ela usadas, o que é feito no
arquivo /etc/network/interfaces:


auto lo

# allow-hotplug eth0
# iface eth0 inet DHCP
220
# Static IP address
# auto eth0
# iface eth0 inet static
# address 192.168.1.100
# netmask 255.255.255.0
# network 192.168.1.0
# broadcast 192.168.1.255
# gateway 192.168.1.1
# Interface bonding
# Static IP address
auto bond0
iface bond0 inet static
address 192.168.1.100
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
up /sbin/ifenslave bond0 eth0 eth1
down /sbin/ifenslave -d bond0 eth0 eth1
Finalmente, reiniciar os serviços de rede:

server:~# /etc/init.d/networking restart
Verificação
O comando ifconfig permite verificar o estado das interfaces de rede:
server~# ifconfig
bond0 Link encap:Ethernet HWaddr 00:0c:29:3c:96:f8
UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1

UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1

UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
221
RX bytes:138 (138.0 B) TX bytes:4248 (4.1 KiB)

inet addr:127.0.0.1 Mask:255.0.0.0
RX bytes:3864 (3.7 KiB) TX bytes:3864 (3.7 KiB)
A interface bond0 tem atribuído um endereço Internet e as 3 interfaces
(bond0, eth0 e eth1) têm o mesmo endereço físico ("HWaddr 00:30:1B:B0:C3:4A"),
para que sejam "vistas" pelo resto da rede como sendo apenas uma.
7. Repositório Backports
server:~# aptitude install Debian-backports-keyring

Reading package lists... Done
Building dependency tree
Reading state information... Done
Reading extended state information
Initializing package states... Done
Reading task descriptions... Done
The following NEW packages will be installed:
Debian-backports-keyring
0 packages upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 3362B of archives. After unpacking 49.2kB will be used.
WARNING: untrusted versions of the following packages will be installed!
Untrusted packages could compromise your system's security.
You should only proceed with the installation if you are certain that
this is what you want to do.
Debian-backports-keyring
Do you want to ignore this warning and proceed anyway?

To continue, enter "Yes"; to abort, enter "No": Yes
Writing extended state information... Done
Get:1 http://www.backports.org lenny-backports/main Debian-backports-keyring
2009.02.20 [3362B]
Fetched 3362B in 0s (11.4kB/s)
222
Selecting previously deselected package Debian-backports-keyring.
(Reading database ... 35721 files and directories currently installed.)
Unpacking Debian-backports-keyring (from .../Debian-backports-
keyring_2009.02.20_all.deb) ...
Setting up Debian-backports-keyring (2009.02.20) ...
OK
Reading package lists... Done
Building dependency tree
Reading state information... Done
Reading extended state information
Initializing package states... Done
Writing extended state information... Done
Reading task descriptions... Done
Verificação
É possível listar as chaves utilizadas pelo apt:
server:~# apt-key list

/etc/apt/trusted.gpg
--------------------
pub 1024D/6070D3A1 2006-11-20 [expires: 2009-07-01]
uid Debian Archive Automatic Signing Key (4.0/etch)
<ftpmaster@Debian.org>
pub 1024D/ADB11277 2006-09-17

uid Etch Stable Release Key <Debian-release@lists.Debian.org>
pub 1024D/BBE55AB3 2007-03-31 [expires: 2010-03-30]

uid Debian-Volatile Archive Automatic Signing Key (4.0/etch)
sub 2048g/36CA98F3 2007-03-31 [expires: 2010-03-30]
pub 1024D/F42584E6 2008-04-06 [expires: 2012-05-15]

uid Lenny Stable Release Key <Debian-release@lists.Debian.org>
pub 4096R/55BE302B 2009-01-27 [expires: 2012-12-31]

uid Debian Archive Automatic Signing Key (5.0/lenny)
<ftpmaster@Debian.org>
pub 2048R/6D849617 2009-01-24 [expires: 2013-01-23]

uid Debian-Volatile Archive Automatic Signing Key (5.0/lenny)
pub 1024D/16BA136C 2005-08-21

uid Backports.org Archive Key <ftp-master@backports.org>
sub 2048g/5B82CECE 2005-08-21
223
Utilização
O repositório está pronto a ser utilizado, com a sequência habitual aptitude
update, seguido de aptitude install <nome_do_pacote>.
8. Arquivo de configuração do DNS /etc/bind/named.conf.options
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want

// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable

// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
forwarders {
// OpenDNS servers
208.67.222.222;
208.67.220.220;
// ADSL router
192.168.1.1;
};
// Security options
listen-on port 53 { 127.0.0.1; 192.168.1.100; };
allow-query { 127.0.0.1; 192.168.1.0/24; };
allow-recursion { 127.0.0.1; 192.168.1.0/24; };
allow-transfer { none; };
auth-nxdomain no; # conform to RFC1035

// listen-on-v6 { any; };
};
Verificar se o ficheiro de configuração foi corretamente editado:

server:~# named-checkconf
Atualizar o arquivo /etc/resolv.conf para que a resolução de nomes passe a
ser feita localmente:
224
Verificar também no arquivo /etc/nsswitch.conf se a resolução de nomes
passa também pelo serviço DNS:
# [...]
hosts: files DNS
# [...]
Reiniciar o serviço DNS:
server:~# /etc/init.d/bind9 restart
Verificação
Como verificação, basta procurar o endereço IP de qualquer site da Internet.
O servidor DNS deverá ser o nosso e o endereço IP do site deverá ser corretamente
mostrado:
server:~# nslookup www.fccn.pt

Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
www.fccn.pt canonical name = m01.bc01.mm.fccn.pt.
Name: m01.bc01.mm.fccn.pt
Address: 193.137.196.101
O processo inverso, ou seja, procurar o nome a partir do endereço IP também
deverá funcionar:
server:~# nslookup 193.137.196.101

Server: 127.0.0.1
Address: 127.0.0.1#53
101.196.137.193.in-addr.arpa name = m01.bc01.mm.fccn.pt.
Authoritative answers can be found from:

. nameserver = f.root-servers.net.
. nameserver = h.root-servers.net.
. nameserver = g.root-servers.net.
. nameserver = b.root-servers.net.
. nameserver = i.root-servers.net.
. nameserver = a.root-servers.net.
. nameserver = j.root-servers.net.
225
. nameserver = e.root-servers.net.
. nameserver = l.root-servers.net.
. nameserver = k.root-servers.net.
. nameserver = c.root-servers.net.
. nameserver = d.root-servers.net.
. nameserver = m.root-servers.net.
9. Arquivo de configuração de zonas /etc/bind/named.conf.local
//
// Do any local configuration here
//
zone "home.LAN" {
type master;
file "/etc/bind/db.home.LAN";
};
zone "1.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.1.168.192";
};
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
Resolução de nomes
A resolução de nomes transforma os nomes dos sistemas nos endereços IP
correspondentes.
Para a zona "home.LAN", os nomes "server", "virtual", "ns" e "router" são
associados aos respectivos endereços. A base de dados para a resolução de nomes
na zona home.LAN é guardada no ficheiro /etc/bind/db.home.LAN:
;
; BIND zone file for home.LAN
;
$TTL 3D
@ IN SOA ns.home.LAN. root.home.LAN. (
2008121701 ; serial
8H ; refresh
226
2H ; retry
4W ; expire
1D ) ; minimum
;
NS ns ; Inet address of name server
MX 10 mail ; Primary mail exchanger
ns A 192.168.1.100
mail A 192.168.1.100
server A 192.168.1.100
virtual A 192.168.1.101
router A 192.168.1.1 ; router ADSL

gateway CNAME router
gw CNAME router
10. DNS CNAME
// [...]
Proxy CNAME server
www CNAME virtual
ftp CNAME virtual
// [...]
Resolução Inversa
A resolução de inversa transforma endereços IP nos correspondentes nomes
dos sistemas.
A resolução inversa é implementada no ficheiro /etc/bind/db.1.168.192:
;
; BIND zone file for 192.168.1.xxx
;
$TTL 3D
@ IN SOA ns.home.LAN. root.home.LAN. (
2008121701 ; serial
8H ; refresh
2H ; retry
4W ; expire
1D ) ; minimum
;
NS ns.home.LAN. ; Nameserver address
100 PTR server.home.LAN.
227
100 PTR ns.home.LAN.
100 PTR mail.home.LAN.
101 PTR virtual.home.LAN.
1 PTR router.home.LAN.
Reiniciar o serviço:
server:~# /etc/init.d/bind9 restart
Acrescentar o domínio home.LAN no ficheiro /etc/resolv.conf:
# [...]
domain home.LAN
search home.LAN
# [...]
Assim, quando refere-se ao sistema "server", este será procurado no domínio
"home.LAN", resultando no nome "server.home.LAN".
Verificar a resolução de nomes:

server:~# nslookup server
Server: 127.0.0.1
Address: 127.0.0.1#53
Name: server.home.LAN
Address: 192.168.1.100
Verificar que os aliases também são resolvidos:

server:~# nslookup gateway
Server: 127.0.0.1
Address: 127.0.0.1#53
gateway.home.LAN canonical name = router.home.LAN.

Name: router.home.LAN
Address: 192.168.1.1
Finalmente, verificar que a resolução inversa:

server:~# nslookup 192.168.1.101
Server: 127.0.0.1
Address: 127.0.0.1#53
101.1.168.192.in-addr.arpa name = virtual.home.LAN.
11. DynDNS. ficheiro /etc/ddclient.conf
# Configuration file for ddclient generated by debconf

#
228
# /etc/ddclient.conf
pid=/var/run/ddclient.pid
protocol=dyndns2
#use=if, if=eth0
server=members.dyndns.org
login=omeulogin
password='aminhapassword'
omeuservidor.dyndns.org
use=Web, Web=dyndns
Caso seja usado um proxy para acessar à Internet, este deverá constar no
ficheiro de configuração /etc/ddclient.conf:
# [...]
proxy=proxy.isp.com:3128
# [...]
Reiniciar o serviço ddclient:

server~# /etc/init.d/ddclient restart
Verificação
A aplicação ddclient permite visualizar as comunicações com o serviço
dynDNS:
server:~# ddclient -v
CONNECT: checkip.dyndns.org
CONNECTED:
SENDING: GET / HTTP/1.0
SENDING: Host: checkip.dyndns.org
SENDING: User-Agent: ddclient/3.6.7
SENDING: Connection: close
SENDING:
RECEIVE: HTTP/1.1 200 OK
RECEIVE: Content-Type: text/html
RECEIVE: Server: DynDNS-CheckIP/1.0
RECEIVE: Connection: close
RECEIVE: Cache-Control: no-cache
RECEIVE: Pragma: no-cache
RECEIVE: Content-Length: 105
RECEIVE:
RECEIVE: <html><head><title>Current IP Check</title></head><body>Current IP
Address: 84.85.86.87</body></html>
SUCCESS: omeuservidor.dyndns.org: skipped: IP address was already set to
84.85.86.87.
229
Neste caso o serviço já estava atualizado com o endereço 84.85.86.87.
Deverá também ser possível resolver o nome "externo" do servidor:
server:# nslookup omeuservidor.dyndns.org

Server: 127.0.0.1
Address: 127.0.0.1#53
Name: omeuservidor.dyndns.org
Address: 84.85.86.87
12. DHCP. Ficheiro /etc/dhcp3/dhcpd.conf

#
# Sample configuration file for ISC dhcpd for Debian
#
# $Id: dhcpd.conf,v 1.1.1.1 2002/05/21 00:07:44 peloy Exp $
#
# The ddns-updates-style parameter controls whether or not the server will

# attempt to do a DNS update when a lease is confirmed. We default to the
# behavior of the version 2 packages ('none', since DHCP v2 didn't
# have support for DDNS.)
ddns-update-style none;
# option definitions common to all supported networks...

option domain-name "home.LAN";
option domain-name-servers 192.168.1.100, 192.168.1.1;
default-lease-time 600;
max-lease-time 7200;
# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;
# Use this to send DHCP log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;
## SubRede home.LAN
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.32 192.168.1.63;
option routers 192.168.1.1;
option broadcast-address 192.168.1.255;
}
# [...]
230
O protocolo DHCP possibilita a atribuição de endereços específicos a
determinados sistemas, associando o número da placa de rede ao endereço
pretendido. No entanto, estes endereços fixos não devem estar na gama dos
endereços reservados para atribuição dinâmica.
# [...]
# Fixed IP addresses can also be specified for hosts. These addresses
# should not also be listed as being available for dynamic assignment.
# Hosts for which fixed IP addresses have been specified can boot using
# BOOTP or DHCP. Hosts for which no fixed address is specified can only
# be booted with DHCP, unless there is an address range on the subnet
# to which a BOOTP client is connected which has the dynamic-bootp flag
# set.
host posto2 {
hardware ethernet 01:23:45:67:89:10;
fixed-address 192.168.1.2;
}
host posto3{
hardware ethernet 01:23:45:67:89:11;
fixed-address 192.168.1.3;
}
Reiniciar o serviço DHCP:

server:~# /etc/init.d/dhcp3-server restart
13. Squid. ficheiro /etc/squid/squid.conf.
# [...]
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR
CLIENTS
# Example rule allowing access from your local networks. Adapt

# to list your (internal) IP networks from where browsing should
# be allowed
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks
http_access allow localhost
acl home.LAN src 192.168.1.0/24
http_access allow home.LAN
# And finally deny all other access to this proxy

http_access deny all
# [...]
231
O tamanho total da cache do squid pode ser afinado para um valor
conveniente, como por exemplo, 2048Mb:
# [...]
#Default:
# cache_dir ufs /var/spool/squid 100 16 256
cache_dir ufs /var/spool/squid 2048 16 256
# [...]
A identificação do servidor proxy pode também ser definida:
# [...]
# TAG: visible_hostname
# If you want to present a special hostname in error messages, etc,
# define this. Otherwise, the return value of gethostname()
# will be used. If you have multiple caches in a cluster and
# get errors about IP-forwarding you must set them to have individual
# names with this setting.
#
#Default:
# none
visible_hostname proxy.home.LAN
# [...]
Opcionalmente, pode-se também configurar o tamanho máximo de um objeto
a guardar em cache definindo o parâmetro maximum_object_size com um valor em
Kbytes:
# [...]
# TAG: maximum_object_size (bytes)
# Objects larger than this size will NOT be saved on disk. The
# value is specified in kilobytes, and the default is 4MB. If
# you wish to get a high BYTES hit ratio, you should probably
# increase this (one 32 MB object hit counts for 3200 10KB
# hits). If you wish to increase speed more than your want to
# save bandwidth you should leave this low.
#
# NOTE: if using the LFUDA replacement policy you should increase
# this value to maximize the byte hit rate improvement of LFUDA!
# See replacement_policy below for a discussion of this policy.
#
# NOTE 2: In Debian the default is raised to 20MB allowing cache
# of Packages files in Debian repositories. This makes squid a
232
# proper proxy for APT.
#
#Default:
# maximum_object_size 20480 KB
# [...]
Reiniciar o serviço squid:
server:~# /etc/init.d/squid restart
14. Dansguardian. Ficheiro /etc/dansguardian/dansguardian.conf
# [...]
# language to use from languagedir.
language = 'portuguese'
# [...]
Por padrão, o dansguardian aceita ligações na porta 8080. No entanto estas
definições podem ser alteradas:
# [...]
# Network Settings
#
# the IP that DansGuardian listens on. If left blank DansGuardian will
# listen on all IPs. That would include all NICs, loopback, modem, etc.
# Normally you would have your firewall protecting this, but if you want
# you can limit it to a certain IP. To bind to multiple interfaces,
# specify each IP on an individual filterip line.
filterip =
# the port that DansGuardian listens to.

filterport = 8080
# [...]
O próprio dansguardian deve usar um proxy para otimização da largura de
banda, neste caso o squid, precisa funcionar no mesmo servidor.
# [...]
# the IP of the proxy (default is the loopback - i.e. this server)
proxyip = 127.0.0.1
# the port DansGuardian connects to proxy on
233
proxyport = 3128
# [...]
Caso tenha sido instalado o pacote anti-vírus ClamAV, o dansguardian pode filtrar conteúdos
para detectar vírus:
# [...]
# # Content Scanners (Also known as AV scanners)
# These are plugins that scan the content of all files your browser fetches
# for example to AV scan. The options are limitless. Eventually all of
# DansGuardian will be plugin based. You can have more than one content
# scanner. The plugins are run in the order you specify.
# This is one of the few places you can have multiple options of the same name.
#
# Some of the scanner(s) require 3rd party software and libraries eg clamav.
# See the individual plugin conf file for more options (if any).
#
contentscanner = '/etc/dansguardian/contentscanners/clamav.conf'
# [...]
Após terminar a configuração, deve ser comentada a linha de segurança:
# [...]
# UNCONFIGURED - Please remove this line after configuration
# [...]
O dansguardian utiliza, entre outras técnicas, um sistema de análise de texto
em que atribui penalização a determinadas palavras consideradas "obscenas" e
atingindo um determinado limite a página é bloqueada. Este limite pode ser alterado
em função do perfil dos utilizadores, sendo que quanto mais alto for o valor, mais
permissivo é o filtro. Normalmente são considerados razoáveis os valores de 50 para
crianças pequenas, 100 para crianças mais velhas, 160 para adolescentes e 200 a
240 para adultos. Este valor deve ser indicado no parâmetros naughtynesslimit do
arquivo /etc/dansguardian/dansguardianf1.conf:
# [...]
# Naughtyness limit
# This the limit over which the page will be blocked. Each weighted phrase is given
# a value either positive or negative and the values added up. Phrases to do with
# good subjects will have negative values, and bad subjects will have positive
234
# values. See the weightedphraselist file for examples.
# As a guide:
# 50 is for young children, 100 for old children, 160 for young adults.
# naughtynesslimit = 50
naughtynesslimit = 240
# [...]
Finalmente, reiniciar o serviço dansguardian, para ter em conta as alterações
efetuadas:
server:~# /etc/init.d/dansguardian restart
15. Mudança de senha MYSQL

server:~# mysql -u root
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 34
Server version: 5.0.51a-19 (Debian)
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql> USE mysql;

Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> UPDATE user SET Password=PASSWORD('nova-password') WHERE
user='root';
Query OK, 3 rows affected (0.00 sec)
Rows matched: 3 Changed: 3 Warnings: 0
mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.00 sec)
mysql> quit;
Bye
16. Pedido de Certificação SSL
server:~/certs# openssl req -new -key server.key -out server.csr

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
235
-----
Country Name (2 letter code) [AU]:PT
State or Province Name (full name) [Some-State]:Portugal
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Home LAN
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:*.home.LAN
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
17. Certificado auto-assinado SSL
server:~/certs# openssl x509 -req -days 365 -in server.csr -signkey server.key -out
server.crt
Signature ok
subject=/C=PT/ST=Portugal/O=Home LAN/CN=*.home.LAN
Getting Private key
O processo de criação dos certificados está concluído. No final foram gerados
os seguintes ficheiros:
Arquivo Descrição
server.key A chave privada
server.key.insecu
A chave privada sem password
re
O pedido de assinatura do
server.csr
certificação
server.crt O certificado auto-assinado.
18. Configuração global do Samba /etc/samba/smb.conf
# [...]
#======================= Global Settings =======================
[global]
## Browsing/Identification ###
# Change this to the workgroup/NT-domain name your Samba server will part of
workgroup = home
236
# server string is the equivalent of the NT Description field
server string = %h server
# [...]
19. Configuração segurança do Samba /etc/samba/smb.conf
#### Networking ####

# The specific set of interfaces / networks to bind to
# This can be either the interface name or an IP address/netmask;
# interface names are normally preferred
interfaces = 127.0.0.0/8 eth0
# Only bind to the named interfaces and/or networks; you must use the
# 'interfaces' option above to use this.
# It is recommended that you enable this feature if your Samba machine is
# not protected by a firewall or is a firewall itself. However, this
# option cannot handle dynamic or non-broadcast interfaces correctly.
bind interfaces only = true
Deste modo, o serviço samba só aceitará ligações do próprio servidor (lo) ou

através da interface de rede eth0.
20. Configuração parâmetros dos compartilhamentos do Samba

/etc/samba/smb.conf
# [...]
#======================= Share Definitions =======================
[homes]
comment = Home Directories
path = /home/%S/Documents
browseable = no
# By default, the home directories are exported read-only. Change the

# next parameter to 'no' if you want to be able to write to them.
read only = no
# [...]
21. Criação de usuário no Samba /etc/samba/smb.conf
server:~# smbpasswd -a fribeiro

New SMB password:
Retype new SMB password:
22. Compartilhamento comum no Samba /etc/samba/smb.conf
237
server:~# mkdir -p /home/common/public
server:~# chgrp nogroup /home/common/public
server:~# chmod 0770 /home/common/public.
23. Compartilhamento público no Samba /etc/samba/smb.conf
# [...]
### public share ###
[public]
comment = Public Share
path = /home/common/public
public = yes
browseable = yes
writable = yes
create mask = 0770
directory mask = 0770
force group = nogroup
Validação da configuração
A sintaxe do arquivo de configuração deve ser verificada:

server:~# testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Processing section "[print$]"
Processing section "[public]"
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions
# [...]
Finalmente, reiniciar o serviço:
server:~# /etc/init.d/samba restart
24. Instalação do Servidor Ldap
root@gnad088809:~# apt-get install slapd ldap-utils db4.2-util libpam-ldap libnss-

ldap nscd libpam-foreground
238
O DebConf irá fazer algumas perguntas, responda o default mesmo, pois
serão substituídos pelos arquivos de configuração já prontos que serão feitos os
downloads.
Script de Configuração
Para facilitar a tarefa de copiar os arquivos de configuração de alguns
tutoriais e trocar as informações que são apresentadas como exemplos para as suas
específicas, foi desenvolvido um pequeno script em shell para tal.
Download do script
Baixe o arquivo ldap+samba.tgz
http://wiki.sintectus.com/pub/GrupoLinux/InstalacaoLdapSamba/ldap+samba.tgz
no diretório /tmp.
Descompactando o script
Descompacte no diretório raiz do root ( /root/ ) conforme exemplo abaixo:
root@gnad088809:~# cd
root@gnad088809:~# tar xzvf /tmp/ldap+samba.tgz
bin/
bin/ldap+samba.sh
bin/smbldap-populate-pt_BR.sh
bin/startup.bat
etc/
etc/smbldap-tools/
etc/smbldap-tools/smbldap_bind.conf
etc/smbldap-tools/smbldap.conf
etc/ldap/
etc/ldap/slapd.conf
etc/ldap/ldap.conf
etc/ldap.secret
etc/nsswitch.conf
etc/samba/
etc/samba/smb.conf
etc/samba/smbusers
239
etc/pam.d/
etc/pam.d/common-auth
etc/pam.d/common-account
etc/pam.d/common-password
etc/pam.d/common-session
etc/libnss-ldap.conf
var/
var/lib/
var/lib/ldap/
var/lib/ldap/DB_CONFIG
Executando o script
Agora é só executar o script chamado bin/ldap+samba.sh que foi
descompactado no /root/.
root@gnad088809:~# bin/ldap+samba.sh
Você está prestes a configurar de forma automática um servidor:
***** Ldap MASTER ***** e ***** Samba PDC *****
================================================================
===
1) As respostas a algumas perguntas abaixo irão gerar os arquivos de
configuração adequados.
2) Após todas as respostas você deverá confirmar as respostas.
3) Todos os arquivos de configuração existentes serão “backupeados”
de forma que nenhuma informação seja apagada.
4) Se existir uma base de dados ldap, esta também será “backupeada”.
Configurando seus dados
Neste momento o script pede por algumas informações para serem utilizadas
nos arquivos de configuração.
Responda as perguntas (valores default estão entre [ ]) :
=========================================================
1 - IP do Servidor Ldap ( Este servidor MASTER tem seguinte IP: 10.76.0.162 )
Default: [10.76.0.162] Novo Valor...: =>127.0.0.1
2 - Netbios Name ( Nome do Servidor Samba na Rede Windows )
Default: [gnad088809] Novo Valor...: =>
3 - Dominio Samba ( Domínio onde os Windows irão se autenticar/logar )
Default: [MEU-DOMINIO] Novo Valor...: =>PS
4 - Comentario Samba ( Visto pelos Windows ao Navegar pela Rede Microsoft )
Default: [Servidor Samba - gnad088809] Novo Valor...: =>
5 - IP do Servidor Wins ( Um tipo de DNS da Microsoft )
Default: [10.0.134.223] Novo Valor...: =>
240
6 - Tipo do Database Ldap ( Pode ser ldbm, bdb ou hdb )
Default: [bdb] Novo Valor...: =>
7 - Sufixo Ldap ( É a raiz do ldap )
Default: [dc=exemplo,dc=com,dc=br] Novo Valor...: =>dc=previdencia
8 - Administrador Ldap ( Geralmente é root ou Manager )
Default: [root] Novo Valor...: =>
9 - Senha do administrador Ldap ( É a senha do administrador Ldap )
Default: [senha-ldap] Novo Valor...: =>root
Confirmando seus dados
O script pede a confirmação dos dados. Caso tenha digitado errado responda
N que novamente serão solicitadas as informações acima.
Confirma as informações fornecidas?

===================================
1 - IP do Servidor Ldap = [127.0.0.1] -- ( Este servidor MASTER tem seguinte IP:
10.76.0.162 )
2 - Netbios Name = [gnad088809] -- ( Nome do Servidor Samba na Rede Windows )
3 - Dominio Samba = [PS] -- ( Domínio onde os Windows irão se autenticar/logar )
4 - Comentario Samba = [Servidor Samba - gnad088809] -- ( Visto pelos Windows
ao Navegar pela Rede Microsoft )
5 - IP do Servidor Wins = [10.0.134.223] -- ( Um tipo de DNS da Microsoft )
6 - Tipo do Database Ldap = [bdb] -- ( Pode ser ldbm, bdb ou hdb )
7 - Sufixo Ldap = [dc=previdencia] -- ( É a raiz do ldap )
8 - Administrador Ldap = [root] -- ( Geralmente é root ou Manager )
9 - Senha do administrador Ldap = [root] -- ( É a senha do administrador Ldap )
Confirma (S/N)? [N] S
Parando os serviços
Agora o script irá parar os serviços necessários.
Parando os serviços: smb slapd nscd
===================================
* Stopping Samba daemons... [ ok ]
Stopping OpenLDAP: slapd.
Stopping Name Service Cache Daemon: nscd.
Executando suas configurações

Em seguida irá copiar os arquivos configurados para seus devidos lugares. Note que o
script irá fazer uma cópia dos arquivos de configuração existentes antes anexando nos
arquivos existentes a data/hora atuais.
Arquivos configurados
=====================
241
/etc/ldap/slapd.conf
/etc/ldap/ldap.conf
/etc/ldap.secret
/etc/libnss-ldap.conf
/etc/nsswitch.conf
/etc/smbldap-tools/smbldap.conf
/etc/smbldap-tools/smbldap_bind.conf
/etc/pam.d/common-account
/etc/pam.d/common-auth
/etc/pam.d/common-password
/etc/pam.d/common-session
/etc/samba/smb.conf
etc/samba/smbusers
Iniciando o serviços
Finalmente o ldap/samba será iniciado com suas informações fornecidas.
Iniciando os servicos: slapd nscd
=================================
Starting OpenLDAP: slapd.
Starting Name Service Cache Daemon: nscd.
Iniciando o servico: samba

==========================
Setting stored password for "cn=root,dc=previdencia" in secrets.tdb
* Starting Samba daemons... [ ok ]
Povoando a base ldap

Agora o povoamento da base inicial será feito através do pacote smbldap-tools e
outro script (bin/smbldap-populate-pt_BR.sh) já incluso que irá trocar os nomes
dos usuários/grupos a serem criados no ldap para o Português Brasileiro.
Povoar a base ldap
==================
Arquivo /usr/sbin/smbldap-populate traduzido em /usr/sbin/smbldap-populate.pt_BR
Populating LDAP directory for domain PS (S-1-5-21-168405174-2206398753-
3502093608)
(using builtin directory structure)
adding new entry: dc=previdencia

adding new entry: ou=Usuários,dc=previdencia
adding new entry: ou=Grupos,dc=previdencia
adding new entry: ou=Computadores,dc=previdencia
adding new entry: ou=Idmap,dc=previdencia
adding new entry: uid=root,ou=Usuários,dc=previdencia
adding new entry: uid=nobody,ou=Usuários,dc=previdencia
adding new entry: cn=Administradores do Dominio,ou=Grupos,dc=previdencia
adding new entry: cn=Usuários do Dominio,ou=Grupos,dc=previdencia
adding new entry: cn=Convidados do Dominio,ou=Grupos,dc=previdencia
adding new entry: cn=Computadores do Dominio,ou=Grupos,dc=previdencia
242
adding new entry: cn=Administradores,ou=Grupos,dc=previdencia
adding new entry: cn=Operadores de Contas,ou=Grupos,dc=previdencia
adding new entry: cn=Operadores de Impressao,ou=Grupos,dc=previdencia
adding new entry: cn=Operadores de Backup,ou=Grupos,dc=previdencia
adding new entry: cn=Duplicadores,ou=Grupos,dc=previdencia
adding new entry: sambaDomainName=PS,dc=previdencia
Please provide a password for the domain root:

Changing UNIX and samba passwords for root
New password:
Retype new password:
Pronto! Seu LDAP+SAMBA estão configurados

=========================================
Note que a senha do usuário administrador ldap foi utilizada também como senha do
administrador samba. Para trocar a mesma por outra utilize smbldap-passwd root (ou
Manager).
Algumas dicas iniciais
Em seguida umas informações para você mesmo testar o funcionamento dos
serviços.
Verifique o funcionamento do ldap e samba

=========================================
# getent passwd (usuários - equivale a /etc/passwd)
# getent group (grupos - equivale a /etc/group)
# getent shadow (senhas - equivale a /etc/shadow)
# smbclient -L 127.0.0.1 -U% (detalhes do samba)
# pdbedit -Lv root (detalhes do administrador ldap "root")
Finalmente umas dicas simples de como criar grupos e usuários são
fornecidas.
Para adicionar grupos:

# smbldap-groupadd -a DATAPREV
# smbldap-groupadd -a INSS
Existem três tipos de usuários:
1) Linux : Somente fazem login pelo Linux
# smbldap-useradd -m -c "Nome do Usuario" login_linux
243
2) Windows : Fazem login pelo Linux ou pelo Windows
# smbldap-useradd -a -m -c "Jarbas Peixoto Junior" d323209
3) Máquinas: Ingresso de máquinas Windows no domínio
# smbldap-useradd -w user_máquina
Para colocar nome, grupo, email,etc nos usuários:
# smbldap-usermod -G DATAPREV -N "Jarbas Peixoto Junior - DATAPREV-GO"

-S "UAGO - GO - Goiania" -M "jarbas.peixoto@previdencia.gov.br" d323209
O LDAP e SAMBA estão prontos.
25. Configurando usuário d323209 LDAP
root@gnad088809:~# smbldap-groupadd -a DATAPREV

root@gnad088809:~# smbldap-useradd -a -m -c "Jarbas Peixoto Junior" d323209
root@gnad088809:~# smbldap-usermod -G DATAPREV -N "Jarbas Peixoto Junior -
DATAPREV-GO" -S "UAGO - GO - Goiania" -M "jarbas.peixoto@previdencia.gov.br"
d323209
root@gnad088809:~# smbldap-passwd d323209
Changing UNIX and samba passwords for d323209
New password: (coloque aqui a senha do usuário)
Retype new password: (repita a senha do usuário)
26. Correção do VMware
Essa correção é necessária para evitar o seguinte erro após compilar o
módulo vsock:
Unable to make a vsock module that can be loaded in the running kernel:
insmod: error inserting ‘/tmp/vmware-config5/vsock.o’: -1 Unknown symbol in module
There is probably a slight difference in the kernel configuration between the
set of C header files you specified and your running kernel. You may want to
rebuild a kernel based on that directory, or specify another directory.
244
Para evitar, crie um arquivo chamado /root/vmware-config.patch, com o conteúdo:
--- /usr/bin/vmware-config.pl.orig 2008-11-28 12:06:35.641054086 +0100

+++ /usr/bin/vmware-config.pl 2008-11-28 12:30:38.593304082 +0100
@@ -4121,6 +4121,11 @@
return 'no';
}
+ if ($name eq 'vsock') {
+ print wrap("VMWare config patch VSOCK!\n");
+ system(shell_string($gHelper{'mv'}) . ' -vi ' . shell_string($build_dir .
'/../Module.symvers') . ' ' . shell_string($build_dir . '/vsock-only/' ));
+ }
+
print wrap('Building the ' . $name . ' module.' . "\n\n", 0);
if (system(shell_string($gHelper{'make'}) . ' -C '
. shell_string($build_dir . '/' . $name . '-only')
@@ -4143,6 +4148,10 @@
if (try_module($name, $build_dir . '/' . $name . '.o', 0, 1)) {
print wrap('The ' . $name . ' module loads perfectly into the running kernel.'
. "\n\n", 0);
+ if ($name eq 'vmci') {
+ print wrap("VMWare config patch VMCI!\n");
+ system(shell_string($gHelper{'cp'}) . ' -vi ' .
shell_string($build_dir.'/vmci-only/Module.symvers') . ' ' . shell_string($build_dir .
'/../'));
+ }
remove_tmp_dir($build_dir);
return 'yes';
}
Depois executar o comando:
patch /usr/bin/vmware-config.pl /root/vmware-config.patch

O vmware-config.pl está corrigido.
27. Repositório Mailscanner
245
vim /etc/apt/sources.list
deb http://www.backports.org/Debian lenny-backports main contrib non-free
wget -O – http://backports.org/Debian/archive.key | apt-key add -
Para instalar os pacotes necessários:
aptitude update && aptitude install postfix mailscanner spamassassin pyzor razor -y
Pare o serviço do postfix até finalizar as configurações necessárias
/etc/init.d/postfix stop
Para fazer um backup do arquivo /etc/postfix/main.cf
cp /etc/postfix/main.cf /etc/postfix/main.cf.ORIG
Para editar o arquivo /etc/postfix/main.cf adicionando a linha abaixo:
header_checks = regexp:/etc/postfix/header_checks
Para criar o arquivo /etc/postfix/header_checks:
vim /etc/postfix/header_checks
Adicionar a seguinte linha:
/^Received:/ HOLD
Atualize o freshclam e o pyzor
freshclam && pyzor discovery
Crie o diretório /var/spool/MailScanner/spamassassin mudando o dono e o
grupo deste diretório criado.
mkdir /var/spool/MailScanner/spamassassin && chown postfix:postfix

/var/spool/MailScanner/spamassassin
Para fazer o backup do arquivo /etc/Mailscanner/Mailscanner.conf
cp /etc/Mailscanner/Mailscanner.conf /etc/Mailscanner/Mailscanner.conf.ORIG
Para configurar o Mailscanner:
vim /etc/Mailscanner/Mailscanner.conf
246
%org-name% = Matrix
%org-long-name% = Matrix Corp
%Web-site% = www.matrix.local
Run As User = postfix
Run As Group = postfix
Incoming Queue Dir = /var/spool/postfix/hold
Outgoing Queue Dir = /var/spool/postfix/incoming
MTA = postfix
Virus Scanners = clamav
Spam Subject Text = [Spam]
Rebuild Bayes Every = 86400
Wait During Bayes Rebuild = yes
SpamAssassin User State Dir = /var/spool/MailScanner/spamassassin
Editar o arquivo /etc/MailScanner/spam.assassin.prefs.conf:
vim /etc/MailScanner/spam.assassin.prefs.conf
Editar a seguinte linha de:
bayes_path /var/lib/MailScanner/bayes
para:
bayes_path /var/lib/MailScanner/spamassassin/bayes
Para habilitar o Mailscanner retire o comentário (#) da linha

run_mailscanner=1 no arquivo /etc/default/mailscanner.
Em alguns casos será necessário criar mais dois arquivos para os dados
temporários, e depois no /etc/Mailscanner/Mailscanner.conf insira os caminhos dos
arquivos criado.
Criando os arquivos:
Mkdir /var/spool/MailScanner/incoming/SpamAssassin-Temp
Mkdir /var/spool/MailScanner/incoming/Locks
Inserindo dentro do /etc/Mailscanner/Mailscanner.conf
SpamAssassin Temporary Dir = /var/spool/MailScanner/incoming/SpamAssassin-

Temp
Lockfile Dir = /var/spool/MailScanner/incoming/Locks
Para iniciar os serviços do mailscanner e do postfix:
/etc/init.d/mailscanner start && /etc/init.d/postfix start
247
Verificar o arquivo /var/log/mail.log para confirmar que está tudo correto.
tail -f /var/log/mail.log.
28. Configuração de IP do Firestater
# A list of addresses that are allowed to connect. This must be a

# regular expression, due to brain damage in Net::Server, which
# doesn't understand CIDR-style network notation. You may repeat
# the allow line as many times as you'd like
allow ^127\.0\.0\.1$
O serviço cliente deverá então ser reiniciado:
server:~# /etc/init.d/munin-node restart
Instalação Servidor
Do lado do servidor é necessária a instalação do pacote munin:
server:~# aptitude install munin
Configuração
Deverão ser acrescentados à configuração os endereços dos clientes a
contatar, o que é feito no ficheiro /etc/munin/munin.conf:
# [...]
# a simple host tree

[server.home.LAN]
address 127.0.0.1
use_node_name yes
# [...]
“Caso existam mais clientes, basta adicionar os respectivos nomes e
endereços em blocos semelhantes ao
listado.”(http://servidorlenny.wikidot.com/monitoring-server-munin0).
248
29. Confirgurando restrição ao munin /etc/apache2/sites-available/munin
Alias /munin /var/www/munin

<Location /munin>
Order allow,deny
Allow from all
AuthType Digest
AuthName "munin"
AuthUserFile /etc/apache2/munin.passwd
Require valid-user
</Location>
O módulo de autenticação auth_digest deve estar ativo:
server:~# a2enmod auth_digest
E o novo site deverá ser ativado:
server:~# a2ensite munin

Enabling site munin.
Run '/etc/init.d/apache2 reload' to activate new configuration!
Em segundo lugar, deverá ser criado o arquivo de autorizações para o
recurso munin, com os utilizadores e respectivas senhas:
server:~# htdigest -c /etc/apache2/munin.passwd munin fribeiro

Adding password for fribeiro in realm munin.
New password:
Re-type new password:
A opção -c cria o arquivo de novo. Para acrescentar outro usuário, esta
opção deve ser omitida.
E reiniciar o servidor apache2:
server:~# /etc/init.d/apache2 restart
30. Configurando Fail2Ban /etc/fail2ban/jail.local
# [...]
[DEFAULT]
249
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1 192.168.1.0/24
bantime = 1800
maxretry = 3
# [...]
Também é definido o endereço de email para o qual serão enviados os
alertas:
# [...]
#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost
# [...]
Em seguida, é configurada a ação a realizar quando é detectado um possível
ataque. Neste caso, o endereço IP do atacante é banido e um email é enviado ao
administrador do sistema.
# [...]
# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in
jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_mwl)s
# [...]
Por último, são definidos os parâmetros do serviço que se pretende proteger,
mais uma vez editando o arquivo /etc/fail2ban/jail.local:
# [...]
[ssh]
enabled = true
port = ssh
250
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
# [...]
Finalmente, reiniciar o serviço fail2ban:
server:~# /etc/init.d/fail2ban restart
Verificação
A cada reinício do serviço fail2ban um email de notificação será enviado ao
administrador do sistema:
Subject: [Fail2Ban] ssh: started

From: Fail2Ban <fail2ban@home.LAN>
To: root@localhost
Date: Tue, 13 Jan 2009 22:14:28 +0000 (WET)
Hi,
The jail ssh has been started successfully.
Regards,
Fail2Ban
E a cada ataque que ative uma ação defensiva, o administrador será também
notificado:
Subject: [Fail2Ban] ssh: banned 219.143.232.144

From: Fail2Ban <fail2ban@home.LAN>
To: root@localhost
Date: Tue, 13 Jan 2009 22:25:06 +0000 (WET)
Hi,
The IP 219.143.232.144 has just been banned by Fail2Ban after

3 attempts against ssh.
Here are more information about 219.143.232.144:
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 219.143.232.0 - 219.143.233.127
251
netname: Sinotrans-Air-Transport-Development-Co-Ltd
country: CN
descr: 16F Building A Jinyun Plaza,NO.43 Xizhimen South Street,Xicheng
District, Beijing,P.R.China
admin-c: HC55-AP
tech-c: HC55-AP
status: ASSIGNED NON-PORTABLE
changed: bjnic@bjtelecom.net 20071010
mnt-by: MAINT-CHINANET-BJ
source: APNIC
person: Hostmaster of Beijing Telecom corporation CHINA TELECOM

nic-hdl: HC55-AP
email: bjnic@bjtelecom.net
address: Beijing Telecom
address: No. 107 XiDan Beidajie, Xicheng District Beijing
phone: +86-010-58503461
fax-no: +86-010-58503054
country: cn
changed: bjnic@bjtelecom.net 20040115
mnt-by: MAINT-CHINATELECOM-BJ
source: APNIC
Lines containing IP:219.143.232.144 in /var/log/auth.log
Dec 21 23:40:54 server sshd[4311]: Did not receive identification string from
219.143.232.144
Dec 21 23:44:19 server sshd[4318]: Invalid user globus from 219.143.232.144
Dec 21 23:44:19 server sshd[4318]: (pam_unix) authentication failure; logname=
uid=0 euid=0 tty=ssh ruser= rhost=219.143.232.144
Dec 21 23:44:21 server sshd[4318]: Failed password for invalid user globus from
219.143.232.144 port 43536 ssh2
Dec 21 23:44:22 server sshd[4320]: Invalid user marine from 219.143.232.144
Dec 21 23:44:22 server sshd[4320]: (pam_unix) authentication failure; logname=
uid=0 euid=0 tty=ssh ruser= rhost=219.143.232.144
Regards.
31. Configuração do pacote rkhunter /etc/default/rkhunter
server:~# rkhunter --propupd

[ Rootkit Hunter version 1.3.2 ]
File updated: searched for 154 files, found 123
Utilização
O rkhunter pode ser executado na linha de comandos:
server:~# rkhunter --check
252
Checking system commands...
Performing 'strings' command checks

Checking 'strings' command [ OK ]
Performing 'shared libraries' checks

Checking for preloading variables [ None found ]
Checking for preload file [ Not found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
Performing file properties checks

Checking for prerequisites [ OK ]
/bin/bash [ OK ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
# [...]
Checking application versions...
Checking version of GnuPG [ OK ]

Checking version of Bind DNS [ OK ]
Checking version of OpenSSL [ OK ]
Checking version of PHP [ OK ]
Checking version of Procmail MTA [ OK ]
Checking version of ProFTPd [ OK ]
Checking version of OpenSSH [ OK ]
System checks summary

=====================
File properties checks...

Files checked: 123
Suspect files: 0
Rootkit checks...
Rootkits checked : 108
Possible rootkits: 0
Applications checks...
Applications checked: 7
Suspect applications: 0
253
The system checks took: 2 minutes and 4 seconds
All results have been written to the logfile (/var/log/rkhunter.log)
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Atualização da base de dados
A base de dados do rkhunter é atualizada semanal e automaticamente. No
entanto, é possível proceder à sua atualização sempre que se quiser:
server:~# rkhunter --update

Checking rkhunter data files...

Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ No update ]
Checking file i18n/en [ No update ]
Checking file i18n/zh [ No update ]
Checking file i18n/zh.utf8 [ No update ]
254

TCC Final

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

TCC Final

Enviado por

Direitos autorais:

Formatos disponíveis

Capítulo I – Fundamentação Teórica

Serão mostrados os conceitos técnicos para o embasamento do trabalho,

abrangendo suas definições e seus respectivos autores.

1.1 História das Redes de Computadores

O aparecimento das redes de computadores está ligado diretamente com os

avanços das telecomunicações, e iniciaram-se de fato em 1844, por Samuel Morse,

transmitindo a primeira mensagem em uma linha entre Washington e Baltimore, era

Dentre os vários acontecimentos destacam-se as instalações de redes telefônicas,

invenção do rádio e posteriormente a televisão, o surgimento da indústria dos

computadores e o lançamentos de satélites de comunicação.

Segundo Tanenbaum (“Redes de Computadores”, 1997), em meados da

informações não ficariam retidas em um único lugar, as redes de telefonia eram

vulneráveis, já que se houve perda da linha ou comutação locais, estes ficariam

ARPA (Advanced Research Projects Agency): Pesquisa e desenvolvimento

Sputnik pela ex-União Soviética.

A ARPANET base da Internet como é conhecida hoje. As experiências

realizadas demonstraram que os protocolos da ARPANET não podiam ser

executados através de várias redes, levando assim a muitas pesquisas, chegando à

invenção dos protocolos TCP/IP e do modelo TCP/IP, com o objetivo de gerenciar a

na Internet, o número de usuários praticamente dobrava a cada ano.

Segundo Carlos E. Morimoto as redes passaram por um longo processo de

evolução antes de chegarem aos padrões utilizados atualmente. As primeiras redes

transferir informações de um computador a outro. Na época, o meio mais usado para

armazenamento externo de dados e transporte ainda eram os cartões perfurados,

por exemplo, permitia armazenar 80 caracteres por cartão).

Os cartões são uma das formas mais lentas, demorada e trabalhosas de

transportar quantidades de informações muito grandes. São cartões de cartolina

Figura 01. Cartão perfurados representando os bits 1 e 0 armazenados. Fonte:

conhecida e utilizada ainda hoje.

A redes começou a ser utilizada em dezembro de 1969, com apenas 4 nós,

Stanford Research Institute, na Universidade da Califórnia, na Universidade de

interligados através de links de 50 kbps, criados usando linhas telefônicas

dedicadas, adaptadas para uso como link de dados.

impressionante, principalmente se considerar que na década de 1970 os modems

minuto apenas 825 caracteres de texto.

As redes inicial foi criada para teste, com o desafio de interligar 4

computadores de diferentes arquiteturas, mas rapidamente essa rede cresceu e três

anos depois já interligava 30 instituições, que incluía universidades, instituições

que a rede pudesse continuar funcionando mesmo com a interrupção de várias

dessas conexões, para garantir a operação da rede.

As mensagens eram roteadas entre nós e as interrupções nos links eram

detectadas rapidamente, de forma que a rede era bastante confiável. Enquanto

existisse um caminho possível, os pacotes eram roteados até chegarem ao seu

Fonte: http://www.guiadohardware.net/tutoriais/historia-redes/ em 22/03/2010.

No ano de 1974 surge o TCP/IP, que se tornou o protocolo definitivo para o

uso na ARPANET e tempo depois na Internet. Uma rede interligando diversas

universidades permitiu o livre tráfego de informações, desenvolvendo os recursos

os usuários conectados troquem informações, acessar outros computadores

remotamente e compartilhar arquivos. Nessa época, mainframes com poder de

processamento eram raros e muito caros, de forma que acabavam sendo

compartilhados entre diversos pesquisadores e técnicos, que podiam estar situados

em qualquer ponto da rede.

Um dos computadores mais poderosos da época, acessado quase que

décadas depois, Cry-1 mostrado na figura 03:

Figura 03. Cray-1. Fonte: http://www.guiadohardware.net/tutoriais/historia-redes/ em 22/03/2010.

Com o crescimento das redes, manter e distribuir listas de todos os hosts

usados nomes de domínio, dando origem ao “Domain Name System”, ou apenas

A segunda parte da história começa em 1973 dentro do PARC (o laboratório

transmissão de dados usando o padrão Ethernet.

gráfica e o mouse, foram originalmente desenvolvidas. O teste deu origem ao

coaxiais e permitia a conexão de até 256 estações de trabalho esquema Ethernet

mostrado na figura 04.

Figura 04. Padrão Ethernet. Fonte: http://www.guiadohardware.net/tutoriais/historia-redes/ em