Apostila

Linux Servers Revolutions
www.linuxforce.com.br
Contedo
1 Cenrio e Propostas de Soluo
1.0.1
Cenrio normalmente encontrado nas empresas . . . . . . . . .
1.0.2 Cenrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 Implementando Hardening e PAM em seu Servidor GNU/Linux
2.0.3 Cenrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.0.4 Proposta de soluo . . . . . . . . . . . . . . . . . . . . . . . . .
2.0.5 Introduo terica Ajustes iniciais . . . . . . . . . . . . . . . .
2.0.6 Laboratrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.0.7 Configurando a resoluo de nomes . . . . . . . . . . . . . . . .
2.0.8 Configurao do Hostname . . . . . . . . . . . . . . . . . . . . .
2.0.9 Configurando o repositrio de rede . . . . . . . . . . . . . . . . .
2.0.10 Introduo terica - Hardening . . . . . . . . . . . . . . . . . . . 11

2.0.11 Laboratrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.0.12 Configurando o SUDO . . . . . . . . . . . . . . . . . . . . . . . . 11
2.0.13 Introduo terica - PAM . . . . . . . . . . . . . . . . . . . . . . 18
2.0.14 Mdulos do PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.0.15 Controles do PAM . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3 Servidor DHCP
31
3.0.16 Cenrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.0.17 Proposta de soluo . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.0.18 Introduo terica . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.0.19 Laboratrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.0.20 Fixar IP via DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Linux Force
Contedo
4 Servidor NFS
42
4.1 Cenrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.2 Proposta de soluo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.3 Introduo terica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.4 Conhecendo o NAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.5 NAS versus SAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.6 E o DAS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.7 Laboratrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
4.7.1 Configurando o Servidor . . . . . . . . . . . . . . . . . . . . . . . 48
4.7.2 Configurando o Cliente . . . . . . . . . . . . . . . . . . . . . . . 52
5 Implementando RAID + LVM
56
5.0.3 Introduo Terica - RAID . . . . . . . . . . . . . . . . . . . . . . 56

5.0.4 Introduo Terica LVM . . . . . . . . . . . . . . . . . . . . . . 65
5.0.5 Laboratrio RAID
. . . . . . . . . . . . . . . . . . . . . . . . . 67
6 Servidor Samba
84
6.0.6 Cenrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
6.0.8 Introduo terica . . . . . . . . . . . . . . . . . . . . . . . . . . 85
6.0.9 subsection name . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
7 Servidor DNS
107

7.0.11 Introduo terica . . . . . . . . . . . . . . . . . . . . . . . . . . 108
7.0.12 Resoluo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
7.0.13 O
arquivo
"/etc/hosts
113
7.0.14 Ferramentas de consulta . . . . . . . . . . . . . . . . . . . . . . 115

7.0.15 Prtica dirigida . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
7.0.16 Introduo ao BIND + Laboratrio . . . . . . . . . . . . . . . . . 119
7.0.17 BIND como servidor cache . . . . . . . . . . . . . . . . . . . . . 122
7.0.18 Restringindo consultas
. . . . . . . . . . . . . . . . . . . . . . . 124
7.0.19 Configurao do DNS primrio . . . . . . . . . . . . . . . . . . . 129

7.0.20 Configurando o DNS reverso . . . . . . . . . . . . . . . . . . . . 136
7.0.21 Configurando o DNS secundrio . . . . . . . . . . . . . . . . . . 138
Pgina ii
Linux Force
Contedo
7.0.22 Configurando o DNS Secundrio . . . . . . . . . . . . . . . . . . 141

7.0.23 Desativar recurso externa . . . . . . . . . . . . . . . . . . . . . 142
7.0.24 SPF - Sender Policy Framework . . . . . . . . . . . . . . . . . . 143
8 Servidor Apache
146

8.0.26 Introduo terica . . . . . . . . . . . . . . . . . . . . . . . . . . 147
8.0.27 MPM PreFork e MPM Worker
. . . . . . . . . . . . . . . . . . . 147
8.0.28 Laboratrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

8.0.29 Conhecendo a estrutura do Apache . . . . . . . . . . . . . . . . 150
8.0.30 Suporte a PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
8.0.31 Arrumando os diretrios . . . . . . . . . . . . . . . . . . . . . . . 155
8.0.32 Configurando o php.ini . . . . . . . . . . . . . . . . . . . . . . . 159
8.0.33 VirtualHost? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
8.0.34 Criando Virtualhost para nossos domnios . . . . . . . . . . . . . 159
8.0.35 Fechando brechas de segurana . . . . . . . . . . . . . . . . . . 161
8.0.36 Configurando o Moodle . . . . . . . . . . . . . . . . . . . . . . . 163
8.0.37 Disponibilizando o site da Dexter Courier . . . . . . . . . . . . . 176
8.0.38 Ativando o SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
9 Servidor FTP
184
9.0.39 Cenrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

9.0.41 Introduo terica . . . . . . . . . . . . . . . . . . . . . . . . . . 184
9.0.42 Laboratrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
9.0.43 Comandos em modo texto do FTP . . . . . . . . . . . . . . . . . 192
9.0.44 Cliente grfico para FTP . . . . . . . . . . . . . . . . . . . . . . . 193
10 Servidor Postfix
195
10.0.45Cenrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
10.0.46Proposta de soluo . . . . . . . . . . . . . . . . . . . . . . . . . 195
10.0.47Introduo terica . . . . . . . . . . . . . . . . . . . . . . . . . . 196
10.0.48Introduo ao Postfix
. . . . . . . . . . . . . . . . . . . . . . . . 196
10.0.49Caractersticas do Postfix . . . . . . . . . . . . . . . . . . . . . . 197

10.0.50Laboratrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Pgina iii
Linux Force
Contedo
11 Servidor OpenLDAP
229
11.0.51Cenrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
11.0.53Introduo terica . . . . . . . . . . . . . . . . . . . . . . . . . . 229
11.0.54Backup da base de dados
12 Servidor Proxy com Squid
. . . . . . . . . . . . . . . . . . . . . 242
245
12.0.55Cenrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
12.0.57Introduo Terica . . . . . . . . . . . . . . . . . . . . . . . . . . 245
12.0.58Proxy Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
12.0.59Proxy Transparente . . . . . . . . . . . . . . . . . . . . . . . . . 247
12.0.60ACL - Access Control Lists . . . . . . . . . . . . . . . . . . . . . 248
12.0.61Definindo ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
12.0.62Tipos de ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
12.0.63Regras das ACLs
. . . . . . . . . . . . . . . . . . . . . . . . . . 252
12.0.64Laboratrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
12.0.65Criando a estrutura do Squid . . . . . . . . . . . . . . . . . . . . 256
12.0.66Filtrando acessos com Squid . . . . . . . . . . . . . . . . . . . . 256
12.0.67Blacklist e Whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . 261
12.0.68Autenticao NCSA . . . . . . . . . . . . . . . . . . . . . . . . . 262
12.0.69Auditoria de acesso com SARG . . . . . . . . . . . . . . . . . . 265
12.0.70Autenticao via OpenLDAP . . . . . . . . . . . . . . . . . . . . 268
13 Firewall
270
13.0.71Cenrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
13.0.73Introduo terica . . . . . . . . . . . . . . . . . . . . . . . . . . 270
13.0.74Revisando os conceitos de Rede . . . . . . . . . . . . . . . . . . 271
13.0.75TTL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
13.0.76Tabelas do Iptables
13.0.77O que uma chain?
. . . . . . . . . . . . . . . . . . . . . . . . . 276
. . . . . . . . . . . . . . . . . . . . . . . . 276
13.0.78Compreendendo as polticas bsicas e o conceito das excees 277

13.0.79Laboratrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
13.0.80Script de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Pgina iv
Linux Force
Contedo
14 Servidor OpenVPN
286
14.0.81Cenrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
14.0.83Introduo Terica . . . . . . . . . . . . . . . . . . . . . . . . . . 286
14.0.84Protocolos de tunelamento . . . . . . . . . . . . . . . . . . . . . 288
14.0.85Arquitetura de VPNs
. . . . . . . . . . . . . . . . . . . . . . . . 289
14.0.86Laboratrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
14.0.87Configurando o servidor . . . . . . . . . . . . . . . . . . . . . . . 291
14.0.88Configurando o cliente . . . . . . . . . . . . . . . . . . . . . . . . 292
14.0.89Certificados vpn . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
14.0.90TLS-Auth HMAC . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
14.0.91Gerando certificado CA e chave RSA . . . . . . . . . . . . . . . 297
14.0.92Gerando parmetros Diffie-Hellman . . . . . . . . . . . . . . . . 299
14.0.93Configurando o servidor OpenVPN
15 Referncias Bibliogrficas
. . . . . . . . . . . . . . . . 299
303
Pgina v
Captulo 1
Cenrio e Propostas de Soluo
1.0.1 Cenrio normalmente encontrado nas empresas
Todos sabemos que a rea de TI (Tecnologia da Informao) de algumas empresas
seu calcanhar de Aquiles, pois a forma que os servidores foram implementados
acabam prejudicando a produtividade diria e pondo em risco aos dados da empresa. Sabemos tambm que o uso de software proprietrio sem licenciamento
uma realidade em nosso pas, tornando a ilegalidade algo comum e corriqueiro.
Mas o que muitos no sabem (ou no aceitam!) que podemos implementar o
mesmo ambiente usando software livre, sem custo de propriedade ou licenciamento,
alm de ser muito superior em estabilidade, desempenho e produtividade! Estamos
falando de usar GNU/Linux como Sistema Operacional e suas diversas ferramentas
servidoras, como web, e-mail, banco de dados, storage, autenticao de usurios,
redundncia, entre outros.
1.0.2 Cenrio
O ambiente comumente utilizado nas pequenas e mdias empresas composto por
software proprietrio, onde se tem firewall/proxy, servidor de arquivos, e-mail, intranet
Linux Force
e banco de dados. Podemos observar isto na prxima figura.
Partindo deste cenrio, iremos migrar a maioria das tecnologias para a plataforma
livre, conforme exemplificado na prxima figura.
Pgina 2
Linux Force
Alm das tecnologias exibidas na figura acima, podemos ainda implementar redundncia de discos com RAID, gerenciamento de unidades com o LVM, segurana de
acesso ao servidor com o uso do PAM, integrao da rede Linux com algumas mquinas Windows por meio do Samba, alm de outros servios como FTP, DHCP, DNS
e VPN.
A cada dia de Curso iremos ensinar tais servios, mostrando como seria o dia a dia
de uma empresa e conseguiremos verificar como a produtividade, desempenho e
confiabilidade se tornaro algo comum na vida do administrador! Na prxima pgina
voc tem um espao para realizar suas anotaes, como os Ips das mquinas!
Coloque os endereos Ips que ir utilizar durante o curso
eth0 => IP 177.23.24. ___
eth1 = > IP 192.168. ___ .1
2
3
IP 192.168. ___ .2
IP 192.168. ___ .4
Pgina 3
Linux Force
IP 192.168. ___ .3
IP 192.168. ___ .2
IP 192.168. ___ .4
IP 192.168. ___ .3
6
7
Pgina 4
Captulo 2
Implementando Hardening e PAM em
seu Servidor GNU/Linux
2.0.3 Cenrio
A empresa DEXTER COURIER precisa que seu servidor seja configurado com as
devidas polticas de segurana, permitindo acesso local e remoto somente equipe
de TI em horrios previamente definidos. Alm disto, necessrio ter todos os registros de login/logout, bem como as atividades realizadas nos servidores.
2.0.4 Proposta de soluo
A fim de atender s necessidades da empresa DEXTER COURIER , iremos aplicar

os processos de HARDENING no servidor. Alm de verificar as possveis ameaas
de segurana e corrigi-las, faremos uso do PAM, que um mecanismo de autenticao a diversas aplicaes, tornando o servidor bem mais seguro com esta camada
de proteo.
Linux Force
Implementando Hardening e PAM em seu Servidor GNU/Linux
2.0.5 Introduo terica Ajustes iniciais
Sempre que finalizamos a instalao de um servidor, temos que efetuar alguns ajustes iniciais para que os servios disponibilizados por ele seja acessvel por todos os
usurios da rede que possuam permisso. Com isso temos todo o trabalho de fechar
possvel brechas de segurana, como portas abertas, banner do aplicativo ou mesmo
algum bug na aplicao. Vamos efetuar os primeiros passos, como configurar um IP
fixo, resoluo de Nomes-IPs, Hostname, arquivo Hosts e o(s) repositrio(s).
2.0.6 Laboratrio
Como todo servidor deve ter um IP fixo na rede, vamos efetuar esta configurao no
arquivo /etc/network/interfaces. Para isto, execute num terminal como root e
adicione o que est em negrito:
root@debian :~ # vi / etc / network / interfaces
# Interface Loopback
auto lo
iface lo inet loopback
4
5
auto eth0
iface eth0 inet static
address
192.168. X .2
netmask
255.255.255.0
network
192.168. X .0
10
broadcast 192.168. X .255
11
gateway
192.168. X .1
Pgina 6
Linux Force
Na distro RedHat: # vim /etc/sysconfig/network/ifcfg-eth0
2.0.7 Configurando a resoluo de nomes

Edite o arquivo /etc/resolv.conf para colocarmos o endereo do servidor DNS que
ir resolver Nome-IP:
1
2
root@debian :~ # vi
nameserver
/ etc / resolv . conf
8.8.8.8
2.0.8 Configurao do Hostname

Em um servidor, a configurao correta do hostname e do arquivo hosts essencial para eliminar problemas em servios de rede. Abra o arquivo /etc/hostname e
adicione o nome da mquina:
root@debian :~ #
vi
/ etc / hostname datacenter
Depois vamos parar e iniciar o servio do hostname:
root@debian :~ #
/ etc / init . d / hostname . sh
Faa o logout e efetue o login. Cair no prompt j alterado!
root@datacenter :~ #
Pgina 7
Linux Force
Edite o arquivo de /etc/hosts e adicione a linha em negrito:
root@datacenter :~ # vi / etc / hosts
127.0.0.1
192.168. X .2
localhost
datacenter . dexter . com . br
datacenter
2.0.9 Configurando o repositrio de rede

Para instalar programas no Debian GNU/Linux, necessrio que o repositrio de
rede esteja corretamente configurado. Abra o arquivo responsvel pela configurao
do repositrio:
1
2
root@datacenter :~ # vi / etc / apt / sources . list

deb http :// ftp . debian . org / debian
squeeze
main
contrib
non - free
Depois de configurado, faa o update do banco de dados do aptitude:
root@datacenter :~ # aptitude update
Vamos agora efetuar a atualizao do servidor com o comando:
root@datacenter :~ # aptitude upgrade
Ok! Com o servidor atualizado, vamos agora instalar os programas necessrios para
o andamento do curso:
root@datacenter :~ # aptitude install build - essential

module - assistant less vim splitvt linux - headers - $ ( uname -r ) -y
Pgina 8
Linux Force
Agora vamos configurar o editor de textos VIM, habilitando linhas numeradas, destaque de busca no texto, ignorar o case e deixar o texto colorido, facilitando a leitura da
configurao. Insira no final do arquivo:
root@datacenter :~ # vim / etc / vim / vimrc
syntax on
set number
set hlsearch
set incsearch
set ic
Visto que o VIM no o editor padro do sistema, vamos configur-lo:
1
2
root@datacenter :~ # update - alternatives -- config editor

Existem 3 escolhas para a alternativa editor ( disponibiliza
/ usr / bin / editor ) .
3
4
Selec o
Caminho
Prioridade Estado
--------- ----- ------ ----- ------ ------ ----- ------ ----- ------ -
/ bin / nano
40
modo autom tico
/ bin / nano
40
modo manual
* 2
/ usr / bin / vim . basic
30
modo manual
/ usr / bin / vim . tiny
10
modo manual
9
10
Pressione enter para manter a escolha actual [*] , ou digite o n mero

da selec o : 2
Vamos ajustar algumas variveis do sistema e alguns alias dentro do arquivo

/etc/profile. Abra o arquivo e insira no final:
root@datacenter :~ # vim / etc / profile
HISTSIZE =5000
export HISTSIZE
# TMOUT =120
# vari vel que efetua " logout " ap s 120 segundos
Pgina 9
Linux Force
# export TMOUT
alias ls = ls -- color = auto
alias grep = grep -i -- color
Caso deseje adicionar mais variveis ou alias, fique vontade! Concluda esta etapa,
vamos reler o arquivo para que as alteraes sejam validadas:
root@datacenter :~ # source / etc / profile
A fim de ajudar na instalao de programas via aptitude ou apt-get, podemos usar a

funo de autocompletar (usando o TAB) na busca por programas nos repositrios.
Primeiro instale o aplicativo e depois abra o arquivo /etc/bash.bashrc e descomente
apenas as linhas 32, 33 e 34:
root@datacenter :~ # aptitude install bash - completion
root@datacenter :~ # vim / etc / bash . bashrc
32 if [ -f / etc / bash_completion ] && ! shopt - oq posix ; then
33
34 fi
. / etc / bash_completion
Agora vamos reler o arquivo para validar as alteraes:
root@datacenter :~ # source / etc / bash . bashrc
Teste agora a busca digitando os primeiros caracteres do programa aps inserir o

aptitude install e tentando completar com o TAB.
Pgina 10
Linux Force
2.0.10 Introduo terica - Hardening

Hardening um processo de mapeamento das ameaas, mitigao dos riscos e
execuo das atividades corretivas - com foco na infraestrutura e objetivo principal
de torn-la preparada para enfrentar tentativas de ataque. Normalmente, o processo
inclui remover e/ou desabilitar nomes ou logins de usurios que no estejam mais
em uso, alm de servios desnecessrios.
Podemos incluir nessa lista de procedimentos limitar o software instalado quele que
se destina a funo desejada do sistema; aplicar e manter os patches de segurana
tanto no sistema operacional como na aplicao; revisar e modificar as permisses
dos sistemas de arquivos, em especial no que diz respeito a escrita e execuo;
reforar a segurana do login, impondo uma poltica de senhas fortes.
Procedimentos de Ps Instalao (Hardening) sero discutidos no treinamento

de Segurana ISO27002.
2.0.11 Laboratrio
2.0.12 Configurando o SUDO

O comando sudo permite a usurios comuns obter privilgios de outro usurio, em
geral o super usurio, para executar tarefas especficas dentro do sistema de maneira
segura e controlvel pelo administrador. O nome uma forma abreviada de se referir
a substitute user do (fazer substituindo usurio) ou super user do (fazer como super
usurio).
Observaes importantes :
A senha armazenada por 15 minutos. Depois disso, voc ter de digitar a
Pgina 11
Linux Force
senha novamente.
Sua senha no ser mostrada na tela enquanto voc a digita no terminal, apenas ser mostrada com asteriscos quando voc digit-la pela interface grfica.
Para executar usando sudo um programa que normalmente executado como
de usurio, como o gedit, aperte ALT + F2 e digite gksudo gedit, para o Gnome.
Para usurios do KDE, use kdesu no lugar de gksudo.
Vamos instalar o sudo com o comando:
root@datacenter :~ # aptitude install sudo
O arquivo de configurao do sudo o /etc/sudoers. Abra-o usando:
root@datacenter :~ # visudo
Insira o usurio infra na linha 18, conforme em negrito:
16 # User privilege specification
17 root
ALL =( ALL ) ALL
18 infra
ALL =( ALL ) ALL
Com esta configurao demos total poder para o usurio infra, visto que iremos
bloquear o acesso de root posteriormente. Para melhorar a segurana do sistema
com o uso do sudo, em caso de esquecer o terminal aberto como usurio infra,
podemos configurar o sudo para sempre pedir a senha ao se digitar um comando.
Para isto, adicione no final do arquivo:
26 Defaults : infra timestamp_timeout =0
Pgina 12
Linux Force
Configurando o SSH
Servio amplamente utilizado pelos administradores de servidores GNU/Linux, o ssh

(Secure Shell) tambm visado pelos atacantes que tentam acessar o sistema via
usurio root (administrador), pois sabido que todo GNU/Linux possui! Sendo assim,
vamos efetuar duas modificaes importantes no sistema: negar o acesso de root e
mudar a porta padro!
Primeiramente vamos instalar o servidor ssh:
root@datacenter :/ tmp # aptitude install ssh
Como todos sabem, o usurio root sempre acessa o sistema. Veja:
root@datacenter :~ # ssh localhost
2
3
root@localhost s password :
Agora, abra o arquivo /etc/ssh/sshd_config e altere as linhas 5, 25 e 26 conforme

em negrito:
4 # What ports , IPs and protocols we listen for
2
3
5 Port 51000
...
25 LoginGraceTime 15
26 PermitRootLogin no
Respectivamente alteramos a porta padro 22 para a 51000, mudamos o tempo

mximo para digitar a senha para apenas 15 segundos e negamos o login com o
usurio root! Para as novas regras entrarem em vigor, reinicie o servio do ssh.
Pgina 13
Linux Force
root@datacenter :~ # service ssh restart
Vamos aos testes?
root@datacenter :~ # ssh root@localhost
ssh : connect to host localhost port 22: Connection refused
root@datacenter :~ # ssh root@localhost - p51000
root@localhost s password :
Permission denied , please try again .
Melhorando nossas senhas
Sabemos que no fcil criar uma senha, ainda mais sendo ela para um servidor!
Para ajudar nessa rdua tarefa, podemos instalar um programa chamado pwgen,
que gera combinaes de caracteres, formando assim senhas aleatrias!
root@datacenter :~ # aptitude install pwgen
Apenas como exemplo, vamos gerar 4 combinaes de senhas com 15 caracteres,

tendo letras maisculas, minsculas, nmeros e caracteres especiais. Detalhe: com
a opo s, a senha ser muito difcil de memorizar!
root@datacenter :~ # pwgen -1 sync 15 4
!0E >,T]We xSFDp
" DuI7 " /\ whdtan *
M=B > jQ ;& # ; M3 ; _ )
W vaJ2qAL_@ ) ] Hr
Pgina 14
Linux Force
Verificando portas e encerrando programas desnecessrios
Devemos realizar uma verificao peridica em nosso sistema a procura de portas

abertas e programas desnecessrios. Para isto vamos usar o famoso NMAP, um
scanner de portas altamente poderoso. Para sua instalao, execute:
root@datacenter :~ # aptitude install nmap
Vamos demonstrar o procedimento de remoo de um servio desnecessrio, como

EXEMPLO. Rode o seguinte comando do nmap:
root@datacenter :~ # nmap - sV localhost
Starting Nmap 5.00 ( http :// nmap . org ) at 2011 -06 -20 22:28 BRT
Interesting ports on localhost (127.0.0.1) :
Not shown : 999 closed ports
PORT
25/ tcp open
Service Info : Host : datacenter
Service detection performed . Please report any incorrect results at
STATE SERVICE VERSION

smtp
Exim smtpd 4.72
http :// nmap . org / submit / .

9
Nmap done : 1 IP address (1 host up ) scanned in 0.52 seconds
Neste EXEMPLO verificamos que temos o servidor de e-mail EXIM, verso 4. Como
no iremos utiliz-lo, vamos remover seus links da inicializao para que eles no
sejam iniciados no boot. Execute o comando:
root@datacenter :~ # insserv - rv exim4
insserv : remove service / etc / init . d /../ rc0 . d / K01exim4
insserv : remove service / etc / init . d /../ rc3 . d / S02exim4
Pgina 15
Linux Force
insserv : creating . depend . boot
10
insserv : creating . depend . start
11
insserv : creating . depend . stop
Executando o Nmap novamente, percebemos que no h nenhum porta aberta em

nosso servidor!
root@datacenter :~ # nmap - sV localhost
Starting Nmap 5.00 ( http :// nmap . org ) at 2011 -06 -21 14:35 BRT
All 1000 scanned ports on localhost (127.0.0.1) are closed
Service detection performed . Please report any incorrect results at

http :// nmap . org / submit / .
Nmap done : 1 IP address (1 host up ) scanned in 0.67 seconds
Outro comando importante (e que cai na prova da LPI) o netstat. Ele possui alguns
parmetros importantes para verificarmos as conexes estabelecidas em nosso servidor. Execute:
root@datacenter :~ # netstat - ltupan
Opes: -l - exibe as conexes que ficam "ouvindo"oou aguardando conexo; -t exibe conexes TCP -u - exibe conexes UDP -p - seguido do nome do protocolo
(TCP, UDP ou IP), exibe as informaes pedidas relativas ao protocolo especificado.
-a - exibe o conjunto das conexes e das portas em escuta na mquina; -n - exibe os
endereos/portas em formato numrico, sem resoluo de nomes.
Pgina 16
Linux Force
Logando o comando SU
Todos os usurios logados no sistema GNU/Linux podem trocar de perfil apenas

digitando o comando su usurio e a senha do mesmo. interessante logarmos
as trocas de login (ou tentativas!) que os usurios do sistema efetuam, pois podemos
mapear os usurios que desejam escalar privilgios, qualquer que sejam os motivos.
Para isso, efetue o comando abaixo e descomente a linha 67:
root@datacenter :~ # vim +67 / etc / login . defs
67 SULOG_FILE / var / log / sulog
Agora crie o arquivo especificado como sendo o log:
root@datacenter :~ # touch / var / log / sulog
Faa alguns testes com o comando su, ora acertando a senha, ora errando. Se
desejar faa com o auxlio do programa splitvt:
root@datacenter :~ # splitvt
Deixe numa tela rodando o comando de visualizao de logs:
root@datacenter :~ # tail -f / var / log / sulog
Na outra execute os comandos com su infra e su infra, errando a senha!
Pgina 17
Linux Force
2.0.13 Introduo terica - PAM

O propsito do do projeto PAM separar a concesso de privilgios nos aplicativos
do desenvolvimento de esquemas de autenticao apropriados e seguros. Isto
realizado fornecendo-se uma biblioteca de funes utilizada pelas aplicaes para
solicitar a autenticao de usurios.
PAM o acrnimo em ingls para Pluggable Authentication Modules. Seu desenvolvimento inicial aconteceu em 1996 pela Sun Microsystems e atualmente
suportado nos sistemas operacionais AIX, HP-UX, Solaris, Linux, FreeBSD, Mac OS
X e NetBSD.
As bibliotecas PAM so configuradas no arquivo /etc/pam.conf ou nos arquivos dentro do diretrio /etc/pam.d/. Vale ressaltar que no possvel utilizar as duas
formas de configurao do LinuxPAM. Ou um ou outro, no os dois ao mesmo
tempo.!
Os arquivos de configurao utilizam mdulos normalmente localizados no diretrio
/lib/security/ou /lib64/security/ e se comportam como objetos carregveis dinamicamente.
Tipos de PAM
Embora eles no sejam classificados, podemos dizer que h trs tipos de PAM:
Linux-PAM: O Linux-PAM abrange todo o PAM discutido neste captulo. A arquitetura principal do PAM em qualquer plataforma Unix semelhante verso PAM do
Linux.
OpenPAM: O OpenPAM outra implementao do PAM desenvolvida pelos laboratrios Dag-Erling Smorgrav em NAI como parte do programa de pesquisa DARPACHATS. Por ser um software livre, ele usado principalmente pelo FreeBSD, NetBSD
e por aplicativos (alm do Mac OS X).
Pgina 18
Linux Force
Java PAM ou JPam: O JPam atua como uma ponte entre a parte Java e o PAM
comum. Ele permite o uso dos mdulos ou recursos do PAM (como auth, account,
passwd, session , etc.) pelos aplicativos baseados em Java. Ele fornece o JAAS e
APIs diretas e suporte para a maioria dos sistemas operacionais e arquiteturas do
Unix.
Sobre o LinuxPAM, voc poder obter mais informaes no link abaixo:

http://www.kernel.org/pub/linux/libs/pam
2.0.14 Mdulos do PAM
O PAM trabalha com mdulos e controles, e cada tipo de mdulo prov uma funcionalidade diferente dentro do sistema. Vamos comentar primeiro os mdulos:
account: Verifica se a conta valida no sistema, se a senha do usurio expirou

e se o usurio realmente tem direitos de acessar aquele servio;
auth (authentication): Verifica questes de autenticao, seja por senhas ou

impresses digitais (quando falamos de biometria). o mdulo authentication
que oferece a flexibilidade do PAM, j que para cada mtodo de autenticao
criado, existe uma biblioteca que ser adicionada este mdulo;
password: Este mdulo responsvel por cuidar dos aspectos relacionados a

tarefas envolvendo senhas, como atualizao e solicitao de nova senha de
acesso no caso da troca da mesma;
session: Responsvel por tarefas ps autenticao, como montar um compartilhamento de arquivos remotos que contm o diretrio /home do usurio em
questo, por exemplo.
Pgina 19
Linux Force
2.0.15 Controles do PAM

Alm dos mdulos, existem tambm os controles:
required: Checa a existncia do mdulo solicitado. Caso esse mdulo falhe, somente depois de verificar se todos os mdulos do mesmo tipo esto disponveis
que o usurio ser avisado;
requisite: Checa a existncia do mdulo solicitado e avisa o usurio imediatamente caso este mdulo falhe.
sufficient: Somente a verificao do mdulo suficiente para a autenticao,
desde que nenhum mdulo marcado como required falhe.
optional: O sucesso ou a falha deste mdulo no interfere no processo de
autenticao.
A maioria das distribuies GNU/Linux trabalham com PAM. As nicas distros

que no usam so Slackware e suas variaes!
Laboratrio
Antes de executar qualquer comando deste tpico, extremamente importante

que voc deixe um terminal logado como root (pode ser o tty6) pois caso seja feito
qualquer tipo de bloqueio ao usurio root e voc efetuar um logout, temos como
alterar as configuraes e voltar aos testes!
Verifique quais mdulos do PAM esto instalados no sistema:
Pgina 20
Linux Force
root@datacenter :~ # ls / lib / security /
Como descobrir se sua aplica o tem suporte no PAM ?
R: Basta utilizar o comando " ldd " .
Execute:
root@datacenter :~ # ldd / bin / login
linux - gate . so .1 = >
(0 xb7712000 )
libpam . so .0 = > / lib / libpam . so .0 (0 xb7701000 )
libpam_misc . so .0 = > / lib / libpam_misc . so .0 (0 xb76fe000 )
libc . so .6 = > / lib / i686 / cmov / libc . so .6 (0 xb75b7000 )
Podemos verificar tambm quais servios trabalham com o PAM listando os arquivos
do /etc/pam.d:
root@datacenter :~ # ls -l / etc / pam . d
Vamos fazer um teste simples que serve para bloquear usurios comuns. Abra o
arquivo "/etc/pam.d/login"e visualize o mdulo "pam_nologin.so" na linha 36:
root@datacenter :~ # vim +36 / etc / pam . d / login
34 # Disallows other than root logins when / etc / nologin exists
35 # ( Replaces the NOLOGINS_FILE option from login . defs )
36 auth
requisite
pam_nologin . so
Para esse mdulo funcionar ele necessita que o arquivo nologin esteja criado
dentro do diretrio /etc. Execute:
Pgina 21
Linux Force
root@datacenter :~ # touch / etc / nologin
Feito isto, tente logar com o usurio infra em outro terminal. Depois apague o
arquivo /etc/nologin.
Repare que a partir do momento que o plugin est ativado no programa

login e o arquivo necessrio est criado, os usurios comuns no conseguem mais
logar, somente o usurio root. Isso no muito funcional mas serve de exemplo para
entendermos como o PAM funciona.
Vamos bloquear o acesso de root ao terminal do servidor sem o uso do PAM, apenas
editando o arquivo /etc/securetty :
root@datacenter :~ # vim +31 / etc / securetty
28 # Virtual consoles
29 tty1
30 tty2
31 # tty3
32 tty4
Teste: Comente a linha 31 (tty3) e tente logar-se com o usurio root no TTY3!
Depois comente as linhas 29 a 34!
Uma maneira prtica de usar o PAM fazermos com que o usurio root no
tenha acesso direto ao login, forando a logar com usurio comum e depois executar
su - para virar root.
Para usar o PAM para gerenciar o login do root, vamos abrir o arquivo /etc/pam.d/login
e descomentar a linha 68:
Pgina 22
Linux Force

68
account
requisite
pam_time . so
Agora que ativamos o mdulo pam_time.so, vamos negar o login do root no terminal.
Edite o arquivo /etc/security/time.conf e acrescente na ltima linha:
root@datacenter :~ # vim / etc / security / time . conf

login ;*; root ;! Al0000 -2400
Abaixo temos as opes que podemos utilizar como permisso de acesso:
login - Servio que ir ser controlado * - Terminal root - Usurio Al0000-2400 Dias e horrios de filtragem.
O dia da semana especificado em duas letras, em ingls: Mo - Segunda-feira Tu
Tera-feira We - Quarta-feira Th - Quinta-feira Fr - Sexta-feira Sa - Sbado Su Domingo Wd - Somente sbado e domingo (fim de semana) Wk - Segunda a sextafeira Al - Todos os dias "!- Neste caso especifica uma exceo. A faixa de horas
especificada aps o dia no formato: HHMM-HHMM
Tente efetuar login como root em outro terminal e veja que no ser possvel! Aproveitando o gancho , vamos deixar configurada a negao de acesso ao root via ssh.
Mais uma camada de proteo, alm da j configurada no arquivo de configurao
do ssh (/etc/ssh/sshd_config). Abra o arquivo /etc/pam.d/sshd e inclua na linha
9:
root@datacenter :~ # vim +9 / etc / pam . d / sshd
account
required
pam_time . so
Pgina 23
Linux Force
Completando, abra o arquivo /etc/security/time.conf e adicione no final:
root@datacenter :~ # vim +9 / etc / security / time . conf
login ;*; root ;! Al0000 -2400
sshd ;*; root ;! Al0000 -2400
Como permitir acesso a grupos extras como, por exemplo, audio, ou cdrom?
root@datacenter :~ # vim / etc / security / time . conf
login ;*; root ;! Al0000 -2400
sshd ;*; root ;! Al0000 -2400
login ; tty *; usu rio ; Al0800 -1800; audio cdrom
Essa sintaxe quer dizer que usurio s pode ter acesso ao grupo audio se efetuar
o login entre 8hs e 18hs. Outro exemplo:
login ; tty *;*; SaSu0000 -2400; audio games
Essa sintaxe quer dizer que todos os usurios podem ter acesso ao grupo audio
e games aos sbados e domingos. Com o PAM, podemos limitar quais usurios
podero ter acesso a utilizar ao comando su. Para isso, vamos criar um grupo
chamado admins
root@datacenter :~ # groupadd admins
Agora vamos adicionar o usurio infra ao novo grupo. Com isto, apenas o usurio
infra poder executar o comando su.
root@datacenter :~ # gpasswd -a infra admins ; id infra
Pgina 24
Linux Force
Crie uma poltica que no possibilite o uso do su, exceto pelos usurios do grupo
admins. Abra o arquivo /etc/pam.d/su, descomente a linha 15 e adicione ao final da
linha group=admins
1
2
root@datacenter :~ # vim +15 / etc / pam . d / su

15
auth
required
pam_wheel . so group = admins
Teste: Crie um usurio chamado teste, logue e execute um su -.
teste@datacenter :~ $ su -
Senha :
su : Permiss o negada
Faa o mesmo teste como usurio infra.
infra@datacenter :~ $ su -
Senha :
Verifique o log do comando su:
root@datacenter :~ # tail -f - n2 / var / log / sulog
SU 06/22 21:01 - / dev / pts /0 teste - root
SU 06/22 21:02 + / dev / pts /0 infra - root
Vamos falar agora sobre o pam_limits! Esse um excelente recurso para limitar
praticamente todos os recursos da mquina a cada usurio. Pode-se inclusive determinar o tempo de consumo de CPU e memria RAM. Vejamos o mdulo ativado no
/etc/pam.d/login:
Pgina 25
Linux Force
77 session
required
pam_limits . so
O arquivo de configurao do pam_limits o /etc/security/limits.conf. Dentro

dele, as linhas sero configuradas da seguinte forma:
< usuario / grupo > < tipo_de_limite > < recurso > < valor_do_limite >
Em usurio/grupo, podemos colocar um * para especificar todos os usurios, colocar um nome de usurio qualquer ou um nome de grupo, comeando com @. No
tipo de limite, existem dois tipos possveis: soft e hard.
Quando o limite do tipo soft alcanado, o sistema avisa que chegou no limite mas
no restringe nada. Se o limite for do tipo hard, o sistema simplesmente restringe o
recurso e no deixa passar. O soft ento serve apenas para um aviso amigvel,
ento na dvida o hard quem manda!
core
- Limite do tamanho do arquivo coredump ( em KB ) . a
configura o que obtemos com o comando " ulimit

2
data
- Tamanho m ximo de segmento de dados que um
mesma
-c " do shell .
programa pode
usar . Tamb m como : " ulimit -d " no bash .

3
fsize
- Tamanho m ximo de algum arquivo que o usu rio possa
criar . Tamb m : " ulimit -f " .

4
memlock
- Tamanho de mem ria alocada que os programas podem
usar ( em KB ) . Tamb m : " ulimit -l " .

5
6
7
8
9
nofiles
- N mero m ximo de arquivos abertos ao mesmo tempo .
Tamb m: " ulimit -n " .

rss
- Tamanho m ximo de mem ria compartilhada ( em KB ) .
Tamb m: " ulimit -m " .

stack
- Valor m ximo de um processo executado ( em KB ) .
Pgina 26
Linux Force
Tamb m: " ulimit -s " .
10
11
cpu
- Tempo m ximo em minutos de uso da CPU . Tamb m :
12
nproc
" ulimit -t " .
- N mero m ximo de processos executados ao mesmo
tempo .
" Tamb m : ulimit -u " .

13
as
- Limite em KB de espa o de endere amento .
14
maxlogins
15
maxsyslogins
16
priority
- N mero m ximo de logins para esse usu rio

- N mero m ximo de logins no sistema
- Em qual prioridade padr o os processos desse usu rio
devem rodar .
17
locks
- N mero m ximo de arquivos de " locks " que podem ser
gerados pelo usu rio . Tamb m : " ulimit -x " .

18
nice
- N mero m ximo de prioridade que o usu rio pode setar ,
entre -20 ( m xima prioridade ) e 19 ( m nima prioridade ) .

Tamb m : " ulimit -e " .
Fique atento, a prova do LPI pode cobrar as opes que encontramos dentro
do arquivo limits.conf. Conhecer todas estas opes e seu pleno entendimento so
tarefas essenciais para ser um Administrador de Sistemas GNU/Linux.
Vamos realizar alguns testes. Primeiro iremos limitar o nmero de terminais consecutivos que um usurio pode utilizar. Abra o arquio /etc/security/limits.conf e insira
a seguinte linha:
root@datacenter :~ # vim / etc / security / limits . conf
@admins hard
maxlogins
Dessa forma, limita-se o usurio teste para utilizar somente dois terminais consecutivos. Segundo, vamos limitar o tamanho mximo de um arquivo criado pelo usurio
teste:
Pgina 27
Linux Force
@admins hard
maxlogins
@admins hard
fsize
5000
Para o teste, faa logout e logue-se novamente com o usurio teste e tente criar
arquivos maiores que 100MB (fsize 100000).
infra@datacenter :~ $ dd if =/ dev / zero of = arquivo bs =1024 count =100000
100000+0 registros de entrada
100000+0 registros de sa da
102400000 bytes (102 MB ) copiados , 0 ,762922 s , 134 MB / s
Criamos um arquivo de 100000KB. Agora vamos criar usando count=11000!
infra@datacenter :~ $ dd if =/ dev / zero of = arquivo bs =1024 count =110000
Excedido tamanho limite de arquivo
Outro fator importante na questo da segurana o chamado Fork Bomb! Ele nada
mais do que um processo criar sub-processos, em looping infinito, causando o
congelamento do servidor. Faa o teste com o usurio infra digitando:
infra@datacenter :~ $ bomb () { bomb | bomb & } ;
bomb
Esse comando cria uma funo na qual a funo jogada dentro dela mesma em
segundo plano, gerando o looping. Para parar o looping s desligando o servidor.
Para impedir isto, vamos limitar o nmero de processos gerados pelo usurio no
arquivo /etc/security/limits.conf
@admins hard
nproc
200
Pgina 28
Linux Force
Aps isto, faa novamente o teste usando o usurio infra. Vamos ver agora como
implementar mais segurana com as senhas dos usurios. Limitaremos a quantidade
de caracteres a composio da senha. Instale o programa libpam-cracklib.
root@datacenter :~ # aptitude install libpam - cracklib
Abra o arquivo /etc/pam.d/common-password e deixe a linha 25 como em negrito,

comente a linha 26 e adicione a linha 27 como abaixo:
1
2
root@datacenter :~ # vim / etc / pam . d / common - password
24 # here are the per - package modules ( the " Primary " block )
25 password requisite
26 # password
[ success =1 default = ignore ]
use_authtok
6
27 password
nullok
pam_cracklib . so retry =3 minlen =6 difok =3

pam_unix . so obscure
try_first_pass sha512
[ success =1 default = ignore ]
pam_unix . so
use_authtok
md5
Na linha 25 estamos especificando o seguinte:
retry =3 -> 3 tentativas de mudan a de senha .;
minlen =6
-> Senha com no m nimo 6 caracteres .;
difok =3
-> Diferen a de pelo menos 3 caracteres da antiga senha .
Agora logue com o usurio teste e tente mudar a senha para valores que o sistema
no aceite:
teste@datacenter :~ $ passwd
Mudando senha para teste .
Senha UNIX ( atual ) :
Senha :
Pgina 29
Linux Force
SENHA INCORRETA : muito simples / sistem tica
Senha :
Senha :
10
passwd : Esgotado o n mero m ximo de tentativas para servi o
11
passwd : Palavra - passe inalterada
Agora mude a senha atendendo ao critrio que configuramos:
teste@datacenter :~ $ passwd
2
3
Mudando senha para teste .
Senha UNIX ( atual ) :
Senha :
Redigite a nova senha :
passwd : senha atualizada com sucesso
Iremos estudar Hardening mais a fundo no Treinamento Segurana em Servidores Linux usando a ISO27002 .
Visto que todo software possui bugs de segurana, fundamental corrigi-los o

quanto antes. Tambm sumamente importante que voc esteja inscrito em listas de discusso que enviam notificaes de segurana para a sua distribuio. A
ideia manter-se informado das atualizaes. Veja:
http://lists.debian.org/debian-security-announce/
https://rhn.redhat.com/errata/rhel-server-errata.html
Pgina 30
Captulo 3
Servidor DHCP
3.0.16 Cenrio
A empresa Dexter Courier precisa de informaes precisas sobre suas mquinas
no que diz respeito origem dos acessos aos servidores, portanto ter todos os computadores da rede mapeados com endereo IP fixo.

Uma grande vantagem que podemos encontrar no DHCP o de amarrar o endereo MAC das mquinas a um determinado IP, fazendo com que somente quem
estiver com o MAC ADDRESS cadastrado poder utilizar a internet e os demais sero bloqueados. Alm disto, teremos um controle melhor sobre a origem dos acessos
aos servios da empresa.
3.0.18 Introduo terica

Criado e mantido pelo ISC (Internet Systems Consortium), um grupo sem fins lucrativos dedicado a desenvolver servios de infra-estrutura usados na Internet, in-
Linux Force
Servidor DHCP
cluindo o Bind e o NTPD. Caso esteja curioso, a pgina com o cdigo fonte a:
http://www.isc.org/sw/dhcp/. O protocolo DHCP (Dynamic Host Configuration Protocol) funciona nas camadas 2 e 3 do modelo OSI e amplamente utilizado para
oferecer endereo IP a um "host"que ainda no est configurado, o que oferece uma
flexibilidade ao Administrador de Redes.
O que um servidor DHCP faz bastante simples. Ele responde aos pacotes de
broadcast das estaes, enviando um pacote com um dos endereos IP disponveis
e os demais dados da rede. Os pacotes de broadcast so endereados ao endereo "255.255.255.255" e retransmitidos pelo switch da rede para todas as portas,
diferente dos pacotes endereados a um endereo especfico, que so transmitidos
apenas na porta relacionada a ele.
Periodicamente o servidor DHCP verifica se as estaes ainda esto l, exigindo
uma renovao do "aluguel"do endereo IP. Isso permite que os endereos IP sejam gastos apenas com quem realmente estiver online, evitando que os endereos
disponveis se esgotem.
O protocolo "DHCP"opera da seguinte forma:
DHCPDISCOVER - Um cliente envia um quadro "broadcast"(destinado a todas

as mquinas) com um pedido "DHCP";
DHCPOFFER - O servidor "DHCP"captura o quadro e oferece um Endereo IP
Pgina 32
Linux Force
Servidor DHCP
ao "host"requisitante;
DHCPREQUEST - O cliente envia um "DHCP REQUEST"endereado para o
servidor "DHCP"aceitando o IP;
DHCPACK - Esse o pacote que confirma a atribuio de uma configurao
de rede a um cliente, ou seja, aquele cliente agora possui configuraes distribudas pelo servidor "DHCP";
DHCPNAK - Caso o cliente no aceite aquele endereo IP, ele enviar um
"DHCPNAK"para o servidor, e realizar o "DHCPDISCOVER"novamente.
DHCPDECLINE Caso o IP j esteja sendo utilizado por outro Host, o servidor
envia um DHCPDECLINE anunciando ao servidor que o endereo j utilizado;
DHCPRELEASE Se por algum motivo o cliente deixa de usar o endereo IP,
o mesmo manda um DHCPRELEASE dizendo que aquele IP ja pode ser usado
por outro Host;
DHCPINFORM Utilizado quando o Cliente j possui endereo IP, mas precisa
de outras informaes, como o servidor DNS por exemplo, o mesmo envia um
DHCPINFORM pedindo tais informaes para o servidor DHCP.
O "DHCP"oferece trs tipos de alocao de endereos IP:
Atribuio manual - Quando desejamos que certo cliente tenha determinado
endereo IP, temos que "amarrar"o endereo "MAC"da mquina cliente ao endereo IP desejado. O servidor DHCP descobre o "MAC ADDRESS"do cliente
atravs do "DHCPDISCOVER", assim identificando quais so as mquinas que
iro receber configuraes personalizadas;
Atribuio automtica - Onde o cliente obtm um endereo de um espao de
endereos possveis chamado de range, especificado pelo administrador. Geralmente no existe vnculo entre os vrios "MACs"habilitados a esse espao
Pgina 33
Linux Force
Servidor DHCP
de endereos. Assim que o cliente se loga pela primeira vez na rede, ele recebe
um endereamento definitivo;
Atribuio dinmica - O nico mtodo que dispe da reutilizao dinmica
dos endereos. O administrador disponibiliza um espao de endereos possveis, e cada cliente ter o software "TCP/IP"da sua interface de rede configurados para requisitar um endereo por "DHCP"assim que a mquina inicialize. A
alocao utiliza um mecanismo de aluguel do endereo, caracterizado por um
tempo de vida. Aps a mquina se desligar, o tempo de vida naturalmente ir
expirar, e da prxima vez que o cliente se ligue, o endereo provavelmente ser
outro. Podemos ainda configurar uma atualizao dinmica dos servidores de
"DNS"para que cada cliente disponha tambm de um registro "DNS".
3.0.19 Laboratrio
Primeiro iremos instalar o pacote do servidor dhcp:
root@datacenter :~ # aptitude install isc - dhcp - server
Vamos renomear o arquivo original do DHCP para uma possvel consulta:
root@datacenter :~ # mv / etc / dhcp / dhcpd . conf

/ etc / dhcp / dhcpd . conf . distro
Agora vamos iniciar nossa configurao num arquivo zerado. Abra-o e insira o contedo abaixo:
root@datacenter :~ # vim / etc / dhcp / dhcpd . conf
ddns - update - style none ;
deny unknown - clients ;
Pgina 34
Linux Force
log - facility local7 ;

subnet 192.168. X .0 netmask 255.255.255.0 {
5
6
range 192.168. X .100 192.168. X .110;
server - identifier datacenter ;
authoritative ;
option subnet - mask 255.255.255.0;
10
option domain - name " dexter . com . br " ;
11
option domain - name - servers 8.8.8.8 ,208.67.222.222;
12
option routers 192.168. X .1;
13
default - lease - time 600;
14
max - lease - time 7200;
15
Servidor DHCP
A prova de certificao pode cobrar a utilizao de cada opo, como "option

routers"ou "option domain-name-servers".
Uma vez criado o arquivo de configurao, basta reinicializar o servidor DHCP:
root@datacenter :~ # service isc - dhcp - server restart
Principais diretrizes do arquivo de configurao
ddns-update-style: forma que o DHCP ir armazenar as informaes de redes

dos clientes. Atualmente so implementados dois esquemas de atualizao
do DNS - o modo de atualizao do DNS improvisado (ad-hoc) e o modo de
atualizao do esquema de interao do intervalo DHCP-DNS (interim);
deny unknown-clients: nega acesso a MAC no cadastrado;
Pgina 35
Linux Force
Servidor DHCP
log-facility local7: Criaremos uma entrada no /etc/rsyslog.conf para os logs do

servidor DHCP;
subnet 192.168.X.0 netmask 255.255.255.0: qual rede o DHCP ir responder

quando for solicitado;
range 192.168.X.100 192.168.X.110: faixa de IPs que ser disponibilizado aos

clientes;
server-identifier: Devemos identificar o nome do nosso servidor;
authoritative: Indica que o servidor DHCP ser autoritrio em todo o seguimento da rede;
option subnet-mask 255.255.255.0 - Essa opo define a mscara de subrede

a ser fornecida aos clientes;
option domain-name dexter.com.br - O nome de domnio do cliente;
option domain-name-servers 8.8.8.8,208.67.222.222 - Essa opo lista os servidores de nomes (DNS) a serem utilizados para resoluo de nomes;
option routers 192.168.X.1 - O cliente, alm do nmero IP, recebe tambm a

informao do nmero do "gateway"de sua rede;
default - lease - time 600 - Servidores " DHCP " cedem endere os sob
pedido por um tempo pr - determinado . O padr o nesse exemplo
ceder o endere o IP por 600 segundos , ou 10 minutos ;
max-lease-time 7200 - Caso o cliente solicite um tempo maior, o tempo mximo

permitido ser de 7.200 segundos (2 horas);
Pgina 36
Linux Force
Servidor DHCP
Para habilitar o suporte ao servidor dinmico, utilize dynamic-bootp

Exemplo: range dynamic-bootp 192.168.X.100 192.168.X.110;
Configurando os LOGs
No Debian, o arquivo de configurao do syslog fica em /etc/rsyslog.conf. A seguinte

entrada pode ser adiciona no final do arquivo:
1
2
root@datacenter :~ # vim / etc / rsyslog . conf

local7 .*
/ var / log / dhcpd . log
root@datacenter :~ # touch / var / log / dhcpd . log
root@datacenter :~ # service rsyslog restart
Com isso todos os logs com origem da facility local7 (facility essa que representa o
servio de DHCP) em qualquer priority (indica o nvel de importncia do log) sero
logados no /var/log/dhcpd.log.
Configurando os clientes DHCP
Vamos configurar a mquina Cliente Squeeze. Abra o arquivo de rede e configure a

interface eth0 para pegar IP via DHCP :
1
2
root@squeeze :~ # vim / etc / network / interfaces
auto eth0
iface eth0 inet dhcp
Reinicie o servio de rede e
Pgina 37
Linux Force
root@squeeze :~ # service networking restart
root@squeeze :~ # dhclient eth0 -v
Servidor DHCP
Caso no tenha o comando dhclient, setar um IP fixo manualmente e instalar

o pacote abaixo: # aptitude install isc-dhcp-client
Para visualizar a placa de rede que est utilizando: # mii-tool
3.0.20 Fixar IP via DHCP

possvel fixar o IP via "DHCP"para mquinas respectivas. Isso feito associando
o "MAC Address"da placa de rede com um endereo IP. Considere que temos 3
estaes:
Para este cenrio ser possvel adicione no final do arquivo de configurao "/etc/dhcp/dhcpd.con
o que est abaixo:
host squeeze {
hardware ethernet 00:00:00:00:00:00;
fixed - address 192.168. X .10;
host windowsxp {
Pgina 38
Linux Force
host windows7 {
10
11
Servidor DHCP
12
Voc deve trocar o MAC Address informado aqui pelo de suas estaes.
Configuraes adicionais
No que diz respeito ao servidor, podemos ainda verificar alguns arquivos para diagnosticar problemas ou mesmo extrair relatrios. Vejamos:
root@datacenter :~ # less / var / lib / dhcp / dhcpd . leases
lease 192.168. X .102 {
starts 2 2011/06/28 01:27:10;
ends 2 2011/06/28 01:28:13;
tstp 2 2011/06/28 01:28:13;
cltt 2 2011/06/28 01:27:10;
binding state free ;
hardware ethernet 08:00:27:2 e : f9 : fa ;
Este arquivo armazena o banco de dados de aluguel do cliente DHCP. Este arquivo
no deve ser modificado manualmente. As informaes de aluguel DHCP de cada
endereo IP recentemente atribudo so armazenadas automaticamente no banco
de dados de aluguel. As informaes incluem datas do aluguel e os endereos MAC
da placa de interface de rede usada para recuperar o aluguel.
Todos os horrios do banco de dados de aluguel esto em GMT (Greenwich Mean
Time) e no horrio local. O banco de dados de aluguel recriado de tempos em
Pgina 39
Linux Force
Servidor DHCP
tempos para que no fique muito grande. Primeiramente, todos os aluguis conhecidos so salvos em um banco de dados temporrio de aluguel. Ento, o arquivo
dhcpd.leases renomeado para dhcpd.leases , e o banco de dados temporrio
salvo como dhcpd.leases.
O daemon DHCP pode ser finalizado (killed) ou o sistema pode falhar (crash) aps
o banco de dados de aluguel ter sido renomeado como o arquivo backup, mas antes
do novo arquivo ser salvo. Se isto acontecer, o arquivo dhcpd.leases no existe, mas
necessrio para iniciar o servio. No crie um novo arquivo de aluguel. Se voc
o fizer, todos os aluguis antigos sero perdidos e causaro muitos problemas. A
soluo correta renomear o arquivo backup dhcpd.leases como dhcpd.leases e
ento iniciar o daemon.
Outro arquivo importante o /etc/default/isc-dhcp-server, onde podemos setar qual
interface de rede responder as requisies dos clientes. Basta configurarmos conforme abaixo:
root@datacenter :~ # less / etc / default / isc - dhcp - server
11 INTERFACES = " eth0 "
Pelo lado do cliente podemos acompanhar quais os endereos IPs que j recebeu
analisando o arquivo /var/lib/dhcp/dhclient.leases:
root@datacenter :~ # less / var / lib / dhcp / dhclient . leases
lease {
interface " eth0 " ;
option dhcp - lease - time 3600;
option dhcp - message - type 5;
option dhcp - server - identifier 192.168. X .110;
renew 2 2011/06/21 21:55:15;
10
rebind 2 2011/06/21 22:22:06;
11
expire 2 2011/06/21 22:29:36;
Pgina 40
Linux Force
Servidor DHCP
. . . ou o arquivo /var/lib/dhcp/dhclient.eth0.leases
lease {
interface " eth0 " ;
option dhcp - lease - time 3600;
option dhcp - message - type 5;
option dhcp - server - identifier 192.168. X .110;
renew 5 2011/06/24 00:14:42;
rebind 5 2011/06/24 00:14:42;
10
expire 5 2011/06/24 00:14:42;
11
E para finalizar, evite colocar 2 servidores DHCP na mesma rede, pois isto ir gerar
alguns transtornos para os clientes!
Pgina 41
Captulo 4
Servidor NFS
4.1 Cenrio
A empresa Dexter Courier precisa de um Storage de baixo custo para compartilhar
arquivos para os membros da rede, incluindo mquinas Windows.
4.2 Proposta de soluo

Vamos utilizar um computador com GNU/Linux servindo como Storage da rede, contendo os diretrios necessrios para o acesso dos membros da empresa. Vamos
configurar grupos e usurios com as devidas permisses de acesso, alm de gerenciar as quotas por grupo.
4.3 Introduo terica

Originalmente desenvolvido pela Sun Microsystems, o NFS (Network File System)
permite compartilhar diretrios e arquivos na rede, fazendo com que os clientes aces-
Linux Force
Servidor NFS
sem os dados remotos como se estivessem no micro local. Por esse motivo o
NFS uma soluo interessante para centralizao de diretrios pessoais e recursos compartilhados em rede, j que as operaes de backup e manuteno podero
ser centralizadas. Para isto o NFS faz uso do Remote Procedure Call.
Para que os clientes possam acessar o servidor NFS, necessrio que os seguintes
servios estejam sendo executados no servidor: portmapper - converte nmeros dos
processos RPC em nmeros no protocolo TCP/IP. Atravs deste daemon, os clientes
conseguem o nmero da porta do servidor NFS;
portmapper - converte nmeros dos processos RPC em nmeros no protocolo TCP/IP.
Atravs deste daemon, os clientes conseguem o nmero da porta do servidor NFS;
status - oferece informaes sobre o compartilhamento afim de evitar erros;
nlockmgr - gerenciador de bloqueios do NFS;
nfsd - atende s requisies dos clientes;
mountd - executa as solicitaes do nfsd (montagem dos clientes);
4.4 Conhecendo o NAS

O termo NAS (Network-Attached Storage) foi introduzido com os primeiros sistemas operacionais para servidores de compartilhamento de arquivos NetWare da
Novell e com o protocolo NCP em 1983. No mundo UNIX, o lanamento do NFS
da Sun Microsystems permitiu que os servidores de rede compartilhassem espao
de armazenamento de dados com os clientes de sua rede. O 3Server e o 3+Share
da 3Com foram os primeiros servidores feitos especificamente para esta funo (incluindo hardware proprietrio, software, e discos mltiplos), e a empresa liderou o
segmento de mercado de 1985 at o incio dos anos 90. A 3Com e a Microsoft
desenvolveriam o software LAN Manager e o protocolo para entrar neste novo mer-
Pgina 43
Linux Force
Servidor NFS
cado. Inspirados pelo sucesso dos servidores de arquivos da Novell, IBM e Sun,
vrias empresas desenvolveram servidores dedicados para armazenamento de dados. Enquanto a 3Com estava entre as primeiras empresas a fabricar NAS dedicados
para sistemas operacionais de desktop, a Auspex Systems foi a primeira a desenvolver um servidor NFS dedicado para uso com UNIX. Um grupo de engenheiros da
Auspex se separou da empresa no incio dos anos 90 para criar o filtro integrado
NetApp, o qual suportava tanto o CIFS (Windows) quanto o NFS (UNIX), e tinha escalabilidade superior e maior facilidade de instalao. Aqui inicia o mercado para
dispositivos NAS proprietrios.
Sistemas NAS podem conter mais de um HD, podendo tambm contar com a tecnologia RAID (Redundant Arrays of Independent Disks), centralizando a responsabilidade de servir os arquivos em uma rede e deste modo liberando recursos de
outros servidores desta rede. Os protocolos utilizados pelo NAS so o NFS, popular
em sistemas UNIX, ou CIFS/SMB (Common Internet File System/Server Message
Block) em ambientes Windows, assim como o tradicional FTP.
Equipamentos NAS esto sendo usados pelo mundo corporativo h algum tempo,
porm, com a reduo dos custos destes dispositivos e com a popularizao de redes domsticas, diversos produtos NAS surgiram para o mercado pessoal. Estes
dispositivos NAS de uso domstico so baseados em processadores baratos rodando uma verso embarcada de Linux. Alm do baixo custo, estes aparelhos tm
baixo consumo de energia e tm uma instalao relativamente simples. Existem
alternativas open source para implementaes caseiras de NAS, como:
FreeNAS (http://www.freenas.org/)
Openfiler (http://www.openfiler.com/)
NASLite (http://www.serverelements.com/)
Abaixo temos alguns exemplos de dispositivos NAS:
Pgina 44
Linux Force
Servidor NFS
LG-N4B1-NAS-Blu-ray
Seagate-Blackarmor-NAS 440
4.5 NAS versus SAN

O NAS disponibiliza armazenamento e sistema de arquivos, contrastando com o
SAN (Storage Area Network), que s realiza armazenamento e deixa ao cliente
a tarefa de lidar com o sistema de arquivos. A principal distino entre os dois
sistemas de armazenamento que o NAS fornece protocolos de arquivo e o
SAN protocolos de camada. Raramente v-se o sistema SAN sendo utilizado fora
de grandes redes de computadores.
Enquanto o NAS especializado em dados orientados aos arquivos, o SAN cuida de
Pgina 45
Linux Force
Servidor NFS
aumentar a velocidade do ERP, CRM e banco de dados pesados. A batalha entre o

NAS e a robusta SAN um tpico popular comum para toda a indstria de TI, no
s em armazenamento. Mas este confronto aconteceu ocasionalmente.
A empresa Network Appliance foi a primeira a comercializar produtos em NAS, que,

conectados na mesma rede de dados, baseado em um sistema operacional de rede
simplificado.
A tecnologia foi adotada por legies de usurios da Network Appliance e por usurios
de Windows para hospedar o Microsoft Exchange e o SQL Server. Tambm foi usado
por milhares de outros para o armazenamento de seus dados orientados a arquivos
(file-oriented).
Com o tempo, o SAN foi adotado para criar parties diferentes no resto do trfego
da LAN e, ao fazer isso, aumentar a velocidade de banco de dados com grande
quantidade de transaes, sistemas ERP e CRM.
Separar a propriedade de um servidor de seu storage e colocando todos os aparelhos de armazenamento diretamente em uma rede de fibra permite diversas conexes many-to-many dos servidores ao storage e do storage para outros aparelhos
de storage. Esta estratgia garante os benefcios tradicionais de colocar os aparelhos de storage em rede, como aumentar a disponibilidade, escalabilidade e desempenho, escreveu o consultor Barb Goldworm.
Os defensores da SAN dizem que a tecnologia a melhor quando se busca desempenho para aplicaes crticas para os negcios como banco de dados, ERP e
CRM. O NAS, definem, impactado por problemas em desempenho. Mas se voc
perguntar para usurios de NAS, no entanto, eles vo dizer que o uso do NAS para
aplicaes crticas nunca gerou problemas. Por exemplo, um teste de um sistema
NAS da BlueArc NAS mostrou mais de 192,900 operaes por segundo.
Abaixo alguns exemplos de SAN:
Pgina 46
Linux Force
Servidor NFS
4.6 E o DAS?
DAS (Direct-Attached Storage) o mais comum tipo de armazenamento. Assim
como o nome sugere, implica que todos os discos e dispositivos de armazenamento
Pgina 47
Linux Force
Servidor NFS
estejam no servidor ao invs de um dispositivo separado. Tem uma bola relao

custo-benefcio, principalmente para pequenas e mdias empresas.
Essa tcnica mais adequada para pequenos servidores que oferecem acesso a
arquivos para diversos PCs ou usurios de um pequeno escritrio. uma forma
confivel para armazenar aplicaes que rodam em um servidor.
Tipicamente DAS um sistema de armazenamento conectado diretamente a um
computador usando Host Bus Adapter (HBA). Entre ambos no h dispositivos de
rede (como hub, switches etc). Est a principal diferena entre o DAS e os SAN
e NAS.
No entanto, essa arquitetura tem algumas limitaes em relao escalabilidade,
uma vez que os servidores suportam um nmero limitado de discos. Isto significa
que se a sua empresa precisar de mais espao, a nica alternativa utilizar discos
de alta capacidade.
Os principais protocolos usados pelo DAS so ATA, SATA, eSATA, SCSI, SAS e
Fibre Channel.
4.7 Laboratrio
4.7.1 Configurando o Servidor
Como a finalidade deste servidor prover apenas espao em disco, vamos realizar
uma configurao simples com NFS, compartilhando dois diretrios.
Primeiro iremos criar os diretrios a serem compartilhados:
root@storage :~ # mkdir / srv / dexter ; mkdir / srv / lixeiras
Pgina 48
Linux Force
Servidor NFS
Agora partiremos para a instalao do servidor NFS e suas configuraes. Vamos

instalar tambm o NMAP para fazer alguns testes:
root@storage :~ # aptitude install nfs - kernel - server nmap
Vamos analisar nosso servidor, verificando portas abertas e servios:
root@storage :~ # nmap - sT - sV localhost
PORT
STATE SERVICE VERSION
111/ tcp
open
rpcbind
2049/ tcp open
rpcbind
Vejamos com o netstat:
root@storage :~ # netstat - luptan
Conex es Internet Ativas ( servidores e estabelecidas )
Proto Recv - Q Send - Q EndLocal EndRemoto Estado
tcp
0.0.0.0:111
0.0.0.0:*
OU A
1468/ portmap
tcp
0.0.0.0:60630
0.0.0.0:*
OU A
1920/ rpc . mountd
tcp
0.0.0.0:2049
0.0.0.0:*
OU A
tcp
0.0.0.0:57409
0.0.0.0:*
OU A
1677/ rpc . statd
udp
0.0.0.0:47545
0.0.0.0:*
1677/ rpc . statd
udp
0.0.0.0:1005
0.0.0.0:*
1677/ rpc . statd
10
udp
0.0.0.0:111
0.0.0.0:*
1468/ portmap
11
udp
0.0.0.0:52472
0.0.0.0:*
12
udp
0.0.0.0:2049
0.0.0.0:*
PID / Program name
Podemos observar que temos os servios do portmap e nfs rodando, respectivamente, nas portas 111 e 2049, conforme o arquivo /etc/services.
root@storage :~ # vim / etc / services
Pgina 49
Linux Force
Servidor NFS
75 sunrpc
111/ tcp
portmapper
76 sunrpc
111/ udp
portmapper
298 nfs
2049/ tcp
# Network File System
299 nfs
2049/ udp
# Network File System
# RPC 4.0 portmapper
Podemos ver os servios necessrios ao funcionamento do NFS executando:
root@storage :~ # rpcinfo -p
programa
vers o protocolo
porta
100000
tcp
111
portmapper
100000
udp
111
portmapper
100024
udp
47545
status
100024
tcp
57409
status
100021
udp
52472
nlockmgr
100021
udp
52472
nlockmgr
100021
udp
52472
nlockmgr
10
100021
tcp
39468
nlockmgr
11
100021
tcp
39468
nlockmgr
12
100021
tcp
39468
nlockmgr
13
100003
tcp
2049
nfs
14
100003
tcp
2049
nfs
15
100003
tcp
2049
nfs
16
100003
udp
2049
nfs
17
100003
udp
2049
nfs
18
100003
udp
2049
nfs
19
100005
udp
46126
mountd
20
100005
tcp
60630
mountd
21
100005
udp
46126
mountd
22
100005
tcp
60630
mountd
23
100005
udp
46126
mountd
24
100005
tcp
60630
mountd
Depois destes testes, vamos configurar o compartilhamento no arquivo /etc/exports,
Pgina 50
Linux Force
Servidor NFS
deixando-o como no exemplo:
root@storage :~ # vim / etc / exports
/ srv / dexter
192.168. X .2( rw , root_squash , no_subtree_check , async )
/ srv / lixeiras
192.168. X .2( rw , root_squash , no_subtree_check , async )
As opes mais usadas so:

ro - compartilhar apenas para leitura;
rw - compartilhar para leitura e gravao;
root_squash - opo padro, faz com que o usurio root no tenha privilgios dentro
do compartilhamento NFS montado;
no_root_squash - permite ao usurio root os mesmos privilgios que num diretrio
local;
async - til em redes locais pois permite que o NFS transfira arquivos de forma
assncrona, sem precisar esperar pela resposta do cliente a cada pacote enviado,
aumenta um pouco a velocidade de transferncia de dados;
Por
padro
no_subtree_check.
no
compartilhamento,
ele
sempre
assume
opo:
Esta opo faz com que os subdiretrios do compartilha-
mento sejam exportados. Veja mais opes do arquivo /etc/exports lendo seu
manual => man 5 exports
Aps isto, execute o comando para reler o arquivo:
root@storage :~ # exportfs -r
Pgina 51
Linux Force
Servidor NFS
Pronto! Diretrios compartilhados. Para realizar uma verificao execute:
root@storage :~ # showmount -e localhost
Export list for localhost :
/ srv / lixeiras 192.168. X .2
/ srv / dexter
192.168. X .2
Caso haja algum problema, reinicie os servios:
root@storage :~ # service portmap restart
root@storage :~ # service nfs - kernel - server restart
4.7.2 Configurando o Cliente

Para configuramos o cliente NFS, basta a instalao do pacote nfs-common. Faa a
instalao na mquina Datacenter:
root@datacenter :~ # aptitude install nfs - common
Antes de efetuarmos a montagem efetiva dos compartilhamentos NFS, vamos remover a entrada LVM referente ao /srv:
root@datacenter :~ # umount / dev / root_vg / lv_srv
root@datacenter :~ # lvremove / dev / root_vg / lv_srv
Do you really want to remove active logical volume lv_srv ? [ y / n ]: y
Logical volume " lv_srv " successfully removed
NO ESQUEA de remover a linha do /etc/fstab!!!
Pgina 52
Linux Force
Servidor NFS
Agora crie o ponto de montagem:
root@datacenter :~ # mkdir -p / srv / storage ; mkdir / srv / lixeiras
Verifique os compartilhamentos do servidor:
root@datacenter :~ # showmount -e 192.168. X .4
Export list for 192.168. X .4:
/ srv / lixeiras 192.168. X .2
/ srv / dexter
192.168. X .2
Monte os compartilhamentos:
root@datacenter :~ # mount -t nfs 192.168. X .4:/ srv / dexter / srv / storage
root@datacenter :~ # mount -t nfs 192.168. X .4:/ srv / lixeiras

/ srv / lixeiras
Verifique a montagem do compartilhamento com o comando mount:
root@datacenter :~ # mount
192.168. X .4:/ srv / dexter on / srv / storage type nfs

(rw , addr =192.168. X .4)
192.168. X .4:/ srv / dexter on / srv / lixeiras type nfs

(rw , addr =192.168. X .4)
Como usurio root, tente criar um arquivo:
root@datacenter :~ # touch / srv / storage / teste_root
touch : n o foi poss vel tocar " / srv / storage / teste_root " : Permiss o
negada
Pgina 53
Linux Force
Servidor NFS
Como vimos, com a opo root_squash ativada por padro o root no consegue
criar arquivos/diretrios dentro do compartilhamento! Vamos alterar o /etc/exports
no servidor Storage e permitir que o root grave no compartilhamento, habilitando a
opo no_root_squash:
root@storage :~ # vim / etc / exports
/ srv / dexter
192.168. X .2( rw , no_root_squash , no_subtree_check , async )
/ srv / lixeiras
192.168. X .2( rw , no_root_squash , no_subtree_check , async )
root@storage :~ # exportfs -r
Refaa o teste. Agora podemos criar o arquivo!
root@datacenter :~ # touch / srv / storage / teste_root ; ls - lh

/ srv / storage
-rw -r --r - - 1 root root 0 Jun 29 22:15 teste_root
Verifique as conexes com o servidor executando:
root@datacenter :~ # showmount -a 192.168. X .4
All mount points on 192.168. X .4:
192.168. X .2:/ srv / dexter
192.168. X .2:/ srv / lixeiras
Para verificar o status do servidor nfs, digite os comandos: nfsstat e nfsstat

-m
Finalmente, para que o compartilhamento seja montado no boot, vamos adicionar a

configurao no final do arquivo /etc/fstab:
Pgina 54
Linux Force
Servidor NFS
root@datacenter :~ # vim / etc / fstab
192.168. X .4:/ srv / dexter
192.168. X .4:/ srv / lixeiras
/ srv / dexter nfs
defaults , soft
/ srv / lixeiras nfs
defaults , soft
Pgina 55
Captulo 5
Implementando RAID + LVM
5.0.3 Introduo Terica - RAID
RAID, do ingls Redundant Array of Independent Disks, significa Conjunto Redundante de Discos Independentes. A ideia bsica por trs do RAID combinar
diversos discos e de baixo custo em um conjunto, a fim de atingir objetivos de desempenho ou redundncia inatingveis com um disco grande e de custo alto. Este
conjunto de discos aparece para o computador como uma nica unidade ou disco de
armazenamento lgico.
O conceito fundamental do RAID que os dados podem ser distribudos ao longo de
cada disco do conjunto de maneira consistente. Para fazer isso, primeiramente os
dados precisam ser quebrados em pedaos de tamanho consistente (geralmente de
32KB ou 64KB, apesar de poder usar tamanhos diferentes). Cada pedao ento
gravado em um disco rgido no RAID, conforme o nvel do RAID usado. Quando os
dados tiverem que ser acessados, o processo revertido, dando a impresso de que
os discos mltiplos so um disco grande.
[ http://web.mit.edu/rhel-doc/3/rhel-sag-pt_br-3/ch-raid-intro.html ]
Linux Force
Temos como principais vantagens do RAID:

Ganho de desempenho no acesso para leitura ou gravao;
Redundncia em caso de falha em um dos discos;
Uso mltiplo de vrias unidades de discos;
Facilidade em recuperao de contedo perdido.;
Impacto reduzido na falha de um disco.
Temos 2 formas de se montar um sistema em RAID:
Via Software: Feito por aplicativos e mdulos do sistema operacional. O RAID via
software s entra em funcionamento depois que o Kernel carregado na memria
do computador. A principal vantagem a facilidade de configurao e a flexibilidade,
j que podemos trabalhar com vrios discos diferentes. A principal desvantagem a
dependncia da correta configurao do sistema operacional.
Caractersticas mais importantes:
1.Processo threaded rebuild;
2.Portabilidade dos conjuntos entre mquinas Linux sem reconstruo;
3.Reconstruo do ARRAY no background, usando recursos ociosos do sistema;
4.Suporte ao disco hot-swappable (pode ser substitudo sem desligar a mquina);
5.Deteco automtica da CPU para aproveitar determinadas otimizaes.
Via Hardware: Feito por uma placa controladora que conecta um disco ao outro. A
principal vantagem o desempenho, j que um RAID via hardware mais rpido
Pgina 57
Linux Force
e independente do sistema operacional. A principal desvantagem, que a placa

controladora se torna um SPOF - Single Point of Failure, ou seja, necessrio ter
uma controladora de discos igual ou compatvel com a que voc possui para o caso
de falhas neste hardware.
[ http://web.mit.edu/rhel-doc/3/rhel-sag-pt_br-3/s1-raid-approaches.html ]
Tipos de RAID
Os principais nveis de RAID utilizados hoje no mercado so os nveis 0, 1, 5, 6 e

suas derivaes, como por exemplo, o RAID 10. Vamos entend-los:
RAID 0 (Stripping): Este o nico nvel de RAID que no implementa redundncia. Sua finalidade aumentar o desempenho de leitura e gravao, uma vez que ao
gravar, divide os dados em partes iguais e armazena cada fragmento em um disco
diferente simultaneamente. Por isto, com dois discos, a velocidade de leitura praticamente dobra. Com trs discos, triplica. E assim por diante. So necessrios
ao menos dois discos para implementar RAID 0 e eles podem ser de tamanhos
diferentes.
Ent o o RAID 0 garante redund ncia ?
No!!! Esta a desvantagem, pois se qualquer um dos discos falhar, o sistema

operacional para de funcionar, alm de ocasionar perda dos dados. Portanto, um
mtodo que requer cuidados.
Caracter sticas do RAID 0:
2
3
* Excelente grava o e leitura ;
Pgina 58
Linux Force
* Aproveitamento total de espa o ;
6
7
* Nenhuma redund ncia !
RAID 1 (Mirroring): O nvel mais utilizado. Sua principal finalidade prover redundncia dos dados. Esta garantida pela duplicao dos dados que so gravados
em cada par de discos, logo, se um deles falhar, o outro continuar operando e mantendo a informao disponvel, at que a substituio do disco defeituoso seja feita.
O ganho de desempenho est na leitura, uma vez que os dados so lidos em partes iguais e simultaneamente de todos os discos. A desvantagem desse nvel que
s metade do volume total de armazenamento nos discos utilizados ficar disponvel para o sistema operacional. preciso no mnimo dois discos para implementar
RAID 1, sempre em pares.
RAID1 backup ? N o !!!!! apenas redund ncia .
DICA DE SEGURANA: RAID 1 espelhado no backup. Se voc apagar um arquivo acidentalmente, esse arquivo vai ser apagado em todos os discos.
Sempre tenha uma CPIA dos dados.
Caracter sticas do RAID 1:
2
3
* Redund ncia : se um dos discos falhar , o sistema continua

funcionando ;
4
5
* Voc vai precisar de 2 HDs , mas s vai usar a rea til de 1;
6
7
* Reduz um pouco o desempenho da escrita , pois o mesmo dado

gravado nos discos que estiverem em " RAID 1 " .
Pgina 59
Linux Force
Fique atento, a prova do LPI ir cobrar a utilizao e conceitos de RAID.

Um comando que podemos utilizar para fazer backup e manuteno de arquivos no
sistema o comando rsync. Outros comandos que nos mostra alguns detalhes
importantes so hdparm e sdparm.
RAID 5: Neste nvel de RAID teremos um balano das vantagens e desvantagens

do nveis anteriores, ou seja, RAID 5 prov um ganho de desempenho e tolerncia
a falhas a custos menores que RAID 0 ou RAID 1 individualmente. O ganho de
desempenho est mais uma vez na leitura. Quanto mais discos forem adicionados
a composio, mais rpida ser a leitura, uma vez que a gravao distribuda em
blocos de tamanhos iguais por todos os discos.
RAID 6: um padro relativamente novo, suportado por apenas algumas controladoras. Ele semelhante ao RAID 5, porm usa o dobro de bits de paridade,
garantindo a integridade dos dados caso at 2 dos HDs falhem ao mesmo tempo. Ao
usar 7 HDs de 500 GB em RAID 6, por exemplo, teramos 2.5 TB para dados mais 1
TB de cdigos de paridade.
A percentagem de espao sacrificado decai conforme so acrescentados mais discos, de forma que o uso do RAID 6 vai tornado-se progressivamente mais atrativo.
No caso de um grande servidor, com 41 HDs, por exemplo, seria sacrificado o espao equivalente a apenas dois discos, ou seja, menos de 5% do espao total. Em
Pgina 60
Linux Force
troca, ganha-se proteo contra a possibilidade de um segundo HD falhar durante o

processo de substituio e reconstruo dos dados do primeiro.
Tanto no caso do RAID 5, quanto no RAID 6, o servidor continua funcionando normalmente durante todo o processo de substituio do disco, embora a performance
decaia, sobretudo logo depois da substituio do drive defeituoso, quando o sistema
precisa regravar os dados lendo as informaes armazenadas em todos os outros
discos e fazendo os clculos de paridade.
[ http://www.hardware.com.br/termos/raid-6 ]
Combinaes de RAID
RAID 10: Combina as vantagens do RAID 0 e RAID 1 num nico sistema. Fornece
segurana efetuando espelhamento de todos os dados num conjunto secundrio de
discos enquanto utiliza listagem em cada conjunto de discos para acelerar as transferncias de dados. O RAID 10 permite no mximo 2 discos avariados de 2 pares
diferentes.
Pgina 61
Linux Force
O volume de disco RAID 10 ideal para organizaes que executam bases de dados
e outras aplicaes com base em transaes que requerem eficincia de armazenamento e proteo de dados crticos.
Em artigos que comparam os nveis RAID 5 e RAID 10, as respostas do RAID 10
foram melhores, apesar do teste ter sido feito utilizando RAID por hardware, mas
vale a pena a comparao. Veja o grfico abaixo:
RAID 0+1: uma combinao dos nveis 0 (Striping) e 1 (Mirroring), onde os dados so divididos entre os discos para melhorar o rendimento, mas tambm utilizam
outros discos para duplicar as informaes. Assim, possvel utilizar o bom rendimento do nvel 0 com a redundncia do nvel 1. No entanto, necessrio pelo menos
4 discos para montar um RAID desse tipo. Tais caractersticas fazem do RAID 0 + 1
Pgina 62
Linux Force
o mais rpido e seguro, porm o mais caro de ser implantado. Falhando 1 disco, o
sistema vira um RAID 0.
Vantagens:
Segurana contra perda de dados;
Pode falhar 1 dos HDs, ou os dois HDs do mesmo DiskGroup.
Desvantagens:
Alto custo de expanso de hardware (custo mnimo = 4xHDs).
Os drives devem ficar em sincronismo de velocidade para obter a mxima performance.
RAID 50
Pgina 63
Linux Force
RAID 60
RAID 100
A prova LPI pode cobrar conhecimentos do aluno sobre os nveis de RAID

citados. No esquea que RAID no Backup. Tenha sempre Backup.
Pgina 64
Linux Force
5.0.4 Introduo Terica LVM
"O LVM (Logical Volume Manager) um recurso includo no Kernel Linux a partir da
verso 2.4 que cria uma camada de abstrao entre o sistema operacional e os HDs
(ou outras unidades de armazenamento utilizadas, como o RAID por exemplo). Ele
adiciona alguns complicadores adicionais na configurao, mas, em compensao
oferece um conjunto de vantagens bastante interessantes.
Imagine que no LVM o sistema no v HDs e parties, mas sim um ou mais volumes
lgicos. Cada volume se comporta como se fosse uma partio, que formatada e
montada da forma usual. Estes volumes so agrupados em um grupo de volumes
lgicos (logical volume group) que se comporta de forma similar a um HD.
O pulo do gato que o grupo de volumes lgicos pode combinar o espao de vrios
HDs e ser modificado conforme necessrio, incorporando mais HDs. Os volumes
lgicos dentro dele tambm podem ser redimensionados livremente conforme for
necessrio.
Se voc precisa de mais espao dentro do volume referente pasta /home, por
exemplo, voc poderia reduzir o tamanho de um dos outros volumes do sistema (que
estivesse com espao vago) e aumentar o tamanho do volume referente ao /home,
tudo isso com o servidor operante.
Outra possibilidade ir adicionando novos HDs ao servidor conforme precisar de

mais espao. Ao instalar um novo HD, voc comearia criando um volume fsico,
englobando todo o espao do HD. Uma vez que o volume fsico criado, voc pode
expandir o grupo de volumes lgicos, de forma que ele incorpore o espao referente
ao novo HD. A partir da, voc pode expandir os volumes lgicos, usando o espao
livre.
Caso seja utilizada uma controladora SCSI ou SAS com suporte a hot-swaping,
possvel at mesmo adicionar, remover ou substituir HDs, fazendo as alteraes necessrias nos volumes lgicos, com o servidor ligado!
Pgina 65
Linux Force
importante enfatizar que o LVM apenas uma mudana na forma como o sistema
acessa os discos, ele no um substituto para o RAID. No LVM voc pode agrupar
vrios HDs em um nico grupo de volumes lgicos, mas se um dos HDs apresentar
defeito, o servidor ficar inoperante e voc perder os dados armazenados no disco
afetado, diferente do RAID, onde voc pode sacrificar parte do espao para ter uma
camada de redundncia.
O grupo de volumes lgicos criado pelo instalador visto pelo sistema como "/dev/vg01"e
os volumes lgicos dentro dele so vistos como "/dev/vg01/lv01", "/dev/vg01/lv02",
etc. Os nomes podem ser alterados da maneira que quiser. Naturalmente, possvel tambm deixar de usar o LVM, voltando ao sistema normal de particionamento.
Nesse caso, voc s precisa deletar os volumes e o grupo de volumes lgicos e criar
a parties desejadas usando o espao disponvel.
http://www.hardware.com.br/dicas/entendendo-lvm.html
Uma implementao melhor do LVM em conjunto com volumes RAID, pois no caso
de falhar um dos discos, continuamos com a leitura/gravao nos demais. Em relao ao usurio, o mesmo nem saber que tem toda esta estrutura por trs da
manipulao dos dados!
Pgina 66
Linux Force
5.0.5 Laboratrio RAID

Vamos adicionar 4 discos de 5GB no Servidor DataCenter para realizarmos este
laboratrio. Este servidor j possui RAID-1 sem SPARE, portanto iremos fazer as
configuraes usando um RAID-5 com SPARE, alm de verificarmos o arquivo de
monitorao.
Primeiro crie uma partio primria em cada um dos discos com o espao total do
disco, sendo esta partio do tipo Linux raid autodetect (fd):
root@datacenter :~ # cfdisk / dev / sdc
root@datacenter :~ # cfdisk / dev / sdd
root@datacenter :~ # cfdisk / dev / sde
root@datacenter :~ # cfdisk / dev / sdf
Verifique se as parties esto disponveis:
root@datacenter :~ # cat / proc / partitions
CASO no aparea as parties, instale o pacote parted e execute o utilitrio partprobe, verificando posteriormente:
root@datacenter :~ # aptitude install parted ; partprobe
root@datacenter :~ # cat / proc / partitions
32
83886080 sdc
33
83007823 sdc1
48
83886080 sdd
49
83007823 sdd1
64
83886080 sde
65
83007823 sde1
16
83886080 sdf
10
17
82909184 sdf1
Pgina 67
Linux Force
11
82908088 md0
# parti o RAID sda1 / sdb1
12
253
9764864 dm -0
# parti o LVM existente
13
253
4882432 dm -1
14
253
1949696 dm -2
Com os discos preparados, vamos iniciar a instalao e os procedimentos nestes

discos. Lembramos que, como J EXISTE um RAID-1 com 2 discos na mquina,
iremos usar o /dev/sdc1, /dev/sdd1, /dev/sde1 e /dev/sdf1.
Se for instalar num servidor sem RAID, ter que fazer a instalao:
root@datacenter :~ # aptitude install mdadm
Vamos fazer uso do utilitrio splitvt (instalado anteriormente), que faz uma diviso
na tela do terminal, facilitando a execuo dos comando e verificao de logs. Para
usar esta combinao, digite no terminal splitvt e veja a sada:
Pgina 68
Linux Force
Configurando o RAID-5
Em uma das telas do splitvt execute o comando para monitorao do RAID:
root@datacenter :~ # watch - n1 cat / proc / mdstat
2
3
4
md0 : active raid1 sda1 [0] sdb1 [1]

82908088 blocks super 1.2 [2/2] [ UU ]
Na outra tela execute o comando para a criao do RAID-5:
root@datacenter :~ # mdadm -- create / dev / md1 -- level =5 \
-- raid - devices =3 -- spare - devices =1 / dev / sdc1 / dev / sdd1 \
/ dev / sde1 / dev / sdf1
mdadm : / dev / sdc1 appears to be part of a raid array :
5
6
7
8
9
10
11
level = raid5 devices =3 ctime = Thu Oct
6 17:23:36 2011
mdadm : / dev / sdd1 appears to be part of a raid array :

6 17:23:36 2011
mdadm : / dev / sde1 appears to be part of a raid array :

6 17:23:36 2011
mdadm : / dev / sdf1 appears to be part of a raid array :

12
Continue creating array ? y
13
mdadm : Defaulting to version 1.2 metadata
14
mdadm : array / dev / md1 started .
6 17:23:36 2011
Veja a sada:
2
3
md1 : active ( auto - read - only ) raid5 sde1 [4]( S ) sdf1 [3]( S ) sdd1 [1]
sdc1 [0]
Pgina 69
Linux Force
10471424 blocks super 1.2 level 5 , 512 k chunk , algorithm 2

[3/2] [ UU_ ]
Neste exemplo criamos o RAID-5, porm ele no ativou um dos discos, neste caso o
/dev/sde1, conforme o item [UU_]. Para resolver isto devemos executar:
root@datacenter :~ # mdadm -- readwrite / dev / md1
Isto far com que o volume RAID seja atualizado. Veja a sada em:
md1 : active raid5 sde1 [4] sdf1 [3]( S ) sdd1 [1] sdc1 [0]
10471424 blocks super 1.2 level 5 , 512 k chunk , algorithm 2 [3/2]

[ UU_ ]
[ >........]
recovery =
3.5% (188672/5235712) finish =4.0 min
speed =20963 K / sec
Aps alguns minutos, a atualizao estar terminada!

Outro problema na montagem do RAID pode ser visto abaixo:
root@datacenter :~ # cat / proc / mdstat
Personalities : [ raid1 ] [ raid6 ] [ raid5 ] [ raid4 ]
md1 : active raid5 sde1 [4] sdf1 [3]( S ) sdd1 [1] sdc1 [0]

[ UUU ]
resync = PENDING
Faa o mesmo procedimento para resolver isto: mdadm readwrite /dev/md1

Bom, agora que o RAID est criado e ajustado para gravao, vamos configurar
o arquivo /etc/mdadm/mdadm.conf:
Pgina 70
Linux Force
root@datacenter :~ # vim / etc / mdadm / mdadm . conf
Adicione no final do arquivo o seguinte contedo:
DEVICE
ARRAY
/ dev / sdc1 / dev / sdd1 / dev / sde1 / dev / sdf1

/ dev / md1
devices =/ dev / sdc1 ,/ dev / sdd1 ,/ dev / sde1 ,/ dev / sdf1
Verifique o status do volume RAID-5 com o comando:
Personalities : [ raid1 ] [ raid6 ] [ raid5 ] [ raid4 ]
md1 : active ( auto - read - only ) raid5 sdc1 [0] sdf1 [3]( S ) sde1 [4]
sdd1 [1]

[ UUU ]
Agora verifique os detalhes do RAID-5
root@datacenter :~ # mdadm -- detail / dev / md1
Raid Level : raid5
Array Size : 10471424 (9.99 GiB 10.72 GB )
Raid Devices : 3
Total Devices : 4
Active Devices : 3
Spare Devices : 1
Number
Major
Minor
RaidDevice State
33
active sync
/ dev / sdc1
10
49
active sync
/ dev / sdd1
11
65
active sync
/ dev / sde1
12
81
spare
/ dev / sdf1
Pgina 71
Linux Force
Vamos criar um diretrio, formatar e efetuar a montagem:
root@datacenter :~ # mkdir / mnt / raid
root@datacenter :~ # mkfs . ext4 -m .0 / dev / md1
root@datacenter :~ # mount -t ext4 / dev / md1 / mnt / raid
Verifique a montagem:
root@datacenter :~ # df - hT
/ dev / md1
ext4
9 ,9 G
151 M
9 ,7 G
2% / mnt / raid
Agora vamos desmontar e parar o RAID-5:
1
2
root@datacenter :~ # umount / mnt / raid ; mdadm -S / dev / md1

mdadm : stopped / dev / md1
Para reiniciar o RAID, execute:
1
2
root@datacenter :~ # mdadm - As / dev / md1

mdadm : / dev / md1 has been started with 4 drives .
Efetue a montagem novamente
root@datacenter :~ # mount -t ext4 / dev / md1 / mnt / raid
Agora vamos desmontar e parar o RAID-5...
root@datacenter :~ # umount / mnt / raid ; mdadm -S / dev / md1
Pgina 72
Linux Force
...e COMENTAR as linhas referentes ao RAID-5
root@datacenter :~ # vim / etc / mdadm / mdadm . conf
# DEVICE
/ dev / sdc1 / dev / sdd1 / dev / sde1 / dev / sdf1
# ARRAY
/ dev / md1devices =/ dev / sdc1 ,/ dev / sdd1 ,/ dev / sde1 ,/ dev / sdf1
Agora tente reiniciar o RAID-5:
1
2

mdadm : / dev / md1 not identified in config file .
Perceba que se voc no configurar corretamente o mdadm.conf o RAID no ir

funcionar. Volte ao arquivo e descomente as linhas, reiniciando o RAID:
1
2

mdadm : / dev / md1 has been started with 4 drives .
Para testar o RAID, iremos criar um "script"que escrever a data de 3 em 3 segundos

dentro do arquivo "/mnt/raid/dados.txt".
root@datacenter :~ # vim / root / testaraid . sh
# !/ bin / bash
while true ; do
date >> / mnt / raid / dados . txt
sleep 3
done
Ajuste as permisses, execute e verifque o resultado:
root@datacenter :~ # chmod + x / root / testaraid . sh
Pgina 73
Linux Force
root@datacenter :~ # / root / testaraid . sh &
root@datacenter :~ # tail -f / mnt / raid / dados . txt
Na tela do splitvt, acompanhe o que acontece com cada comando executado. Vamos
inicialmente simular uma falha no disco sdd1. Digite:
root@datacenter :~ # mdadm / dev / md1 -- fail / dev / sdd1
Verifique que o script continua em andamento...
root@datacenter :~ # tail -f / mnt / raid / dados . txt
Agora temos que remover o disco defeituoso :
root@datacenter :~ # mdadm / dev / md1 -- remove / dev / sdd1
E adicionar um novo disco :
root@datacenter :~ # mdadm / dev / md1 -- add / dev / sdd1
O novo disco /dev/sdd1 ficar como SPARE!

Agora cancele o script e desmonte o /mnt/raid para configurarmos o LVM.
root@datacenter :~ # jobs -l
root@datacenter :~ # kill -9 < PID_do_testaraid . sh >
root@datacenter :~ # cd ; umount / mnt / raid
Pgina 74
Linux Force
A formatao e montagem do volume se dar em cima do LVM. No prximo passo

iremos configurar e testar o LVM.
Laboratrio LVM
Como efetuamos a instalao do servidor Debian GNU/Linux em cima de um volume

RAID+LVM, o pacote j est instalado! SE for instalar, digite:
root@datacenter :~ # aptitude install lvm2
Os comandos utilizados para os testes com o LVM so:
PV ( Phisical Volume )
pvs - sa da resumida
pvscan
pvdisplay - sa da detalhada
- sa da simples
5
6
VG ( Volume Group )
vgs - sa da resumida
vgscan
vgdisplay - sa da detalhada
- sa da simples
10
11
LV ( Logical Volume )
12
lvs - sa da resumida
13
lvscan
14
lvdisplay - sa da detalhada
- sa da simples
Vamos verificar nossos Volumes Lgicos por meio dos comandos detalhados, tomando como base para a produo de relatrios. Primeiro o PV:
root@datacenter :~ # pvdisplay
Pgina 75
Linux Force
--- Physical volume ---
PV Name
/ dev / md0
VG Name
root_vg
PV Size
79 ,07 GiB / not usable 952 ,00 KiB
PE Size
4 ,00 MiB
Total PE
20241
Free PE
15951
Allocated PE
4290
Agora do VG:
root@datacenter :~ # vgdisplay
--- Volume group ---
VG Name
root_vg
VG Status
resizable
VG Size
79 ,07 GiB
PE Size
4 ,00 MiB
Total PE
20241
Alloc PE / Size
4290 / 16 ,76 GiB
Free
15951 / 62 ,31 GiB
PE / Size
E finalmente os Lvs (exemplo apenas do lv_raiz):
root@datacenter :~ # lvdisplay
--- Logical volume ---
LV Name
/ dev / root_vg / lv_raiz
VG Name
root_vg
LV Size
9 ,31 GiB
Current LE
2384
Agora que sabemos como gerar um relatrio do LVM e vimos como foi criado na
instalao do sistema, passemos para a criao de um novo VG para se trabalhar
Pgina 76
Linux Force
com os perfis dos usurios do Samba. Primeiro devemos adicionar um PV, sendo
neste caso o volume RAID-5 criado anteriormente:
1
2
root@datacenter :~ # pvcreate / dev / md1

Physical volume " / dev / md1 " successfully created
Vamos checar os PVs do sistema:
1
2
3
root@datacenter :~ # pvdisplay
--- Physical volume --"/ dev / md1 " is a new physical volume of " 9 ,98 GiB "
--- NEW Physical volume ---
PV Name
VG Name
PV Size
/ dev / md1
9 ,98 GiB
Perceba que o sistema nos informa de que o /dev/md1 um novo volume fsico e
que no faz parte de nenhum VG! Sendo assim, vamos criar um novo VG com este
PV (/dev/md1):
1
2
root@datacenter :~ # vgcreate samba_vg / dev / md1

Volume group " samba_vg " successfully created
Vamos checar os VGs do sistema:
1
2
root@datacenter :~ # vgdisplay -v samba_vg

Finding volume group " samba_vg "
--- Volume group ---
VG Name
samba_vg
Format
lvm2
VG Size
9 ,98 GiB
Pgina 77
Linux Force
PE Size
4 ,00 MiB
Total PE
2556
Alloc PE / Size
0 / 0
Free
2556 / 9 ,98 GiB
10
11
PE / Size
--- Physical volumes ---
12
PV Name
/ dev / md1
13
Total PE / Free PE
2556 / 2556
Finalmente vamos criar um volume lgico (LV) dentro do VG samba_vg:
1
2
root@datacenter :~ # lvcreate -L 6 G -n samba_lv samba_vg

Logical volume " samba_lv " created
Verifique o relatrio deste LV:
root@datacenter :~ # lvdisplay -v samba_vg
LV Name
/ dev / samba_vg / samba_lv
VG Name
samba_vg
LV Size
6 ,00 GiB
Current LE
1536
Agora que temos um volume lgico criado, vamos formatar :
root@datacenter :~ # mkfs . ext4 -m .0 / dev / samba_vg / samba_lv
Finalizando, vamos criar um ponto de montagem e montar:
root@datacenter :~ # mkdir / mnt / lvm
root@datacenter :~ # mount -t ext4 / dev / samba_vg / samba_lv / mnt / lvm /
root@datacenter :~ # df - hT | tail - n2
Pgina 78
Linux Force
4
5
/ dev / mapper / samba_vg - samba_lv

ext4
6 ,0 G
140 M
5 ,8 G
3% / mnt / lvm
Aps estes procedimentos, teremos uma unidade lgica mapeada e pronta para uso!
Vamos gravar alguns dados nesta unidade para realizarmos alguns testes.
root@datacenter :~ # cp - rv / boot /* / mnt / lvm ; cp - rv / sbin /* / mnt / lvm
root@datacenter :~ # du - sh / mnt / lvm /
21 M / mnt / lvm /
Vamos supor que o espao alocado para a unidade lgica no ir atender s necessidades da empresa! Neste caso teremos que aumentar o espao da unidade lgica,
sem a necessidade de movermos dados do local ou mesmo introduzir um novo disco
no servidor. Primeiro desmonte o LV e depois execute seguintes passos:
root@datacenter :~ # umount / mnt / lvm
root@datacenter :~ # lvextend -L +2 g / dev / samba_vg / samba_lv
Extending logical volume samba_lv to 8 ,00 GiB
Logical volume samba_lv successfully resized
O comando acima diz para aumentar em 15GB o LV /dev/samba_vg/samba_lv .

Como vemos, o volume total ficou em 25GB. Mas o que fizemos foi informar apenas
ao LVM que o volume lgico foi estendido, porm o sistema em si ainda no sabe da
mudana. Para isto devemos executar os comandos abaixo, sendo o primeiro para
checar a integridade do volume e o segundo para redimensionar o tamanho:
root@datacenter :~ # e2fsck -f / dev / samba_vg / samba_lv
e2fsck 1.41.12 (17 - May -2010)
Pass 1: Checking inodes , blocks , and sizes
Pass 2: Checking directory structure
Pass 3: Checking directory connectivity
Pass 4: Checking reference counts
Pgina 79
Linux Force
Pass 5: Checking group summary information
/ dev / samba_vg / samba_lv :396/393216 files (0.3%

non - contiguous ) ,65834/1572864 blks
9
10
root@datacenter :~ # resize2fs / dev / samba_vg / samba_lv

Resizing the filesystem on / dev / samba_vg / samba_lv to
2097152(4 k ) blocks .
11
The filesystem on / dev / samba_vg / samba_lv is now 2097152 blocks long .
Pronto! Agora monte a partio e veja o tamanho e o total dos dados que nela
estavam:
root@datacenter :~ # mount -t ext4 / dev / samba_vg / samba_lv / mnt / lvm /

ext4
4
5
7 ,9 G
163 M
7 ,8 G
1% / mnt / lvm
21 M / mnt / lvm /
Observe os detalhes da parti o redimensionada :
root@datacenter :~ # lvdisplay / dev / samba_vg / samba_lv
10
LV Name
/ dev / samba_vg / samba_lv
11
VG Name
samba_vg
12
LV Size
8 ,00 GiB
13
Current LE
2048
Agora suponha que, seja l qual for o motivo, voc precise reduzir o espao do LV.
Como proceder? Ser que irei perder meus dados? E agora? Calma! Para isto
devemos nos atentar para alguns detalhes sobre os passos a serem feitos. Vamos
l, primeiro passo desmontar a partio. Depois devemos checar a integridade da
partio para finalmente executar o comando que far o resizing.
root@datacenter :~ # resize2fs -p / dev / samba_vg / samba_lv 5 g
Pgina 80
Linux Force

1310720(4 k ) blocks .
Begin pass 3 ( max = 64)
Scanning inode table

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Neste exemplo temos uma partio de 8GB e eu desejo reduzir apenas 5GB. Vamos
supor que eu tenha cerca de 3,5GB de dados. Ento, para no quebrar a partio
em cima dos dados, daremos uma folga de alguns gigabytes e efetuamos o comando
de resizing. Agora vamos executar o comando LVM que reduzir de fato o tamanho
da partio:
root@datacenter :~ # lvreduce -L -3 g / dev / samba_vg / samba_lv
WARNING : Reducing active logical volume to 5 ,00 GiB
THIS MAY DESTROY YOUR DATA ( filesystem etc .)
Do you really want to reduce samba_lv ? [ y / n ]: y
Reducing logical volume samba_lv to 5 ,00 GiB
Logical volume samba_lv successfully resized
root@datacenter :~ # resize2fs / dev / samba_vg / samba_lv
resize2fs 1.41.12 (17 - May -2010)
10

5242880(4 k ) blocks .
11
Os comando acima reduziram de forma lgica o tamanho da partio para que depois
possamos reduzir de forma fsica. Agora s montar e checar os dados!
root@datacenter :~ # mount -t ext4 / dev / samba_vg / samba_lv / mnt / lvm
4
5
ext4
5G
161 M
4 ,8 G
1% / mnt / lvm
Pgina 81
Linux Force
21 M / mnt / lvm /
Para remover a estrutura dos testes , fa amos o seguinte :
root@datacenter :~ # lvremove / dev / samba_vg / samba_lv
10
Do you really want to remove active logical volume samba_lv ? [ y / n ]:

y
11
Logical volume " samba_lv " successfully removed
12
13
-------- Se fosse o caso de remover tudo , use os comandos abaixo

--------
14
15
16
17
18
root@datacenter :~ # vgremove samba_vg

Volume group " samba_vg " successfully removed
root@datacenter :~ # pvremove / dev / md1
Labels on physical volume " / dev / md1 " successfully wiped
A fim de deixarmos nosso ambiente estruturado para a gravao dos perfis do SAMBA,
vamos refazer o LVM da seguinte forma:
1
2
root@datacenter :~ # lvcreate -L 9 ,98 G -n samba_lv samba_vg

Logical volume " samba_lv " created
root@datacenter :~ # mkfs . ext4 -m .0 / dev / samba_vg / samba_lv
root@datacenter :~ # mkdir / srv / samba
root@datacenter :~ # mount -t ext4 / dev / samba_vg / samba_lv / srv / samba /
ext4
9 ,9 G
115 M
9 ,97 G
1% / srv / samba
Agora vamos editar o /etc/fstab e incluir no final do arquivo este novo ponto de montagem. Use o comando abaixo e deixe a entrada conforme o exemplo:
root@datacenter :~ # blkid | grep samba >> / etc / fstab
root@datacenter :~ # vim / etc / fstab
Pgina 82
Linux Force
UUID =4 f9871d2 -92 bd -48 ea -8 d86 -3190 b7afb1f1
/ srv / samba ext4 defaults
0 0
Pgina 83
Captulo 6
Servidor Samba
6.0.6 Cenrio
A empresa Dexter Courier possui WorkStation com o Sistema Operacional GNU/Linux e Microsoft Windows e pretende criar uma rede com estes dois ambientes.
Como a empresa necessita de flexibilidade, deseja que seus usurios possam se
logar no sistema em qualquer computador, podendo acessar arquivos do compartilhamento pblico, do respectivo setor e tambm imprimir. Pensando em questes de
segurana, deseja que todos os acessos aos compartilhamentos sejam autenticados
e logados. A empresa no deseja gastar com licena de um servidor de arquivos.
A rede possui mquinas com Windows XP e Windows 7. Os arquivos de cada um
dos setores precisam ser gravados no Storage para fins de backup e os arquivos do
perfil dos usurios precisam ficar no RAID (disponibilidade).
A melhor soluo um servidor GNU/Linux com Samba pois, alm de ser gratuito,
possui muitas funcionalidades e flexibilidade, tornando-o superior aos servidores com
cdigo proprietrio. O servidor dever atender aos seguintes requisitos:
Linux Force
Servidor Samba
domnio com perfil mvel (roaming profile); autenticao de usurios; nome netbios; gerador de logs nvel 1; gravao de arquivos com extenso mp3, mpg,
mpeg, avi, wav e jpg vetada no compartilhamento; arquivos com extenses .ini
e .log devero ficar ocultos; sistema de lixeira para cada compartilhamento; impressora compartilhada; acesso restrito rede local; mapeamento de unidade
de rede por grupo; possibilidade do usurio alterar sua senha; criao de arquivo/diretrio em letra minscula; compartilhamento oculto para uso da equipe
de suporte; codificao dos caracteres para ambos os sistemas; relatrios de
quem est conectado ao servidor.

O Samba um servidor para Linux (e outros sistemas baseados em Unix) que permite o gerenciamento e compartilhamento de recursos em redes formadas por computadores com o Windows. Assim, possvel usar o Linux como servidor de arquivos,
servidor de impresso, entre outros, como se a rede utilizasse servidores Windows
(NT, 2000, XP, 2003 ou 2008).
O Samba uma criao de Andrew Tridgell. O que aconteceu foi que Tridgell precisava montar um espao em disco em seu PC para um servidor Unix. Esse PC
rodava o sistema operacional MS-DOS e, inicialmente, foi utilizado o sistema de arquivos NFS (Network File System) para o acesso. Porm, um aplicativo precisava de
suporte ao protocolo NetBIOS (no suportado pelo NFS). A soluo encontrada por
Tridgell no foi to simples: ele escreveu um sniffer (pequeno programa para captura
de trfego de dados em rede) que permitisse analisar o trfego de dados gerado
pelo protocolo NetBIOS, fez engenharia reversa no protocolo SMB (Server Message
Block) e o implementou no Unix. Isso fez com que o servidor Unix aparecesse como
um servidor de arquivos Windows em seu PC com DOS.
O cdigo foi disponibilizado publicamente por Tridgell em 1992. Porm, tempos depois, o projeto foi posto de lado at que um determinado dia Tridgell decidiu conectar
o PC de sua esposa ao seu computador com Linux. Porm, no encontrou nenhum
meio melhor que seu cdigo para fazer isso e assim o utilizou.
Pgina 85
Linux Force
Servidor Samba
Atravs de contatos feitos por e-mail, Tridgell descobriu que as documentaes dos
protocolos SMB e NetBIOS estavam atualizadas e assim voltou a dedicar-se ao projeto. Porm, uma empresa entrou em contato com ele reivindicando os direitos sobre
o nome usado no software at ento. Diante disso, Andrew Tridgell teve a idia de
procurar em um dicionrio uma palavra que tivesse as letras s, m e b (de SMB). A
busca retornou apenas as palavras "salmonberry", "samba", "sawtimber"e "scramble", de forma que a escolha do nome acabou sendo bvia. A partir da o projeto
Samba cresceu e hoje Andrew Tridgell conta com uma excelente equipe de programadores e com milhares de usurios de sua soluo espalhados pelo mundo. [
http://www.infowester.com/linuxsamba.php
A sute SAMBA precisa de trs componentes para realizar sua funo:
nmbd - Responsvel pela resoluo de nomes;
smbd - Responsvel por compartilhar recursos;
winbind - Auxilia na autenticao em um domnio AD.
6.0.9 subsection name

O que um Domnio?
Domnio um conjunto de usurios conhecidos (cadastrados) que podem utilizar vrias mquinas, em vrios locais diferentes. O usurio no fica preso a uma mquina
especfica, pois os arquivos dele so centralizados no servidor Samba PDC e o seu
perfil mvel. O que uma eleio?
necessrio uma eleio quando existe mais de uma mquina querendo ser domnio
na rede. Existem algumas opes na configurao do smb.conf na seo global que
fazem com que o nosso servidor leve vantagem nesta eleio. Veremos isto mais
adiante.
Pgina 86
Linux Force
Servidor Samba
Primeiro vamos iniciar este lab instalando o samba.
root@datacenter :~ # aptitude install samba samba - doc smbclient smbfs
Faa um backup do arquivo padro do samba para efeito de consulta posterior:
root@datacenter :~ # cp / etc / samba / smb . conf / etc / samba / smb . conf . distro
RedHat: Na plataforma RedHat, o arquivo de configurao do samba fica em

/etc/smb.conf
Fique atento, as opes que iremos estudar agora podero ser cobradas na
prova do LPI nvel 2.
Segundo, vamos montar a estrutura de nosso servidor Samba, com a lista dos usurios, grupos e permisses. A empresa Dexter Courier possui o seguinte quadro de
funcionrios:
Pgina 87
Linux Force
Servidor Samba
Para nos ajudar nessa rdua tarefa, vamos compor uma lista com o nome e o login
de cada membro da empresa Dexter Courier. Depois gere uma lista somente com o
login de cada usurio e salve em /root/lista_users.txt do servidor, assim poderemos
utilizar scripts na criao e administrao do Samba.
Dexter Clem
- dexterclem
Mandark Glory
- mandarkglory
Levinsky Mitch
- levinskymitch
Douglas E . Mordechai - douglasmordechai
Chris Cavanaugh
- chriscavanaugh
Candi Milo
- candimilo
Allison Moore
- allisonmoore
Kathryn Cressida
- kathryncressida
Kath Soucie
- kathsoucie
10
Jeff Bennett
- jeffbennett
11
Eddie Deezen
- eddiedeezen
12
Frank Welker
- frankwelker
13
Luzinsky Brooks
- luzinskybrooks
14
VOC
- voce
A senha padro para todos ser 123456. bvio que no mundo real isto no
ocorrer. A ideia aqui facilitar os testes! Agora vamos criar os grupos...
root@datacenter :~ # addgroup -- gid 2001 administrativo
root@datacenter :~ # addgroup -- gid 2002 comercial
root@datacenter :~ # addgroup -- gid 2003 logistica
root@datacenter :~ # addgroup -- gid 2004 rh
root@datacenter :~ # addgroup -- gid 2005 suporte
root@datacenter :~ # addgroup -- gid 2006 pdc
. . . os diretrios de trabalho do Samba...
root@datacenter :~ # mkdir -p \
Pgina 88
Linux Force
Servidor Samba
/ srv / storage /{ administrativo , rh , comercial , logistica , suporte }
root@datacenter :~ # mkdir -p / srv / storage / drivers
. . . e definir as permisses de acesso:
1
2
root@datacenter :~ # chown -R root : administrativo \

/ srv / storage / administrativo
root@datacenter :~ # chown -R root : rh / srv / storage / rh
root@datacenter :~ # chown -R root : comercial / srv / storage / comercial
root@datacenter :~ # chown -R root : logistica / srv / storage / logistica
root@datacenter :~ # chown -R root : suporte

/ srv / storage /{ suporte , drivers }
root@datacenter :~ # chmod - Rv 3770 / srv / storage /*
Tambm devemos criar a estrutura do compartilhamento pblico:
root@datacenter :~ # useradd -g users -s / bin / false smbuser
root@datacenter :~ # mkdir / srv / storage / publico
root@datacenter :~ # chown -R smbuser : users / srv / storage / publico
root@datacenter :~ # chmod -R 770 / srv / storage / publico
Agora iremos preparar o ambiente para a configurao do PDC:
root@datacenter :~ # mkdir -p / srv / samba /{ homes , profiles , netlogon }
root@datacenter :~ # chown -R root : users \
3
4
/ srv / samba /{ homes , profiles , netlogon }

root@datacenter :~ # chmod -R 770 / srv / samba /{ homes , profiles , netlogon }
Vamos adicionar os usurios aos grupos criados:
Pgina 89
Linux Force
Servidor Samba
root@datacenter :~ # useradd -g administrativo -G

comercial , rh , logistica , suporte , users -s / bin / false dexterclem
root@datacenter :~ # useradd -g administrativo -G users -s / bin / false

mandarkglory

levinskymitch

douglasmordechai
root@datacenter :~ # useradd -g comercial -G users -s / bin / false

chriscavanaugh
root@datacenter :~ # useradd -g comercial -G users -s / bin / false

candimilo
root@datacenter :~ # useradd -g comercial -s / bin / false allisonmoore
root@datacenter :~ # useradd -g rh -G users -s / bin / false

kathryncressida
root@datacenter :~ # useradd -g rh -G users -s / bin / false kathsoucie
10
root@datacenter :~ # useradd -g rh -G users -s / bin / false jeffbennett
11
root@datacenter :~ # useradd -g logistica -G users -s / bin / false

eddiedeezen
12

frankwelker
13

luzinskybrooks
14
root@datacenter :~ # useradd -g suporte -G users -s / bin / false voce
Veja o arquivo /etc/passwd:
root@datacenter :~ # tail - n14 / etc / passwd
dexterclem : x :1001:2001::/ home / dexterclem :/ bin / false
mandarkglory : x :1002:2001::/ home / mandarkglory :/ bin / false
voce :x :1014:2005::/ home / voce :/ bin / false
A fim de agilizar a preparao de nosso cenrio, vamos montar um script para alterar
o diretrio home e profile dos usurios, criar o diretrio da lixeira e ingressar os
usurios no Samba. Depois d permisso de execuo e execute o script!
Pgina 90
Linux Force
root@datacenter :~ # vim / root /01 _samba_pdc . sh
# !/ bin / bash
for lista in $ ( cat / root / lista_users . txt ) ; do
mkdir -p / srv / samba / homes / $lista
mkdir -p / srv / samba / profiles / $lista
chown -R $lista : users / srv / samba / homes / $lista
chown -R $lista : users / srv / samba / profiles / $lista
chmod -R 0700 / srv / samba / homes / $lista
chmod -R 0700 / srv / samba / profiles / $lista
10
mkdir -p / srv / lixeiras / $lista
11
chown -R $lista : users / srv / lixeiras / $lista
12
chmod -R 0700 / srv / lixeiras / $lista
13
usermod -d / srv / samba / homes / $lista $lista
14
pdbedit -x -u $lista 2 > / dev / null
15
( echo 123456 ; echo 123456) | smbpasswd -a -s $lista
16
Servidor Samba
done
Pronto! J temos os diretrios, grupos, usurios, permisses de acesso e incluso

ao SAMBA. Vamos configurar o /etc/samba/smb.conf:
root@datacenter :~ # vim / etc / samba / smb . conf
[ global ]
workgroup = DEXTER
netbios name = Servidor
server string = Servidor de Arquivos Linux
# Habilitando o Samba como PDC
os level = 100
preferred master = yes
domain logons = yes
10
domain master = yes
11
local master = yes
12
# Habilitando os LOGs
13
log file = / var / log / samba / log .% m
14
log level = 1
Pgina 91
Linux Force
15
16
Servidor Samba
max log size = 1000

# N vel de seguran a
17
enable privileges = yes
18
security = user
19
encrypt passwords = yes
20
passdb backend = tdbsam
21
admin users = root
22
hosts allow = 192.168. X .
23
# Acesso a m quinas com Windows98
24
lanman auth = yes
25
client lanman auth = yes
26
27
28
# Permiss o de grava o no Storage NFS

posix locking = no
# Servidor Wins
29
wins support = yes
30
# Melhorando o desempenho do Samba
31
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_KEEPALIVE

SO_RCVBUF =8192 SO_SNDBUF =8192
32
read raw = yes
33
write raw = yes
34
oplocks = yes
35
getwd cache = yes
36
# Mapear unidade para arquivos pessoais do usu rio
37
logon drive = H :
38
logon home = \\% L \ homes \% U
39
logon path = \\% L \ profiles \% U
40
logon script = % G . cmd
41
42
# Script para criar conta de m quina

add machine script = / usr / sbin / useradd -r -g pdc -c " SAMBA
PDC " -d / dev / null -s / bin / false % u
43
# Samba falando portugu s
44
dos charset = CP850
45
unix charset = UTF -8
46
display charset = CP850
47
# Habilitando o Samba a imprimir
48
printing = cups
49
load printers = yes
Pgina 92
Linux Force
50
Servidor Samba
# Samba responde em determinada interface de rede
51
interfaces = eth0
52
bind interfaces only = yes
53
# Habilitando o usu rio a trocar sua senha
54
unix password sync = yes
55
passwd program = / usr / bin / passwd % u
56
passwd chat = * Enter \ snew \ s *\ spassword :* % n \ n

* Retype \ snew \ s *\ spassword :* % n \ n
* password \ supdated \ ssuccessfully * .
57
# Habilitando o Samba a deixar os nomes de arquivos e diret rios

todos em min sculos
58
short preserve case = yes
59
case sensitive = no
60
61
default case = lower

# Habilitando o Samba a usar lixeiras em todos os compartilhamentos
62
vfs objects = recycle
63
recycle : keeptree = yes
64
recycle : versions = yes
65
recycle : repository = / srv / lixeiras /% U
66
recycle : exclude = *. tmp ,*. log ,* obj ,~*.* ,*. bak
67
recycle : exclude_dir = tmp , cache
68
[ administrativo ]
69
path = / srv / storage / administrativo
70
available = yes
71
read only = no
72
public = no
73
only guest = no
74
valid users = @administrativo
75
write list = @administrativo
76
force create mode = 660
77
force directory mode = 750
78
veto files = /*. mp3 /*. mpg /*. mpeg /*. avi /*. jpg /
79
hide files = /*. ini /*. log /
80
[ comercial ]
81
path = / srv / storage / comercial
82
available = yes
83
read only = no
Pgina 93
Linux Force
84
public = no
85
only guest = no
86
valid users = @comercial
87
write list = @comercial
88
89
90
91
92
[ logistica ]
93
path = / srv / storage / logistica
94
available = yes
95
read only = no
96
public = no
97
only guest = no
98
valid users = @logistica
99
write list = @logistica
100
101
102
103
104
[ rh ]
105
path = / srv / storage / rh
106
available = yes
107
read only = no
108
public = no
109
only guest = no
110
valid users = @rh
111
write list = @rh
112
113
114
115
116
Servidor Samba
[ suporte ]
117
path = / srv / storage / suporte
118
available = yes
119
read only = no
120
public = no
Pgina 94
Linux Force
121
only guest = no
122
valid users = @suporte
123
write list = @suporte
124
125
126
127
128
[ publico ]
129
comment = Publico
130
path = / srv / storage / publico
131
public = yes
132
force user = smbuser
133
force group = users
134
read only = no
135
guest ok = yes
136
137
138
139
140
[ lixeiras ]
141
path = / srv / lixeiras /% U
142
read only = no
143
browseable = no
144
145
146
147
148
149
[ printers ]
comment = Samsung ML -2010
150
path = / var / spool / samba
151
browseable = yes
152
read only = no
153
print ok = yes
154
guest ok = yes
155
Servidor Samba
[ netlogon ]
156
comment = Network logon service
157
path = / srv / samba / netlogon
Pgina 95
Linux Force
Servidor Samba
158
writable = no
159
browseable = no
160
[ homes ]
161
comment = Diretorio pessoal
162
path = / srv / samba / homes /% U
163
public = no
164
valid users = % U
165
read only = no
166
browseable = no
167
[ profiles ]
168
comment = Perfis m veis
169
path = / srv / samba / profiles
170
public = no
171
guest ok = yes
172
read only = no
173
browseable = no
174
create mask = 0600
175
directory mask = 0700
176
[ drivers$ ]
177
comment = Drivers Windows
178
path = / srv / storage / drivers
179
public = no
180
inherit permissions = yes
181
valid users = @suporte
182
write list = @suporte
183
only guest = no
184
read only = no
185
186
187
188
Rode o comando testparm para verificar se no h erros na configurao:
root@datacenter :~ # testparm
Load smb config files from / etc / samba / smb . conf
Pgina 96
Linux Force
Servidor Samba
rlimit_max : rlimit_max (1024) below minimum Windows limit (16384)
Processing section " [ administrativo ] "
Processing section " [ comercial ] "
Processing section " [ logistica ] "
Processing section " [ rh ] "
Processing section " [ suporte ] "
Processing section " [ publico ] "
10
Processing section " [ lixeiras ] "
11
Processing section " [ printers ] "
12
Processing section " [ netlogon ] "
13
Processing section " [ homes ] "
14
Processing section " [ profiles ] "
15
Processing section " [ drivers$ ] "
16
Loaded services file OK .
17
WARNING : You have some share names that are longer than 12
characters .
18
These may not be accessible to some older clients .
19
( Eg . Windows9x , WindowsMe , and smbclient prior to Samba 3.0.)
20
Server role : ROLE_DOMAIN_PDC
21
Press enter to see a dump of your service definitions
Adicione o usurio root ao samba para ser o administrador do Domnio:
root@datacenter :~ # smbpasswd -a root
E agora copie os scripts de logon fornecidos pelo Instrutor para o local correto, a
fim de que os usurios Windows possam mapear as unidades da rede:
root@datacenter :~ # cp / root / samba /*. cmd / srv / samba / netlogon /
root@datacenter :~ # chmod 777 / srv / samba / netlogon /*. cmd
Reinicie o servio do samba.
Pgina 97
Linux Force
root@datacenter :~ # service samba restart
Stopping Samba daemons : nmbd smbd .
Starting Samba daemons : nmbd smbd .
Servidor Samba
Para verificar os usurios inseridos no Samba, digite o comando:
root@datacenter :~ # pdbedit - Lw
Adicionando mquina Windows XP ao PDC Samba
Vamos ingressar a mquina WindowsXP ao domnio. Primeiro mude os seguintes

parmetros para que a mquina possa acessar o domnio. Acesse o "Painel de controle > Ferramentas administrativas > Diretiva de segurana local > Diretivas
locais > Opes de segurana"e desative as seguintes opes: (clicando com
o boto direito e depois em Propriedades):
1.Membro do domnio: criptografar ou assinar digitalmente os dados de canal seguro

(sempre);
2.Membro do domnio: desativar alteraes de senha de conta da mquina;
3.Membro do domnio: requer uma chave de sesso de alta segurana (Windows

2000 ou posterior);
4.Reinicie a mquina com Windows XP. Depois disto, siga as prximas figuras:
Pgina 98
Linux Force
Servidor Samba
Pgina 99
Linux Force
Servidor Samba
Abra o Meu Computador e veja os mapeamentos (exemplo usurio Dexter Clem):
Pgina 100
Linux Force
Servidor Samba
Adicionando mquina Windows 7 ao PDC Samba
Primeiro precisa alterar o registro no Windows 7, isso possvel editando manualmente o registro do Windows com os seguintes valores:
HKeyLocalMachine \ System \ CCS \ Services \ LanmanWorkstation \ Parameters
DWORD DomainCompatibilityMode = 1
DWORD DNSNameResolutionRequired = 0
A outra alternativa instalar o registro Win7_Samba3DomainMember.reg, que pode

ser encontrado em:
https://bugzilla.samba.org/attachment.cgi?id=4988&action=view
Pgina 101
Linux Force
Servidor Samba
Aps instalar o registro e reiniciar o sistema, siga as prximas figuras. Clique em

Iniciar => boto direito no cone Computador => Propriedades.
Clique em Configuraes avanadas do sistema:
Pgina 102
Linux Force
Servidor Samba
Clique no boto Alterar:
Pgina 103
Linux Force
Servidor Samba
Selecione Membro de Domnio e digite dexter (sem aspas):
Insira o nome root e a senha do root:
Pgina 104
Linux Force
Servidor Samba
Aps clicar em OK ir aparecer uma mensagem de erro, Clique OK para ignorar e

depois reinicialize o computador:
Quando surgir a tela de login, clique em Trocar Usurio => Outro Usurio e digite
o usurio do Domnio DEXTER:
Pgina 105
Linux Force
Servidor Samba
Pgina 106
Captulo 7
Servidor DNS
Cenrio
A empresa DEXTER COURIER precisa configurar um servidor DNS para que os servios disponibilizados por ela possam ser acessados externamente (Internet) por nomes ao invs de IP. A empresa pretende registrar dois domnios junto ao http://registro.br:
dexter.com.br e mandark.com.br.

O servidor DNS ser montado na mquina DMZ, podendo ser acessada pelo mundo
externo (aps configurao do firewall), sendo replicada para a mquina Datacenter.
Faremos o seguinte:
1 - Neste projeto, dois servidores, o primrio e o secundrio, devem ter um mecanismo configurado corretamente para que eles se mantenham sincronizados;
2 - O DNS reverso deve estar configurado;
3 - Este servidor de DNS deve trabalhar de forma autoritativa (responsvel pelos
domnios dexter.com.br e mandark.com.br) apenas;
Linux Force
Servidor DNS
4 - Configurar o servidor com SPF;

5 - Configurar o servidor corretamente para o uso do comando rndc;
6 - Configurar o servidor primrio para notificar o secundrio quando houver atualizao na zona;
7 - Configurar o servidor primrio para que ocorra atualizao dinmica na zona a
partir dele mesmo;

Durante os anos 70, Arpanet era uma pequena comunidade de algumas centenas
de hosts. Um nico arquivo, HOSTS.TXT, continha toda a informao necessria
sobre os hosts. Este arquivo continha nome para enderear cada host conectado a
ARPANET.
O arquivo era mantido pela Network Information Center (NIC) e distribuido por um
nico host, Stanford Research Institutes Network Information Center (SRI-NIC). Os
administradores da ARPANET enviavam ao NIC, por e-mail, quaisquer mudanas
que tivessem sido efeituadas e periodicamente SRI-NIC era atualizado, assim como
o arquivo HOSTS.TXT. As mudanas eram compiladas em um novo HOSTS.TXT
uma ou duas vezes por semana. Com o crescimento da ARPANET, entretanto, este
esquema tornou-se invivel. O tamanho do arquivo HOST.TXT crescia na proporo
em que crescia o nmero de hosts. Alm disso, o trfego gerado com o processo
de atualizao crescia em propores ainda maiores uma vez que cada host que era
includo no s significava uma linha a mais no arquivo HOST.TXT, mas um outro
host atualizando a partir do SRI-NIC.
E quando a ARPANET passou a usar protocolos TCP/IP, a populao da rede "explodiu". E passaram a existir alguns problemas com o HOST.TXT:
Nomes que coincidiam : dois hosts do arquivo HOSTS.TXT no podiam ter o
Pgina 108
Linux Force
Servidor DNS
mesmo nome. Porm, apesar do NIC poder designar endereos nicos para
cada host, ele no tinha nenhuma autoridade sobre os nomes dados aos mesmos. No havia nada que pudesse evitar que algum adicionasse um host com
um nome conflitante, interrompendo o sistema de algum outro host j existente.
Consistncia : manter a consistncia do arquivo com a rede se expandindo
quelas propores se tornou cada vez mais difcil. Quando o arquivo conseguia conter todos os hosts, algum host trocava de endereo ou um novo host
adicionado tinha quebrado a conexo do host que se desejava acessar. Ironicamente, o sucesso da ARPANET tornou o arquivo HOSTS.TXT falho e obsoleto.
Os administradores da ARPANET tentaram outras configuraes que resolvessem o
problema do HOST.TXT. O objetivo era criar um sistema que resolvesse os problemas
em uma tabela nica de hosts. O novo sistema deveria: Permitir que o administrador
local tornasse os dados mundialmente disponveis; Descentralizar a administrao
a fim de resolver o problema do gargalo gerado por um nico host, diminuindo o
problema do trfego. Alm disso, o fato da administrao ser local iria fazer com
que a atualizao dos dados se tornasse uma tarefa bem mais simples; O esquema
deveria usar nomes em hierarquia para garantir a exclusividade dos nomes.
Paul Mockapetris, do USCs Information Science Institute, foi o responsvel pela
arquitetura do sistema. Em 1984 ele lanou o RFCs 882 e 883, que descreve o
"Domain Name System", ou DNS. Estes RFCs foram sucedidos pelos RFCs 1034 e
1035, que possuem as especificaes atuais do DNS.
[http://www.gta.ufrj.br/grad/anteriores98/dns-ticiana/historia.htm ]
Caractersticas
Banco de dados hierrquico e distribudo representado no formato de uma rvore invertida e 127 nveis;
Pgina 109
Linux Force
Servidor DNS
"Namespace"de at 63 caracteres;
Capacidade de associar outras informaes a um "host"e no s seus endereos IPs;
Arquitetura cliente/servidor;
Os clientes so chamados "resolvers"e costumam ser bibliotecas do sistema
operacional ("libresolv"no Gnu/Linux) compartilhadas entre os mais diversos
programas, como "ping"ou o navegador web;
Do outro lado esto os servidores de nome "DNS", os "DNS nameserver";
A raiz da rvore tem nome nulo ou , por isso a representamos simplesmente
como ponto (.);
Os ns abaixo do domnio raiz so chamados domnios de nvel mais elevado TLD (top level domains);
Sua quantidade e nomes so impostos pela ICANN - Internet Corporation for
Assigned Names and Numbers;
Eles so divididos em "gTLD"(domnios genricos "com", "edu", "gov", "mil",
etc) e "ccTLD"(cdigos de pases ou "country-code", sempre com duas letras);
A ICANN delega, de acordo com tratados internacionais, a responsabilidade
pela administrao de um "ccTLD";
No caso do Brasil, essa responsabilidade pertence atualmente ao "CGI.br",
mais especificamente ao "REGISTRO.br";
Uma vez delegado um domnio, sua nova autoridade pode delegar subdomnios
sem necessitar notificar a entidade responsvel pelo domnio pai;
Pgina 110
Linux Force
Servidor DNS
Um subdomnio est para um subdiretrio assim como um domnio est para

um diretrio, e um "host"est para um arquivo;
Finalmente, vale a pena mencionar que o arquivo "HOSTS.TXT"foi portado para

o ambiente Unix e posteriormente para o Gnu/Linux como "/etc/hosts". Este arquivo normalmente o primeiro a ser consultado pelo resolvedor, que ir buscar por
um servidor de nomes apenas em caso de o "host"no ser encontrado no arquivo
"/etc/hosts".
7.0.12 Resoluo
Resoluo "DNS" o processo pelo qual um programa consulta dados a respeito de

um "hostname". Na grande maioria das vezes, consulta-se o endereo IP deste
"host"para ento efetuar algum tipo de conexo algum servio, como "HTTP",
"SMTP, "POP", dentre outros. O processo de resoluo, a partir do primeiro "nameserver"consultado, pode ser:
recursiva
iterativa
Resoluo Recursiva
Tomando um navegador web como exemplo, a resoluo para acesso a um "website"tem as seguintes etapas:
1.Usurio solicita acesso a "www.exemplo.com.br";
2.Navegador checa se j conhece o endereo IP do "hostname"solicitado (cache do
"browser");
Pgina 111
Linux Force
Servidor DNS
3.Se no conhece, o navegador passa a solicitao para a biblioteca de resoluo o "resolver";

4.O "resolver"procura o "hostname"solicitado no arquivo "/etc/hosts"local;
5.Se no encontrar, ele checa o arquivo "/etc/resolv.conf"para saber a quais "nameservers"deve solicitar a informao;
6.O "resolver"repassa a solicitao ao primeiro "nameserver"da lista, e logo aps
para o prximo at o fim da lista, aguardando por uma resposta de qualquer um
deles;
7.O servidor de nomes acionado consulta seu "cache", se houver;
8.Se no encontrar em seu "cache", o servidor em questo vai diretamente ao servidor raiz e transfere a consulta - www.exemplo.com.br?;
9.O servidor raiz no faz "cache", e tambm no autoridade sobre zonas de baixo
nvel, ento ele apenas responde uma parte da questo: "No sei quem , mas sei
quem pode responder melhor: br.";
10.O servidor de nomes reenvia a consulta para o servidor ".br- www.exemplo.com.br?;
11.".br"retorna o mesmo tipo de resposta, porm como uma dica mais prxima: "No
sei quem , mas sei quem pode responder melhor: com.br.";
12.Passos 10 e 11 so efetuados mais uma vez, e agora a resposta "No sei quem
, mas sei quem pode responder melhor: exemplo.com.br.";
13.Aps repetir o passo 10, finalmente a resposta ser da autoridade sobre o domnio
exemplo.com.br. Vai ser respondido o IP, juntamente ao TTL do registro, ou ser
respondido "inexistente";
14.O servidor de nomes far "cache"da resposta, ao mesmo tempo que a repassa
para o resolvedor original;
Pgina 112
Linux Force
Servidor DNS
15.O resolvedor repassa a resposta para o navegador;

16.O navegador inicia uma conexo "HTTP"com o IP descoberto.
Conceitos de DNS e a sua configurao em Gnu/Linux utilizando Bind9, so

cobrados na Prova do LPI 201 peso2.
Resoluo Iterativa
Enquanto o servidor "cache"do exemplo acima executa um processo recursivo de

consultas sucessivas descendo a rvore at a autoridade capaz de responder definitivamente ao questionamento apresentado, os servidores ".", "br.", "com.br.", apenas informam que conhecem algum mais preciso que eles. Essa uma consulta
iterativa. Iterao, nesse caso, significa "apontar para o mais prximo conhecido".
7.0.13 O arquivo "/etc/hosts"

Derivado do arquivo "HOSTS.TXT"original, aquele que era atualizado e distribudo
antes do surgimento do "Domain Name System", o arquivo "/etc/hosts"continua tendo
um papel muito importante no processo de resoluo. No passo a passo descrito
anteriormente, observe que ele a primeira fonte de consulta do "resolver".
Este comportamento pode ser modificado atravs do arquivo "/etc/nsswitch", porm,
isso s seria feito em um cenrio muito particular. Podemos considerar que quase a
totalidade dos sistemas "*nix"vo seguir a ordem de resoluo padro.
Sendo assim, bom conhecer a sintaxe desse arquivo:
Pgina 113
Linux Force
Servidor DNS
Endereco_IP
Hostname_canonico
192.168.200.254
gateway . com . br
Aliases
gateway
Devemos colocar um endereo IP por linha, seguido de um endereo cannico e opcionalmente "aliases"(apelidos). O nome de "host"cannico pode ser qualquer nome
no formato "DNS", porm, em alguns casos, como o de servidores de e-mails, adequado que os IPs presentes nesta mquina tenham um "FQDN"pertinente. FQDN
(Fully Qualified Domain Name) um "hostname"que identifica, sem ambiguidade,
a posio daquele n dentro da rvore DNS.
Por esta razo, um "FQDN"deve terminar com um ".", que representa a raiz da rvore. Os "aliases"podem ser outros "hostnames"cannicos, ou simples sufixos, para
simplificar a escrita de determinados endereos. Aps a instalao do sistema, o arquivo "hosts"costuma conter uma entrada referente ao IP da interface "loopback", e
uma entrada para cada outra interface presente na mquina para qual um endereo
foi atribudo.
[http://gnulinuxbr.com/2010/05/04/domain-name-system-servidor-dns-nodebian-parte-1/ ]
Por exemplo:
127.0.0.1
192.168.1.50
localhost
micro50 . dexter . com . br .
micro50
Pode ser acrescentadas quantas entradas forem necessrias, inclusive para IPs externos. Atualmente, os sistemas baseados em Debian j contm entradas para endereamento "IPv6", que seguem a mesma lgica. Poder ver isto executando:
root@dmz :~ # cat / etc / hosts
Pgina 114
Linux Force
...
# The following lines are desirable for IPv6 capable hosts
::1
fe00 ::0 ip6 - localnet
ff00 ::0 ip6 - mcastprefix
ff02 ::1 ip6 - allnodes
ff02 ::2 ip6 - allrouters
Servidor DNS
ip6 - localhost ip6 - loopback
7.0.14 Ferramentas de consulta
Caso ainda no estejam presentes, vamos instalar as ferramentas de pesquisa de

"DNS".
root@dmz :~ # aptitude install dnsutils
nslookup
A "ISC" (Internet Systems Consortium - www.isc.org) diz, literalmente, no manual

de utilizao do BIND: "Devido a sua interface misteriosa e frequente comportamento inconsistente, ns no recomendamos o uso do "nslookup". Usem o
"dig"no lugar dele".
Porm, o pacote mantido pela prpria ISC em nome da legio de administradores
que se habituaram a utilizar o "nslookup"como ferramenta de resoluo de problemas.
Dentre suas vantagens est o fato de ter uma biblioteca de resoluo independente
do sistema, e consultar um servidor por vez, dentre os listados no "/etc/resolv.conf".
Apesar da consulta ser mais lenta, torna a triagem mais controlvel. Dentre os problemas mais crnicos do "nslookup"esto: respostas confusas e erros indefinidos.
Pgina 115
Linux Force
Servidor DNS
host
O comando "host" concebido para dar respostas objetivas, limitando-se na maioria

dos casos a uma s linha. Porm, repostas mais detalhadas podem ser obtidas com
a utilizao de parmetros. Ao contrrio do "dig", o "host"consulta a "search list"do
arquivo "/etc/resolv.conf".
dig
O comando "dig" o acrnimo para "Domain Information Groper", que significa algo
como "aquele que busca por informaes de domnio no escuro", e ao mesmo
tempo, a palavra "dig"em ingls significa literalmente "escavar". Acho que mencionar
estas curiosidades demonstra o esforo de imaginao dos criadores do "dig"e, no
toa, ele o comando de pesquisa mais poderoso no pacote de utilitrios "BIND".
No "dig"h dezenas de opes e incontveis combinaes entre elas, por isso consultar o "man"e, sobretudo, ter um forte domnio do funcionamento do sistema de
nomes de domnio, necessrio para dom-lo.
O "dig"no utiliza a opo "search"do "/etc/resolv.conf", por isso necessrio utilizar

"FQDN"em todas as buscas.
7.0.15 Prtica dirigida
Antes de testarmos o comando dig, devemos saber o significado de algumas siglas,

facilitando assim o entendimento e melhor aproveitamento deles.
Pgina 116
Linux Force
Servidor DNS
Vamos testar o "verborrgico"comando "dig":
root@dmz :~ # dig www . linuxforce . com . br .
;; ->> HEADER < < - opcode : QUERY , status : NOERROR , id : 5930
;; flags : qr rd ra ; QUERY : 1 , ANSWER : 1 , AUTHORITY : 0 , ADDITIONAL : 0
;; QUESTION SECTION :
; www . linuxforce . com . br .
;; ANSWER SECTION :
www . linuxforce . com . br .
;; Query time : 392 msec
;; SERVER : 4.2.2.2 # 53(4.2.2.2)
10
IN
300 IN
A 66.118.142.41
...
11
12
root@dmz :~ # dig @8 .8.8.8 www . linuxforce . com . br .
13
14
15
16
; www . linuxforce . com . br .
17
;; ANSWER SECTION :
18
IN
300 IN
A
A 66.118.142.41
19
20
21
;; SERVER : 8.8.8.8 # 53(8.8.8.8)
22
...
Pgina 117
Linux Force
Servidor DNS
23
24
root@dmz :~ # dig -t mx gmail . com .
25
26
27
28
; gmail . com .
29
;; ANSWER SECTION :
30
gmail . com .
1425
IN
MX
40 alt4 . gmail - smtp - in . l . google . com .
31
gmail . com .
1425
IN
MX
5 gmail - smtp - in . l . google . com .
32
gmail . com .
1425
IN
MX
33
gmail . com .
1425
IN
MX
34
gmail . com .
1425
IN
MX
IN
MX
35
36
;; SERVER : 4.2.2.2 # 53(4.2.2.2)
37
...
38
39
root@dmz :~ # dig -x 177.23.24.127
40
41
42
43
;137.122.212.200. in - addr . arpa .
44
;; ANSWER SECTION :
45
137.122.212.200. in - addr . arpa . 43200 IN
PTR
CNAME 137.128 -
191.122.212.200. in - addr . arpa .
46
47
IN
137.128 -191.122.212.200. in - addr . arpa . 3600 IN PTR

ns1 . linuxforce . com . br .
48
49
;; SERVER : 4.2.2.2 # 53(4.2.2.2)
50
...
51
52
root@dmz :~ # dig + trace www . linuxforce . com . br .
53
; <<>> DiG 9.7.3 <<>> + trace www . linuxforce . com . br .
54
;; global options : + cmd
55
30820 IN
NS
h . root - servers . net .
56
30820 IN
NS
l . root - servers . net .
57
30820 IN
NS
m . root - servers . net .
58
30820 IN
NS
i . root - servers . net .
Pgina 118
Linux Force
Servidor DNS
59
30820 IN
NS
j . root - servers . net .
60
30820 IN
NS
d . root - servers . net .
61
30820 IN
NS
f . root - servers . net .
62
30820 IN
NS
e . root - servers . net .
63
30820 IN
NS
c . root - servers . net .
64
30820 IN
NS
a . root - servers . net .
65
30820 IN
NS
b . root - servers . net .
66
30820 IN
NS
k . root - servers . net .
67
30820 IN
NS
g . root - servers . net .
68
;; Received 228 bytes from 4.2.2.2 # 53(4.2.2.2) in 132 ms
69
br .
172800
IN
NS
c . dns . br .
70
br .
172800
IN
NS
f . dns . br .
71
br .
172800
IN
NS
a . dns . br .
72
br .
172800
IN
NS
d . dns . br .
73
br .
172800
IN
NS
b . dns . br .
74
br .
172800
IN
NS
e . dns . br .
75
;; Received 287 bytes from 192.5.5.241 # 53( f . root - servers . net ) in

216 ms
76
linuxforce . com . br .
86400 IN
NS
77
86400 IN
NS
78
;; Received 103 bytes from 200.189.40.10 # 53( b . dns . br ) in 32 ms
79
80
81
60
IN
NS
82
60
IN
NS
83
;; Received 147 bytes from
300 IN
60
IN
A 66.118.142.41
NS
ns1 . testdrive . linuxforce . com . br .
200.212.122.138 # 53( ns1 . linuxforce . com . br ) in 44 ms
7.0.16 Introduo ao BIND + Laboratrio

O BIND (Berkeley Internet Name Domain) o servidor de nomes utilizado na
grande maioria dos servidores da Internet, provendo uma estvel e robusta arquitetura sobre a qual as organizaes podem construir sua estrutura de nomes. Ser
este servidor que iremos abordar no curso. Sua instalao bem simples:
Pgina 119
Linux Force
Servidor DNS
root@dmz :~ # aptitude install bind9
O arquivo principal chama-se "/etc/bind/named.conf" mas contm apenas configuraes estticas. Ele utiliza a clusula include para anexar os arquivos "/etc/bind/named.conf.options" e "/etc/bind/named.conf.local". Sendo que desses dois, o
primeiro serve para personalizar todas opes referentes ao funcionamento do prprio "BIND", enquanto que o segundo serve para declarar todas as zonas pelas quais
este servidor deve responder.
root@dmz :~ # ls - lh / etc / bind
Alm dos arquivos citados acima, temos o arquivo "db.root"(no RedHat fica em "/var/named/named.ca") que relaciona os endereos dos 13 servidores raiz e lido como
"zona hint", que ser explicada adiante.
O "BIND"vai utilizar a porta 53/UDP para receber consultas, a porta 53/TCP

para transferir zonas para servidores escravos, a porta 953/TCP para receber comandos via "rndc"(que dependem de chaves criptografadas), e portas "udp"altas podem
ser dinamicamente atribudas para efetuar consultas em outros servidores.
Vamos observar a recursividade e as portas envolvidas utilizando o "tcpdump", mas

antes vamos verificar as portas:
root@dmz :~ # netstat - nltup
tcp
0 192.168. X .3:53
0.0.0.0:*
OU A
1602/ named
3
tcp
0 127.0.0.1:53
0.0.0.0:*
OU A
0 :::53
:::*
OU A
1602/ named
4
tcp6
1602/ named
Pgina 120
Linux Force
udp
Servidor DNS
0 127.0.0.1:53
0.0.0.0:*
1653/ named
6
udp
0 192.168. X .3:53
0.0.0.0:*
udp
0 127.0.0.1:53
0.0.0.0:*
0 :::53
:::*
0 :::53
:::*
1602/ named
1602/ named
8
udp6
1653/ named
9
udp6
1602/ named
Instale o sniffer tcpdump:
root@dmz :~ # aptitude install tcpdump
Execute o tcpdump para verificar os pacotes saindo de uma porta alta at a porta
53/udp de seu servidor:
root@dmz :~ # tcpdump -i eth0 -n port 53
tcpdump : verbose output suppressed , use -v or - vv for full protocol

decode
listening on eth0 , link - type EN10MB ( Ethernet ) , capture size 65535

bytes
Em outro terminal execute:
root@dmz :~ # dig @localhost -t any wikipedia . com
Verifique a sada do tcpdump:
19:11:52.396000 IP 192.168. X .3.33625 > 198.41.0.4.53: 12121 [1 au ]

ANY ? wikipedia . com . (42)
Pgina 121
Linux Force
Servidor DNS
19:11:52.396000 IP 192.168. X .3.29726 > 192.33.4.12.53: 39309 [1 au ]

NS ? . (28)
19:11:52.544000 IP 192.33.4.12.53 > 192.168. X .3.29726: 39309* 14/0/23 NS m . root - servers . net . , NS d . root - servers . net . , NS
h. root - servers . net . , NS k . root - servers . net . , NS
g. root - servers . net . , NS i . root - servers . net . , NS
b. root - servers . net . , NS j . root - servers . net . , NS
a. root - servers . net . , NS f . root - servers . net . , NS
c. root - servers . net . , NS l . root - servers . net . , NS
e. root - servers . net . , RRSIG (857)
19:11:52.552000 IP 198.41.0.4.53 > 192.168. X .3.33625: 12121 0/15/16 (737)
Os logs de seu servidor DNS esto em "/var/log/daemon.log". Verifique-os:
root@dmz :~ # tail / var / log / daemon . log
No RedHat e Suse os eventos do servio sero logados diretamente no "/var/log/messages".
7.0.17 BIND como servidor cache
As bibliotecas do resolvedor da maioria dos sistemas operacionais no so capazes de executar o processo de resoluo completo, chamado recursivo, como vimos
acima. Ao invs disso elas dependem de um servidor intermedirio com essa capacidade. Quando nos conectamos de casa diretamente Internet, o servio "DHCP"do
provedor se encarrega de nos atribuir o endereo de seus servidores cache. Caso
contrrio, nosso "resolver"no teria a quem consultar e no conseguiramos navegar.
No entanto, muitos administradores de rede utilizam os IPs desses provedores para
Pgina 122
Linux Force
Servidor DNS
configurar vrias estaes de trabalho de uma rede. O efeito disto que cada estao vai fazer suas prprias consultas individuais, multiplicando o volume de dados
trafegados atravs do link de Internet, desperdiando tempo e ocupando largura de
banda.
Quanto maior a rede, maior o impacto. A alternativa para evitar estes problemas
manter um servidor DNS "caching only". Servidores "cache"reservam o resultado
de suas buscas na memria pelo tempo limite estabelecido pela autoridade sobre o domnio consultado. Dessa forma, independente da quantidade de mquinas
da rede, as consultas sero feitas na Internet apenas uma vez a cada intervalo de
atualizao.
Nosso servidor recm instalado j est operando como servidor "cache". Faa uma
consulta e verifique o Query time. Repita o procedimento:
root@dmz :~ # dig @localhost -t soa kernel . org | tail - n6
2
3
;; SERVER : 127.0.0.1 # 53(127.0.0.1)
;; WHEN : Sun Jul 31 19:33:54 2011
;; MSG SIZE
rcvd : 221
7
8
root@dmz :~ # dig @localhost -t soa kernel . org | tail - n6
9
10
11
;; SERVER : 127.0.0.1 # 53(127.0.0.1)
12
;; WHEN : Sun Jul 31 19:33:58 2011
13
;; MSG SIZE
rcvd : 221
Para que a partir de agora todas as nossas aplicaes utilizem o potencial de nosso
servidor "cache", edite o arquivo "/etc/resolv.conf" e mantenha apenas as linhas a
seguir:
root@dmz :~ # vim / etc / resolv . conf
Pgina 123
Linux Force
Servidor DNS
nameserver 127.0.0.1
DICA: No necessria a configurao deste arquivo, pois mesmo sem ele

o servidor continua efetuando as consultas e resolvendo os nomes, alm de fazer
cache!
A fim de termos uma maior segurana em relao s mudanas do arquivo /etc/resolv.conf, podemos adicionar um atributo de proteo a ele, no permitindo qualquer
tipo de alterao:
root@dmz :~ # chattr + i / etc / resolv . conf
7.0.18 Restringindo consultas

Um cuidado muito importante que devemos tomar com servidores "cache" limitar
quem est autorizado a utilizar esse servio. Por padro, o nosso "BIND"est liberado para acesso pblico, ou seja, se houver uma interface conectada diretamente a
Internet, qualquer outro computador no mundo pode mandar nosso servidor procurar
um determinado endereo. Ficamos vulnerveis a abusos!
[ http://gnulinuxbr.com/2010/05/06/domain-name-system-%E2
Para evitar este comportamento, vamos acrescentar a seguinte restrio no arquivo

"/etc/bind/named.conf.options" (linha 16):
Pgina 124
Linux Force
1
2
Servidor DNS
root@dmz :~ # vim / etc / bind / named . conf . options

allow - query { 127.0.0.1; 192.168. X .0/24; };
Para recarregar as modificaes no "BIND", execute:
root@dmz :~ # service bind9 restart
Stopping domain name service ...: bind9 waiting for pid 1602 to die .
Starting domain name service ...: bind9 .
Dessa forma, o servidor s responder para consultas originadas localmente!

possvel ser (se desejar!!!) ainda mais econmico em termos de banda se, ao invs
de executar uma busca recursiva a cada nova consulta, encaminhar a consulta para
o servidor disponibilizado pelo provedor. Isto pode ser feito descomentando as
linhas 13, 14 e 15, alm de configurar o IP do DNS do provedor (exemplo do Terra),
no arquivo "/etc/bind/named.conf.options":
forwarders {
200.176.2.10;
};
Onde IP_DO_PROVEDOR um servidor "DNS"capaz de fazer consultas recursivas. Servidor de zonas
Cada domnio na Internet tem sua autoridade, que nada mais do que um servidor onde as informaes daquele domnio so criadas, mantidas ou alteradas. Mas
como um domnio pode se subdividir em inmeros outros domnios, surge um outro
conceito: Zonas.
Uma "zona" o conjunto dos "hosts"de um domnio sobre o qual se mantm
autoridade. Uma vez delegado um subdomnio a outra autoridade, os "hosts"desse
Pgina 125
Linux Force
Servidor DNS
domnio pertencem "zona"daquela autoridade e no mais "zona"original onde

inicia-se o subdomnio.
Tipos de zonas e Registros
Em relao s "zonas", o "BIND"pode operar de acordo com 6 tipos: "master",

"slave", "stub", "hint", "forward"e "delegation-only".
master - O "BIND"vai responder como autoridade sobre aquele domnio. Os dados
da "zona"sero criados, publicados e administrados a partir dele.
slave - O "BIND"tambm vai responder por esse domnio, mas nenhuma criao ou
alterao respectiva a essa "zona"ser feita localmente neste servidor. Os dados
sero sempre transferidos de um servidor "master".
stub - Este tipo de "zona"no previsto em nenhuma "RFC"e foi implementado apenas no "BIND". Assemelha-se a uma "zona slave"mas replica do "master"apenas os
registros do tipo "NS". Em desuso.
hint - Especfica para o "BIND"onde ele deve comear uma busca recursiva quando
estiver operando como "cache". Por padro, h uma "zona hint"criada com os endereos dos 13 "root servers".
forward - Serve para orientar o "BIND"a encaminhar a consulta sobre uma determinada "zona"para outro servidor em especial. O encaminhamento de consultas tambm pode ser especificado de maneira global no arquivo "named.conf.options".
delegation-only - Para evitar abusos de algumas autoridades sobre domnios de
primeiro nvel como "COM", "NET", "ORG", etc., o "BIND"mantm o tipo de zona
"delegao apenas". Qualquer resposta que no tenha uma delegao explcita ou
implcita na seo autoridade ser transformada em uma resposta "NXDOMAIN".
Vamos configurar nossas zonas DNS: dexter.com.br e mandark.com.br. Pode ser
Pgina 126
Linux Force
Servidor DNS
que na Internet j exista um domnio com este nome, mas isso no importa porque
nossas consultas ficaro limitadas ao laboratrio.
As "zonas"devem ser declaradas no arquivo "/etc/bind/named.conf.local". Uma
"zona"mestre precisa, no mnimo, do nome do domnio, tipo de "zona" e o caminho
para o banco de dados de registros. Quando apenas o nome do arquivo citado, o
servidor "BIND"vai procur-lo no diretrio definido na opo "directory", do arquivo
"/etc/bind/named.conf.options". Isso significa que, por padro, o caminho completo
corresponderia a "/var/cache/bind/db.dexter"e "/var/cache/bind/db.mandark".
O contedo do banco de dados da "zona"que foi declarado ser principalmente uma
srie de registros de recursos ("resources records"), ou simplesmente, registros. No
entanto, trs diretivas so suportadas:
"$TTL"
"$ORIGIN"
"$INCLUDE"
Com exceo do "$TTL", as demais so raramente utilizadas.
Um registro tem o seguinte formato: dono [TTL] [classe] tipo dados.
dono - o nome do registro. Quando substitudo pelo smbolo "@", o dono o

prprio domnio. Caso o dono fique em branco, o "BIND"assume o nome do registro
imediatamente superior;
TTL - Um valor, em segundos, para a permanncia dos dados deste registro no
"cache"de um servidor. Raramente utilizado.
classe - Podem ser "CH", "HS"ou "IN". O padro "IN", de Internet, e no precisa
ser declarada. CH = CHAOS e HS = Hesiod
Pgina 127
Linux Force
Servidor DNS
tipo - No momento existem mais de 30 tipos de registro, dentre os quais veremos

"SOA", "NS", "MX", "A", "CNAME", "TXT"e "PTR".
dados - Diferentes tipos de dados so definidos para diferentes tipos de registros.

Para um registro tipo "A"temos um endereo IP por exemplo.
Recentemente, registros do tipo "TXT"tem sido usados para aumentar o controle

contra "spams". So criados de acordo com o formato definido pelo projeto SPF Sender Policy Framework, ou simplesmente "SPF".
O "SPF"diz quais servidores podem enviar e-mails em nome do seu domnio. O

objetivo evitar que seu domnio seja usado para forjar remetentes falsos. Grandes
provedores j adotaram o "SPF"e cada vez mais outros domnios vem seguindo a
mesma prtica. Tende a tornar-se uma imposio. Muito mais antigo que o "SPF",
e por consequncia, uma imposio natural do ecossistema de e-mails, garantir
que o IP do registro "MX" tenha endereo reverso. Esta uma forma de checar se
o e-mail partiu de um usurio domstico cujo computador est sendo usado como
"zumbi", por exemplo.
Normalmente, configurar o endereamento reverso no depende do administrador

do domnio, mas sim do provedor do link. Porm, possvel requisitar autoridade
sobre o bloco de IPs destinado quele link. Vai depender do provedor. Mas como
em nosso caso estamos utilizando apenas endereos privados, vamos assumir a
autoridade sobre todo o bloco 192.168.X.0/24.
http://gnulinuxbr.com/2010/05/17/domain-name-system-%E2%80%93-
servidor-dns-no-debian-%E2%80%93-parte-3/ ]
Pgina 128
Linux Force
Servidor DNS
7.0.19 Configurao do DNS primrio

Agora iremos configurar o "Bind9", lembrando que estamos fazendo um teste interno,
restringindo as consultas apenas para a rede local, certifique-se de que os arquivos
"/etc/resolv.conf" e "/etc/hosts" estejam corretos. Vamos configurar as duas zonas
de nossos domnios no arquivo "/etc/bind/named.conf.local":
root@dmz :~ # vim / etc / bind / named . conf . local
zone " dexter . com . br " {
type master ;
file " db . dexter " ;
};
zone " mandark . com . br " {
type master ;
file " db . mandark " ;
};
Agora criaremos o banco de dados de registros de "DNS", onde teremos servidores

de e-mail, web e ftp. Primeiro o domnio dexter.com.br.
root@dmz :~ # vim / var / cache / bind / db . dexter
$TTL 86400 ; default para todos os registros sem TTL
@ IN
SOA ns1 . dexter . com . br .
2011073101; serial
8h ; refresh
1h ; retry
3d ; expire
3h); negative caching ttl
root . dexter . com . br . (
10
IN
NS
ns1 . dexter . com . br .
11
IN
MX
10 mail . dexter . com . br .
12
ns1
IN
192.168. X .3
13
www
IN
192.168. X .3
14
ftp
IN
CNAME www
Pgina 129
Linux Force
Servidor DNS
15
mail
IN
16
smtp
IN
CNAME mail
17
webmail
18
pop
IN
CNAME mail
19
imap
IN
CNAME mail
IN
192.168. X .3
CNAME mail
Agora o domnio mandark.com.br:
root@dmz :~ # vim / var / cache / bind / db . mandark
@ IN
SOA ns1 . mandark . com . br .
2011073101; serial
8h ; refresh
1h ; retry
3d ; expire
10
11
ns1
IN
192.168. X .3
12
www
IN
192.168. X .3
IN
NS
root . mandark . com . br . (
ns1 . mandark . com . br .
Sobre o registro "SOA", vo algumas explicaes:

serial - a referncia para os "slaves"saberem se a "zona"sofreu alteraes;
refresh - Tempo que o servidor secundrio vai aguardar at checar se h atualizaes
no servidor primrio;
retry - Em caso de falha do "refresh", o tempo at a prxima verificao;
expire - O tempo que o secundrio aguardar o primrio voltar, se esgotar, o secundrio pra de responder por essa zona;
Pgina 130
Linux Force
Servidor DNS
negative caching TTL - Se a zona expirar, esse ser o tempo pelo qual um servidor "cache"armazenar a informao "NXDOMAIN"antes de iniciar uma nova busca
recursiva. O mximo so 3 horas.
Vamos checar os arquivos de configurao para ver se no tem erros:
root@dmz :~ # named - checkconf / etc / bind / named . conf . options
root@dmz :~ # named - checkconf / etc / bind / named . conf . local
Se o comando retornar ao prompt significa que est correto! Agora vamos checar
a configurao da zona que temos autoridade:
root@dmz :~ # named - checkzone dexter . com . br / var / cache / bind / db . dexter
zone dexter . com . br / IN : loaded serial 2011073101
OK
root@dmz :~ # named - checkzone mandark . com . br

/ var / cache / bind / db . mandark
zone mandark . com . br / IN : loaded serial 2011073101
OK
Reinicie o servio do Bind9:
Vamos fazer alguns testes envolvendo nossos domnios e o comando dig:
root@dmz :~ # dig @127 .0.0.1 -t soa dexter . com . br
;; flags : qr aa rd ra ; QUERY : 1 , ANSWER : 1 , AUTHORITY : 1 ,

ADDITIONAL : 1
Pgina 131
Linux Force
Servidor DNS
; dexter . com . br .
;; ANSWER SECTION :
dexter . com . br .
IN
SOA
86400 IN
SOA ns1 . dexter . com . br . dexter . com . br .
root . dexter . com . br . 2011073101 28800 3600 259200 10800

8
;; AUTHORITY SECTION :
dexter . com . br .
86400 IN
NS
10
;; ADDITIONAL SECTION :
11
12
13
;; SERVER : 127.0.0.1 # 53(127.0.0.1)
14
;; WHEN : Mon Aug
15
;; MSG SIZE
86400 IN
A 192.168. X .3
1 13:04:16 2011
rcvd : 124
Agora com o domnio mandark.com.br:
root@dmz :~ # dig @127 .0.0.1 -t soa mandark . com . br

ADDITIONAL : 1
; mandark . com . br .
;; ANSWER SECTION :
mandark . com . br .
IN
SOA
86400 IN
SOA ns2 . mandark . com . br . mandark . com . br .
root . mandark . com . br . 2011073101 28800 3600 259200 10800

8
mandark . com . br .
86400 IN
NS
10
11
ns2 . mandark . com . br . 86400 IN
12
13
;; SERVER : 127.0.0.1 # 53(127.0.0.1)
14
;; WHEN : Mon Aug
15
;; MSG SIZE
A 192.168. X .3
1 13:10:46 2011
rcvd : 126
Vamos testar as configuraes referente ao e-mail:
Pgina 132
Linux Force
Servidor DNS
root@dmz :~ # dig @127 .0.0.1 -t mx dexter . com . br

ADDITIONAL : 2
; dexter . com . br .
;; ANSWER SECTION :
dexter . com . br .
dexter . com . br .
IN
MX
86400 IN
86400 IN
MX
10 mail . dexter . com . br .
NS
10
11
mail . dexter . com . br . 86400 IN
A 192.168. X .3
12
A 192.168. X .3
13
14
;; SERVER : 127.0.0.1 # 53(127.0.0.1)
15
;; WHEN : Mon Aug
16
;; MSG SIZE
86400 IN
1 13:12:16 2011
rcvd : 102
Vamos efetuar um ping no domnio dexter.com.br:
root@dmz :~ # ping - c2 www . dexter . com . br
PING www . dexter . com . br (192.168. X .3) 56(84) bytes of data .
64 bytes from 192.168. X .3: icmp_req =1 ttl =64 time =0.457 ms
64 bytes from 192.168. X .3: icmp_req =2 ttl =64 time =0.136 ms
Reinicie o Bind9 novamente e verifique o log:
root@dmz :~ # tail -f / var / log / daemon . log
Aug
1 13:23:35 dmz named [1370]: zone localhost / IN : loaded serial 2
Aug
1 13:23:35 dmz named [1370]: managed - keys - zone ./ IN : loading

from master file managed - keys . bind failed : file not found
Pgina 133
Linux Force
Aug
Servidor DNS
1 13:23:35 dmz named [1370]: managed - keys - zone ./ IN : loaded

serial
Aug
1 13:23:35 dmz named [1370]: running
Aug
1 13:23:35 dmz named [1370]: zone dexter . com . br / IN : sending

notifies ( serial 2011073101)
Aug
1 13:23:35 dmz named [1370]: zone mandark . com . br / IN : sending

notifies ( serial 2011073101)
Configurando o RNDC
O comando rndc (Remote Named Daemon Control) uma ferramenta de gerenciamento do named. A vantagem dessa ferramenta que ela permite controlar o
named muito facilmente sem ter que ficar enviando sinais ao processo do mesmo.
Vamos limitar o seu uso apenas no prprio servidor, para isso vamos alterar o arquivo
/etc/bind/named.conf.local.
include " / etc / bind / rndc . key " ;
controls {
inet 127.0.0.1 port 953 allow { localhost ; } keys { " rndc - key " ; };
};
type master ;
9
10
};
11
type master ;
12
13
};
Para configurar o RNDC devemos primeiro gerar a chave criptogrfica. Sendo assim,
execute:
Pgina 134
Linux Force
root@dmz :~ # cd / etc / bind
root@dmz :/ etc / bind # rndc - confgen -r / dev / urandom -a
wrote key file " / etc / bind / rndc . key "
Servidor DNS
Veja a chave gerada:
root@dmz :/ etc / bind # cat rndc . key
key " rndc - key " {
algorithm hmac - md5 ;
secret " gdt6lf3SlKt + o6e3UeqVrw == " ;
};
Por segurana, deixe leitura e escrita somente para o root e o grupo:
root@dmz :/ etc / bind # chmod 770 / etc / bind / rndc . key
Agora que ajustamos as configuraes, reinicie o servio:
Veja o status do rndc:
root@dmz :~ # rndc status
version : 9.7.3
CPUs found : 1
worker threads : 1
number of zones : 20
Pgina 135
Linux Force
debug level : 0
xfers running : 0
xfers deferred : 0
soa queries in progress : 0
10
query logging is OFF
11
recursive clients : 0/0/1000
12
tcp clients : 0/100
13
server is up and running
Servidor DNS
Agora podemos executar os comando re reload com o rndc:
root@dmz :~ # rndc reload
server reload successful
Para vermos o que est em cache no DNS, podemos usar os comandos abaixo:
root@dmz :~ # rndc dumpdb - cache
root@dmz :~ # cat / var / cache / bind / named_dump . db
E para limpar o cache execute:
root@dmz :~ # rndc flush
7.0.20 Configurando o DNS reverso

DNS reverso um recurso que permite que outros servidores verifiquem a autenticidade do seu servidor. Para isso, ele checa se o endereo IP atual bate com o
endereo IP informado pelo servidor DNS. Os servidores de e-mail iro recusar seus
e-mails ou classific-los como spam caso o DNS reverso no esteja configurado.
Pgina 136
Linux Force
Servidor DNS
de suma importncia para que o servio de e-mail no seja detectado como

spam ao enviar um e-mail;!
Abra o arquivo /etc/bind/named.conf.local e inclua no final o seguinte:
...
zone "X .168.192. in - addr . arpa " {
type master ;
file " db . rev " ;
};
Agora configure o arquivo reverso...
root@dmz :~ # vim / var / cache / bind / db . rev
IN SOA ns1 . dexter . com . br .
2011073101; serial
8h ; refresh
1h ; retry
3d ; expire
10
11
ns1
12
IN
NS
IN
IN
root . dexter . com . br . (

A
PTR
192.168. X .3
mail . dexter . com . br .
inclua no final do arquivo da zona dexter . com . br
13
14
15
IN
MX
20 mail2 . dexter . com . br .
16
mail2
IN
192.168. X .2
Pgina 137
Linux Force
Servidor DNS
Reinicie o Bind9:
Vamos realizar um teste com o comando dig para verificar o reverso:
root@dmz :~ # dig @127 .0.0.1 -x 192.168. X .3
...
;3. X .168.192. in - addr . arpa .
IN
PTR
5
6
;; ANSWER SECTION :
3. X .168.192. in - addr . arpa . 86400
IN PTR mail . dexter . com . br .
8
9
10
X .168.192. in - addr . arpa . 86400
IN
NS
Como vimos, nosso DNS reverso est corretamente configurado!
7.0.21 Configurando o DNS secundrio
Para registrarmos um domnio pblico, precisamos de pelo menos dois servidores "DNS"respondendo pelo seu domnio. Isso significa um servidor master (mestre) e pelo menos um servidor slave (escravo). A exigncia uma forma de garantir
que seu domnio estar sempre disponvel. Se um servidor parar, o outro continua
respondendo!
Pgina 138
Linux Force
Servidor DNS
Se os servidores estiverem geograficamente separados, isto garante ainda mais disponibilidade, pois mesmo que um link caia, o outro certamente ainda estar disponvel. Na verdade, um mesmo servidor rodando BIND pode ser ao mesmo tempo mestre para alguns domnios, escravo para outros, e "cache"para todo o resto. Sendo
assim, vamos efetuar a instalao do Bind9 numa outra mquina para servir de escravo (secundrio). Esta mquina ser a Datacenter
Antes de configuramos a mquina slave, vamos deixar nosso bind autorizado a transferir as zonas para esta mquina. Acrescente no arquivo named.conf.local o que
est em negrito:
include " / etc / bind / rndc . key " ;
controls {
inet 127.0.0.1 port 953 allow { localhost ; } keys { " rndc - key " ;
};
};
type master ;
allow - transfer { 192.168. X .2; };
10
notify yes ;
11
also - notify { 192.168. X .2; };
12
};
13
14
type master ;
15
16
allow - transfer { 192.168. X .2; };
17
notify yes ;
18
also - notify { 192.168. X .2; };
19
};
20
zone " 200.168.192. in - addr . arpa " {
21
type master ;
22
file " db . rev " ;
23
};
Pgina 139
Linux Force
Servidor DNS
Explicando as incluses:
allow-transfer - para transferir a zona para o secundrio.
notify yes - o servidor mestre envia uma mensagem DNS NOTIFY para os servidores escravos para faz-los conferir o arquivo de zona imediatamente. Isso feito
para manter o banco de dados mestre e escravo firmemente sincronizados.
also-notify - diz para o servidor tambm notificar o endereo fornecido entre chaves.
Devemos configurar tambm o arquivo de registro da zona DNS dos domnios que
temos autoridade. Primeiro o domnio dexter.com.br. Coloque no final do arquivo:
; configura o do DNS secund rio
IN
NS
ns2
IN
192.168. X .2 ; IP da m quina Datacenter
Agora o domnio mandark.com.br, tambm no final do arquivo:
root@dmz :~ # vim / var / cache / bind / db . mandark
; configura o do DNS secund rio
IN
NS
ns2
IN
192.168. X .2 ; IP da m quina Datacenter
No podemos esquecer do reverso! Acrescente no final do arquivo:
root@dmz :~ # vim / var / cache / bind / rev . dexter
; configura o do DNS reverso secund rio
IN
PTR
mail . dexter . com . br .
Pgina 140
Linux Force
Servidor DNS
Reinicie o Bind9:
7.0.22 Configurando o DNS Secundrio

Vamos agora efetuar a instalao e configurao do Bind9 na mquina Datacenter.
Inicie a mquina e execute:
root@datacenter :~ # aptitude install bind9
Abra o arquivo de declarao de zonas e insira o seguinte:
root@datacenter :~ # vim / etc / bind / named . conf . local
type slave ;
masters { 192.168. X .3; };
};
type slave ;

masters { 192.168. X .3; };
10
11
};
Reinicie o Bind9:
Pgina 141
Linux Force
Servidor DNS
root@datacenter :~ # service bind9 restart
Verifique no log da mquina Datacenter (slave) que houve a transferncia da zona

master de nossos domnios:
root@datacenter :~ # cat / var / log / daemon . log | grep named | grep trans
Aug
2 21:19:54 datacenter named [1815]: transfer of

dexter . com . br / IN from 192.168. X .3 # 53: connected using
192.168. X .2#59881
Aug
2 21:19:54 datacenter named [1815]: zone dexter . com . br / IN :

transferred serial 2011073101
Aug

dexter . com . br / IN from 192.168. X .3 # 53: Transfer completed : 1
messages , 15 records , 397 bytes , 0.008 secs (49625 bytes / sec )
Aug

mandark . com . br / IN from 192.168. X .3 # 53: connected using
192.168. X .2#54614
Aug
2 21:19:54 datacenter named [1815]: zone mandark . com . br / IN :

transferred serial 2011073101
Aug

mandark . com . br / IN from 192.168. X .3 # 53: Transfer completed : 1
messages , 7 records , 216 bytes , 0.010 secs (21600 bytes / sec )
7.0.23 Desativar recurso externa

Para o servidor DNS funcionar fora da rede local interessante desabilitar a opo
de recurso, pois isto evitar abusos, como por exemplo, alguma mquina usar o
servidor da empresa DEXTER COURIER para fazer consultas de DNS.
Para fazer isto, v na mquina DMZ no arquivo /etc/bind/named.conf.options e
insira o que est em negrito, restringindo o uso do DNS
Pgina 142
Linux Force
Servidor DNS
somente na nossa rede :
3
4
allow - query { 127.0.0.1; 192.168. X .0/24; };
allow - recursion { 192.168. X .0/24; };
auth - nxdomain no ;
listen - on - v6 { any ; };
# conform to RFC1035
7.0.24 SPF - Sender Policy Framework

um recurso que diz quais servidores podem enviar e-mails em nome do seu
domnio. O objetivo evitar que seu domnio seja usado para forjar remetentes
falsos, facilitando o envio de spam mundo afora!
Acrescente na ltima linha do arquivo /etc/bind/db.dexter :
root@dmz :~ # vim / etc / bind / db . dexter
...
; configura o do SPF
IN
TXT " v = spf1 a mx ip4 :192.168. X .3 - all "
Sobre o registro "TXT":

a - Qualquer registro "A"desse domnio;
mx - Servidor de e-mail;
192.168.X.3 Somente o IP 192.168.X.3; qualquer outra origem descarte.
Agora reinicie o Bind9:
Pgina 143
Linux Force
Servidor DNS
Arrumando o DHCP
Precisamos alterar a configurao do servidor DHCP para enviar o endereo dos

nossos servidores DNS para as estaes. Na mquina Datacenter faa:
root@datacenter :~ # vim / etc / dhcp / dhcpd . conf
2
3
option domain - name - servers 192.168. X .3 ,192.168. X .2;
Agora basta reinicializar o servio do DHCP:
root@datacenter :~ # service isc - dhcp - server restart
V na mquina Squeeze e rode os comandos abaixo:
root@squeeze :~ # dhclient -r ; dhclient eth0 -v
Com isto iremos atualizar nosso /etc/resolv.conf, apontando para o DNS localizado
na rede. Visualize o arquivo:
root@squeeze :~ # cat / etc / resolv . conf
domain dexter . com . br
search dexter . com . br
Pgina 144
Linux Force
nameserver 192.168. X .3
nameserver 192.168. X .2
Servidor DNS
Pgina 145
Captulo 8
Servidor Apache
Cenrio
A empresa DEXTER COURIER precisa de um site para divulgao de seus servios

e um ambiente de aprendizado online para treinamento de seus funcionrios. Este
ambiente dever ficar dentro da empresa, porm o acesso externo ser necessrio.
Ser montado o ambiente com um WebServer Apache, tendo suporte linguagem

de programao PHP e ao SGBD (Sistema gerenciador de Banco de Dados) MySQL
para acesso ao Moodle (ambiente de aprendizado online). Tambm iremos habilitar
SSL para os site, gerando um certificado digital. Aps a implementao, testes e
homologao, o firewall dever ser configurado para que os funcionrios possam
acessar o Moodle de fora da empresa.
Linux Force
Servidor Apache
O "Web Server"Apache um esforo comunitrio feito por desenvolvedores ao redor

do mundo, cujo objetivo consiste em desenvolver um servidor web de cdigo fonte
aberto, estvel e seguro. Em 1996, tornou-se um dos "Web Servers"mais populares
no mundo e desde ento, mantm sua posio como o servidor web com a maior
base instalada no mundo.
Segundo uma pesquisa feita pelo site "NetCraft"(www.netcraft.com), o Apache

est servindo, em mdia, mais de 50% dos sites pesquisados. Isso s foi possvel graas a uma srie de qualidades, das quais algumas sero listadas abaixo:
Software Livre, podendo ser estudado, modificado, adaptado e redistribudo;
suporta vrias linguagens, como "PHP", "Python", "Ruby", "Perl"e inclusive

"ASP"e ".NET"; sendo assim, ele multi plataforma;
possui suporte a vrias funcionalidades providas por mdulos;
pode trabalhar com multi "threads", isto , multi processos.
8.0.27 MPM PreFork e MPM Worker
A documentao oficial do projeto Apachempm indica que possvel escolher entre

algumas configuraes que ajudam a otimizar a performance ou manter a compatibilidade com aplicaes antigas, por exemplo. Vamos entender as particularidades
dos modos "PreFork"e "Worker".
Pgina 147
Linux Force
Servidor Apache
MPM Pre Fork
Neste modo, o Apache trabalhar com a implementao de multi processos, de

acordo com a estrutura clssica de um processo Unix, similar a verso 1.3 do Web
Server em questo.
Assim sendo, um nico processo ser responsvel por executar novos processos
que sero utilizados para aguardar novas conexes e responder as requisies existentes. Este modo ideal para quem precisa manter compatibilidade com aplicaes
e bibliotecas que NO SUPORTAM o modo "thread".
MPM Worker
No modo "MPM Worker", o Apache trabalhar com uma implementao mista de

processos e "threads", o que possibilita atender mais conexes simultneas com um
custo menor de hardware, j que "threads"so mais velozes que processos.
Neste modo, o apache mantm uma srie de "threads"ociosas, fazendo com que
novas conexes sejam processadas e respondidas de uma maneira mais rpida do
que no modo "Pre Fork". Infelizmente nem toda aplicao se d bem com "threads",
como o "PHP5", por exemplo.
8.0.28 Laboratrio
Visto que o servidor ir agregar tanto o site da Dexter como o Moodle no domnio
Mandark, e que ambos devero possuir acesso externo, faremos o ambiente na
mquina DMZ. Apenas o MySQL ficar na mquina Datacenter. Inicie ambas
as mquinas e vamos fazer a instalao do WebServer e SGBD, lembrando que
precisamos desabilitar a proteo contra execuo de arquivos no /tmp. Aps a
instalao, ative a proteo novamente. Execute na mquina DMZ:
Pgina 148
Linux Force
Servidor Apache
root@dmz :~ # aptitude install apache2 libapache2 - mod - php5 php5

php5 - curl php5 - gd php5 - intl php5 - xmlrpc php5 - mysql php - pear
Aps a instalao, abra um browser e digite:
http ://192.168. X .3
Pgina 149
Linux Force
Servidor Apache
8.0.29 Conhecendo a estrutura do Apache
No Debian, a localizao dos arquivos do Apache fica em /etc/apache2. Abaixo

um resumo da funo de cada um dos itens:
apache2.conf - Arquivo de configurao principal; httpd.conf - Compatibilidade

com o Apache 1; modules.conf - Arquivo de configurao de mdulos; ports.conf
- Arquivo de configurao de portas; sites-available/ - Configurao de VirtualHost
disponveis; sites-enabled/ - Configurao de VirtualHost ativos; mods-available/ Mdulos disponveis; mods-enabled/ - Mdulos habilitados; conf.d/ - Configuraes
extras, como ajustes de segurana (arquivo security) e charset (configuraes de
condificao).
Abra o arquivo de configurao para que possamos visualizar as principais opes

de configurao do Apache:
root@dmz :~ # vim / etc / apache2 / apache2 . conf \ textbf {}
A varivel "ServerRoot"define o local onde o Apache deve procurar por seus arquivos
de configurao. No exemplo abaixo, os arquivos de configurao sero procurados
em "/etc/apache2":
ServerRoot /etc/apache2
O usurio e grupo que executa o apache so definidos pelas variveis abaixo:
Pgina 150
Linux Force
Servidor Apache
User $APACHE_RUN_USERS Group $APACHE_RUN_GROUP
Caso seja encontrado algum erro durante o funcionamento do Apache, o mesmo

ser registrado de acordo com o desgnio da varivel "ErrorLog", como no exemplo
abaixo:
ErrorLog /var/log/apache2/error.log
E, ainda falando em logs, o Apache suporta a declarao de registros personalizados

atravs do uso da varivel "LogFormat":
LogFormat " \% h \% l \% u \% t \ " \% r \ " \% > s \% b \ " \% Refereri \ "

\" \% User - Agenti \ " " combined
Os logs, por padro, so armazenados no formato "combined", dentro do arquivo

"/var/log/apache2/access.log", com os seguintes itens:
\ textbf {\% h }
- " Hostname " ou endere o IP do visitante ;
\ textbf {\% l }
- H fen ;
\ textbf {\% u }
- Nome de usu rio , caso exista ;
\ textbf { \% t }
- Hor rio de acesso ;
\ textbf {\% r }
\ textbf {\% > s } - O resultado da solicita o ;
\ textbf {\% b }
- Requisi o solicitada ;
- O tamanho em bytes da resposta ;
\ textbf { Refereri }
\ textbf { User - Agenti } - O navegador do visitante , se informado .
- O site anterior a visita , se informado ;
Pgina 151
Linux Force
Servidor Apache
A prova pode perguntar sobre as variveis "ErrorLog", "CustomLog", "ServerRoot"e "DocumentRoot".
Ajustes dos mdulos Worker e PreFork
Ainda dentro do arquivo de configurao do apache, existem ajustes de performance

para os mdulos "MPM Worker"e "MPM Prefork". Por padro, o apache vem configurado para trabalhar em "MPM Worker", ento, vamos entender suas configuraes:
StartServers 2
- configura o n mero inicial de servidores ;
MaxClients 150
- o n mero m ximo de conex es simult neas ;
MinSpareThreads 25
- configura o valor m nimo de " threads " em
espera ;
4
MaxSpareThreads 75
- configura o valor m ximo de " threads " em
espera ;
5
ThreadsPerChild 25
- configura o n mero de threads inicializadas
por cada processo ;

6
MaxRequestsPerChild 0
- configura o valor m ximo por processo
O mdulo "PreFork" tambm possui ajustes similares ao mdulo "Worker":
1
2
StartServers 5
- configura o n mero inicial de servidores ;
MinSpareServers 5
- configura o valor m nimo de processos em
espera ;
3
MaxSpareServers 10
- configura o valor m ximo de processo em
espera ;
4
MaxClients 150
MaxRequestsPerChild 0
- n mero m ximo de conex es simult neas ;

- configura o valor m ximo por processo .
Pgina 152
Linux Force
Servidor Apache
8.0.30 Suporte a PHP

A linguagem de programao PHP uma das mais populares entre os desenvolvedores Web. Muitas ferramentas de "blogs", "WebSites"e tambm ferramentas web
para administrao de servios e servidores, como o "PhpLdapAdmin", necessitam
do "PHP5"configurado como pr requisito para instalao. Verifique se os mdulos
do PHP5 esto ativados:
root@dmz :~ # ls - lh / etc / apache2 / mods - enabled | grep php
lrwxrwxrwx 1 root root 27 Ago
3 20:21 php5 . conf ->
../ mods - available / php5 . conf

3
lrwxrwxrwx 1 root root 27 Ago
3 20:21 php5 . load ->
../ mods - available / php5 . load

4
root@dmz :~ # apache2ctl -M | grep php
Syntax OK
php5_module ( shared )
O PHP5 ativado por padro durante a instalao do mdulo, porm, caso necessrio, habilite o suporte manualmente:
root@dmz :~ # a2enmod php5
Se precisar descarregar um m dulo , use a sintaxe :
a2dismod <m dulo >
Na plataforma RedHat, a habilitao de mdulos feita utilizando o comando

system-config-http
Reinicie o servio do Apache:
Pgina 153
Linux Force
root@dmz :~ # service apache2 restart
Restarting web server : apache2 ... waiting .
Servidor Apache
Para testar o PHP, crie um arquivo com o nome "index.php"(no diretrio /var/www/)
com o contedo a seguir e abra no seu "browser":
root@dmz :~ # vim / var / www / index . php
<?
phpinfo ()
?>
Agora, acesse o browser e digite na URL o endereo do servidor Web e o arquivo

que acabou de criar:
http ://192.168. X .3/ index . php
Veja que a pgina exibida traz muitas informaes sobre o PHP:
Pgina 154
Linux Force
Servidor Apache
O arquivo "/etc/php5/apache2/php.ini", armazena as configuraes do funcionamento do "PHP5"com Apache2. A funo do arquivo e seu "path"completo podem
ser cobrados na LPI. O Apache2 e sua configurao esto na prova 202 - peso 3.
8.0.31 Arrumando os diretrios
Vamos criar a seguinte estrutura na mquina DMZ (192.168.X.3):
root@dmz :~ # mkdir -p / srv / www /{ dexter , mandark }
root@dmz :~ # ls - lh / srv / www /
Pgina 155
Linux Force
Servidor Apache
O que o Moodle?
Moodle um Sistema Open Source de Gerenciamento de Cursos - Course Management System (CMS), tambm conhecido como Learning Management System
(LMS) ou um Ambiente Virtual de Aprendizagem (AVA).
Tornou-se muito popular entre os educadores de todo o mundo como uma ferramenta
para criar sites de web dinmicos para seus alunos. Para funcionar, ele precisa ser
instalado em um servidor web com suporte a PHP e banco de dados MYSQL.
O link para o site http://moodle.org.
Baixe do servidor da sala de aula o pacote do Moodle chamado moodle.tgz e descompacte em /srv/www/mandark:
root@dmz :~ # tar xvzf moodle . tgz -C / srv / www / mandark
root@dmz :~ # mkdir -p / srv / www / mandark / moodledata
Crie o usurio webdesign para ter acesso via FTP ao nosso site e poder efetuar as
atualizaes:
root@dmz :~ # adduser webdesign
Agora vamos mudar as permisses de acesso:
root@dmz :~ # chown -R webdesign : webdesign / srv / www / dexter
root@dmz :~ # chown -R www - data : www - data / srv / www / mandark
root@dmz :~ # chmod -R 775 / srv / www / mandark
Pgina 156
Linux Force
Servidor Apache
Instalando o MySQL Server
Agora instale o MySQL Server na mquina Datacenter:
root@datacenter :~ # aptitude install mysql - server
Vamos criar a base de dados no MySQL para o Moodle:
root@datacenter :~ # mysql -u root -p
Enter password :
mysql >
Crie a data base moodle:
mysql > create database moodle ;
Query OK , 1 row affected (0.00 sec )
Altere a tabela para poder trabalhar com a codificao UTF-8:
mysql > alter database moodle default character set utf8 COLLATE
utf8_unicode_ci ;
Query OK , 1 row affected (0.04 sec )
D privilgios para o usurio moodleuser em localhost:
mysql > grant all privileges on moodle .* to moodleuser@ \%

identified by 123456 with grant option ;
Query OK , 0 rows affected (0.03 sec )
Pgina 157
Linux Force
Servidor Apache
> PRESTE ATENO <

Caso haja algum problema e voc deseje remover os privilgios do usurio na
base de dados, execute:
mysql > revoke all privileges , grant option from moodleuser ;
Verifique se a base est criada e depois saia:
mysql > show databases ;
+ - - - - - - - - - - - - - - - - - - - -+
| Database
+ - - - - - - - - - - - - - - - - - - - -+
| information_schema |
| moodle
| mysql
+ - - - - - - - - - - - - - - - - - - - -+
3 rows in set (0.00 sec )
COMENTE a linha 47 do arquivo /etc/mysql/my.cnf:
root@datacenter :~ # vim / etc / mysql / my . cnf
# bind - address
= 0.0.0.0
Reinicie o servio do mysql:
root@datacenter :~ # service mysql restart
Stopping MySQL database server : mysqld .
Starting MySQL database server : mysqld .
Checking for corrupt , not cleanly closed and upgrade needing

tables ..
Pgina 158
Linux Force
Servidor Apache
8.0.32 Configurando o php.ini

Vamos voltar para a mquina DMZ e configurar o arquivo php.ini:
root@dmz :~ # vim / etc / php5 / apache2 / php . ini
post_max_size = 16 M
upload_max_filesize = 100 M
# ##### Acrescente no final do arquivo :
extension = mysql . so
extension = gd . so
# linha 728 = > alterar

# linha 879 = > alterar
8.0.33 VirtualHost?
O que um VirtualHost? uma funcionalidade que permite ao seu WebServer responder por um ou mais sites em um mesmo IP, o que possibilita acessar servios e
pginas diferentes em um mesmo servidor, apenas apontando a entrada DNS correta nos arquivos de configurao. Qual a desvantagem nisso? No se pode ter um
volume muito grande de sites, pois os recursos como hardware e banda so limitados!
Os domnios virtuais devem ser configurados nestes dois diretrios:
/etc/apache2/sites-available: configurao dos domnios virtuais;
/etc/apache2/sites-enabled: domnios virtuais ativos (links simblicos para os arquivos de configurao localizados no diretrio citado anteriormente).
8.0.34 Criando Virtualhost para nossos domnios

Vamos configurar o Virtualhost do domnio dexter.com.br:
Pgina 159
Linux Force
Servidor Apache
root@dmz :~ # vim / etc / apache2 / sites - available / dexter . com . br
< VirtualHost *:80 >
DocumentRoot / srv / www / dexter /
ServerName www . dexter . com . br
ServerAdmin root@dexter . com . br
ErrorLog / var / log / apache2 / dexter - error . log
CustomLog / var / log / apache2 / dexter - access . log common
</ VirtualHost >
Agora vamos configurar o Virtualhost do domnio mandark.com.br:
root@dmz :~ # vim / etc / apache2 / sites - available / mandark . com . br
DocumentRoot / srv / www / mandark / moodle /
ServerName www . mandark . com . br
ServerAdmin root@mandark . com . br
ErrorLog / var / log / apache2 / mandark - error . log
CustomLog / var / log / apache2 / mandark - access . log common
</ VirtualHost >
A prova de certificao pode cobrar o uso de parmetros, como "ErrorLog"e

sua funo.
Finalmente temos que ativar os dois sites no Apache para que eles possam subir
quando digitarmos seu domnio na URL:
root@dmz :~ # a2ensite dexter . com . br
Enabling site dexter . com . br .
Run / etc / init . d / apache2 reload to activate new configuration !
root@dmz :~ # a2ensite mandark . com . br
Pgina 160
Linux Force
Servidor Apache
Enabling site mandark . com . br .
Run / etc / init . d / apache2 reload to activate new configuration !
8.0.35 Fechando brechas de segurana
Antes de reforarmos a segurana do servidor , vamos executar o nmap:
root@dmz :~ # nmap - sV localhost
80/ tcp open
http
Apache httpd 2.2.16 (( Debian ) )
Agora abra o arquivo /etc/apache2/conf.d/security e modifique as configuraes

para que o Apache mostre a menor quantidade possvel de informaes ao usurio
ou pior ainda, um atacante!
root@dmz :~ # vim / etc / apache2 / conf . d / security
ServerTokens Prod
ServerSignature Off
TraceEnable Off
As opes do ServerTokens so: (em negrito a melhor opo) ServerTokens Prod

- Revela somente o nome do produto;
Pgina 161
Linux Force
Servidor Apache
O parmetro ServerSignature utilizado para ativar/desativar as mensagens de

informaes do servidor. J o parmetro TraceEnable usado para realizar testes
e diagnsticos.
Execute o nmap para vermos o que aparecer aps as modificaes:
root@dmz :~ # nmap - sV localhost
80/ tcp open
http
Apache httpd
Vamos testar a configurao do Apache.
Pgina 162
Linux Force
Servidor Apache
root@dmz :~ #
...
apache2ctl -S
port 80 namevhost www . dexter . com . br
(/ etc / apache2 / sites - enabled / dexter . com . br :1)

port 80 namevhost www . mandark . com . br
(/ etc / apache2 / sites - enabled / mandark . com . br :1)

5
Syntax OK
8.0.36 Configurando o Moodle
Vamos configurar o Moodle, que dever ser acessado atravs do browser: No Navegador, digite:
http://www.mandark.com.br
Ir abrir a tela de instalao e configurao do Moodle. Preste ateno para no

cometer erros, ok! Escolha o idioma Portugus.
Pgina 163
Linux Force
Servidor Apache
Confirme o diretrio (j criado) para os dados do Moodle.
Pgina 164
Linux Force
Servidor Apache
Pacote de idioma portugus no encontrado, pegue no servidor!
Pgina 165
Linux Force
Servidor Apache
Escolha o driver MySQL para acesso base de dados!
Pgina 166
Linux Force
Servidor Apache
Configurao de acesso base SQL.
Pgina 167
Linux Force
Servidor Apache
Conexo ao banco OK! Termo de licena para aceite.
Pgina 168
Linux Force
Servidor Apache
Checagem de requisitos para o servidor OK!
Pgina 169
Linux Force
Servidor Apache
Instalao do sistema.
Pgina 170
Linux Force
Servidor Apache
Instalao do sistema concluda.
Pgina 171
Linux Force
Servidor Apache
Configurao do administrador, senha, e-mail e localizao.
Pgina 172
Linux Force
Servidor Apache
Configurao do nome do Ambiente e mensagem de apresentao.
Pgina 173
Linux Force
Servidor Apache
Tela de apresentao do Ambiente Moodle.
Pgina 174
Linux Force
Servidor Apache
Tela de login do Moodle aps a instalao!
Pgina 175
Linux Force
Servidor Apache
8.0.37 Disponibilizando o site da Dexter Courier
Baixe do servidor o arquivo contendo o site da Dexter e depois descompacte-o:
root@dmz :~ # tar xzvf site . dextercourier . tar . gz -C / srv / www /
Pgina 176
Linux Force
Servidor Apache
8.0.38 Ativando o SSL

SSL (Secure Socket Layer) o protocolo que encripta toda a transmisso entre o cliente e um servidor, indicado para criar pginas seguras. Sites de comrcio eletrnico
utilizam essa camada de segurana, portanto o SSL um padro Web que permite
trafegar dados sensveis e confidenciais com segurana atravs da internet.
O protocolo HTTPS utilizado tambm em bancos e empresas que utilizam autenticao com criptografia, dependendo da configurao do SSL, bem como a criao
de chaves e certificados.
O que um certificado digital?
Um certificado digital um arquivo que contm um conjunto de informaes referentes a entidade para o qual o certificado foi emitido, seja uma empresa, pessoa fsica
ou computador, mais a chave pblica referente chave privada que acredita-se ser
de posse unicamente da entidade especificada no certificado.
As assinaturas contidas em um certificado so atestamentos feitos por uma entidade
que diz confiar nos dados contidos naquele certificado.
Gerando o site seguro da Dexter
Para instalar e configurar as chaves e o certificado, execute:
root@dmz :~ # aptitude install openssl
root@dmz :~ # a2enmod ssl
Enabling module ssl .
See / usr / share / doc / apache2 .2 - common / README . Debian . gz on how to

configure SSL and create self - signed certificates .
Run / etc / init . d / apache2 restart to activate new configuration !
Pgina 177
Linux Force
Servidor Apache
Veja que o mdulo SSL est habilitado para ouvir na porta 443:
root@dmz :~ # vim / etc / apache2 / ports . conf
< IfModule mod_ssl .c >
3
4
Listen 443
</ IfModule >
Agora crie a chave que ser usada para assinar o certificado:
root@dmz :~ # openssl genrsa - out / etc / ssl / dexter . key 1024
Generating RSA private key , 1024 bit long modulus
3
4
e is 65537 (0 x10001 )
Com a chave em mos, crie o certificado para a Dexter, preenchendo os campos

conforme forem pedidos:
1
2
root@dmz :~ # openssl req - new - key / etc / ssl / dexter . key - out \
/ etc / ssl / dexter . csr
3
4
Country Name (2 letter code ) [ AU ]: BR
State or Province Name ( full name ) [ Some - State ]: S o Paulo
Locality Name ( eg , city ) []: S o Paulo
Organization Name ( eg , company ) [ Internet Widgits Pty Ltd ]: Dexter

Courier
Organizational Unit Name ( eg , section ) []: Depto . TI
Pgina 178
Linux Force
Servidor Apache
Common Name ( eg , YOUR name ) []: Admin
10
Email Address []: root@dexter . com . br
11
Please enter the following extra attributes to be sent with your

certificate request
12
A challenge password []:
13
An optional company name []:
Depois de criar o certificado, voc poder envi-lo a uma unidade certificadora, por
exemplo a Serasa Experian, VeriSign, CertSign, ACBR, Serpro, entre outras, que
o assinar por um valor anual. Voc tem a opo de auto assinar seu o certificado,
lembrando que, neste caso, o cliente dir que o certificado no foi reconhecido por
uma unidade certificadora!
Para assinar seu certificado, execute o comando abaixo:
1
2
root@dmz :~ # openssl x509 - req - days 365 - in / etc / ssl / dexter . csr \
- signkey / etc / ssl / dexter . key - out / etc / ssl / dexter . crt
Signature ok
subject =/ C = BR / ST = S \ xC3 \ xA3o Paulo / L = S \ xC3 \ xA3o Paulo / O = Dexter

Courier / OU = Depto . TI / CN = Admin / emailAddress = root@dexter . com . br
Getting Private key
Agora basta adicionar a configurao do certificado digital no final do arquivo referente ao nosso domnio.
root@dmz :~ # vim / etc / apache2 / sites - available / dexter . com . br
2
3
DocumentRoot / srv / www / dexter /
ServerName www . dexter . com . br
ErrorLog / var / log / apache2 / dexter - error . log
CustomLog / var / log / apache2 / dexter - access . log common
SSLEngine on
SSLCertificateFile / etc / ssl / dexter . crt
Pgina 179
Linux Force
Servidor Apache
10
SSLCertificateKeyFile / etc / ssl / dexter . key
11
RewriteEngine On
12
RewriteCond \%{ SERVER_PORT } 80
13
RewriteRule ^(.*) \ $ https :// www . dexter . com . br /\ $1 [R , L ]
14
</ VirtualHost >
Explicando:
RewriteEngine
- Ativa o modo rewrite .
2
3
RewwriteCond
- For a https para voc poder usar com seguran a a
autentica o HTTP no diret rio .

4
5
RewriteRule
- Estamos aplicando uma express o regular onde
qualquer palavra escrita ap s

apagada e que nosso
Isso muito
sub -
" http :// www . dexter . com . br / " seja
web server redirecione devolta para o " / " .
til quando n o queremos ningu m vasculhando os
diret rios de nosso dom nio . Al m de for ar o uso do
https .
Sobre a linha ( RewriteRUle ^ (.*) $ https :// www . dexter . com . br / $

[R ,L] )
As letras dentro dos colchetes significam respectivamente: [R] reescrever a URL e

redirecionar, [NC] case insensitive e [L] aplica somente uma vez a cada tentativa,
isso evita que a regra entre em loop infinito.
Ative o mod_rewrite para que, toda vez que algum acessar seu site, seja automaticamente redirecionado para o site com HTTPS ativado:
root@dmz :~ # a2enmod rewrite
Enabling module rewrite .
Pgina 180
Linux Force
Servidor Apache
Run / etc / init . d / apache2 restart to activate new configuration !
E finalmente reinicie o Apache:
Aps a preparao do SSL, abra o site e verifique o https e o certificado digital.
http://www.dexter.com.br
Pgina 181
Linux Force
Servidor Apache
Clique em Adicionar exceo.
Clique em Obter Certificado, depois deve ticar a opo Salvar esta exceo permanentemente e por ltimo em Confirmar exceo de segurana.
Pgina 182
Linux Force
Servidor Apache
Pgina 183
Captulo 9
Servidor FTP
9.0.39 Cenrio
Como a empresa DEXTER COURIER muito dinmica, precisa estar atualizada e
em sintonia com seus clientes, por isto o site o melhor canal de comunicao! A fim
de agilizar tais procedimentos, precisa de uma conexo diretamente no servidor Apache, a fim de que o WebDesigner possar subir os arquivos do site www.dexter.com.br.
Alm disto, ele no poder fazer mais nada no servidor!

A implementao de um servidor FTP ir suprir a necessidade da empresa Dexter,
pois faremos o WebDesigner acessar diretamente o diretrio do site, alm de bloquearmos o acesso aos demais diretrios do sistema com proteo chroot.

O FTP (File Transfer Protocol) um protocolo simples para transferncia de arquivos. O cliente "FTP"faz uma solicitao ao servidor "FTP", a seo estabelecida e
Linux Force
Servidor FTP
ento solicitado um usurio e senha vlidos no caso de um "FTP"autenticado, ou,

caso este servidor permita navegao annima, basta entrar com o usurio "anonymous" e uma senha qualquer.
Em relao ao modo de conexo do servidor FTP, ele pode atuar como servidor
ativo ou passivo. No modo ativo, os comandos so enviados por uma porta alta
(acima de 1024) pelo cliente e so recebidas pela porta 21 no servidor, enquanto
que os dados so transmitidos pelo servidor ao cliente atravs da porta 20.
Qual a desvantagem do motivo ativo?
Neste modo, um firewall mal configurado pode dar uma falsa sensao de funcionamento do FTP, pois a conexo e os comandos FTP funcionaro normalmente, porm,
na hora da transferncia de arquivos, ocorrer uma falha de desconexo ou time out,
dependendo do tipo de servidor.
J no modo passivo, os comandos tambm so enviados para o servidor atravs

de uma porta alta pelo cliente e so recebidas na porta 21 do servidor. Neste momento, o cliente avisa ao servidor que ele deve utilizar o modo passivo atravs do
comando "PASV", e ento os dados sero enviados utilizando portas altas tanto
pelo cliente quando pelo servidor. Neste caso, no temos mais problemas com o
"Firewall"no lado do cliente, porm, temos que habilitar a utilizao de portas altas
no servidor, o que pode gerar outros problemas. Felizmente, na configurao do
servidor "FTP"podemos especificar o "range"de portas que o servidor deve utilizar,
minimizando assim o problema no lado do servidor.
Modo Ativo
Pgina 185
Linux Force
Servidor FTP
Modo Passivo
O VSFTPD (Very Secure File Transfer Protocol Daemon) a escolha de empresas como RedHat, IBM e Novell (SUSE Linux) quando o assunto servidor FTP
confivel e seguro. Inclusive o projeto "OpenBSD"utiliza o "VSFTPD"como servidor
Pgina 186
Linux Force
Servidor FTP
"FTP"padro da distribuio. Logo, podemos considerar este software como bem

qualificado em termos de segurana de cdigo. Apesar de alguns Administradores
apontarem o "VSFTPD"como carente em termos de documentao, todos os seus
parmetros podem ser encontrados em sua "man page", o que facilita o processo de
configurao.
Alm do "VSFTPD", existem outros programas de Servidor FTP, para Gnu/Linux, como "proftpd"e o "wu-ftpd", que no sero abordados neste treinamento.
Sobre segurana: um dos principais problemas do "FTP" que a maioria dos

servidores no implementa criptografia, ento, caso voc deseje um ambiente seguro com "FTP", necessrio a implementao de criptografia, como "OpenSSL"ou
"TLS".
Para logar num servidor FTP, temos duas maneiras:

Tradicional: o servidor aceita conexes por meio de um usurio e senha vlidos,
liberando desta forma um prompt de comandos ou mesmo a interface grfica;
Anonymous: o Servidor FTP com anonymous muito utilizado na Internet pelo
motivo de no ser necessrio ter um usurio no servidor. Desta forma, o usurio pode
abrir um browser e chamar o endereo ftp://ftp.servidor.com.br para ter acesso
ao diretrio disponibilizado pelo servio. Geralmente esse diretrio o home do
usurio FTP, sendo no Debian em /home/ftp .
No nosso servidor FTP vamos desativar o modo Anonymous, pois ele ser usado
apenas pelo webdesigner pode fazer upload dos arquivos da empresa DEXTER. O
usurio root no poder fazer acesso ao servidor FTP. Para esta configurao, iremos
utilizar a mquina DMZ.
Pgina 187
Linux Force
Servidor FTP
Recapitulando... A plataforma RedHat utiliza o "vsftpd"por padro.
9.0.42 Laboratrio
Para instalar o vsftpd, primeiro permita a execuo de binrio na partio /tmp, depois
instale o pacote e efetue o bloqueio novamente:
root@dmz :~ # aptitude install vsftpd
Aps instalar, vamos abrir o arquivo de configurao /etc/vsftpd.conf e ento

alterar alguns parmtros
root@dmz :~ # vim / etc / vsftpd . conf
Localize as configuraes que seguem abaixo e altere as que esto em negrito:
# ## Permite que o VSFTPD funcione em modo daemon
listen = Yes
## Permite a utiliza o do FTP com o usu rio anonymous
anonymous_enable = No
## Habilitar a vari vel que permite que os usu rios do sistema

possam ## usar o servidor FTP :
local_enable = Yes
## Vari vel que permite o upload para os usu rios :
write_enable = Yes
## Permite a exibi o de mensagens aos usu rios
10
dirmessage_enable = Yes
11
## Ativa os logs para downloads e uploads
Pgina 188
Linux Force
Servidor FTP
12
xferlog_enable = Yes
13
## Utiliza a porta FTP - DATA para transfer ncia de arquivos ( vamos

usar ## FTP Passivo )
14
connect_from_port_20 = No
15
## Definindo timeout para sess o e conex o de dados em 2 minutos

(120 ## segundos )
16
idle_session_timeout =120
17
data_connection_timeout =120
18
## No permitir que o usu rio veja arquivos que n o sejam seus
19
chroot_local_users = YES
As opes "anonymous_enable"e "xferlog_enable"podem cair na prova LPI.
Lembre-se que adicionamos o usurio webdesign na aula de Apache. O diretrio

onde ele ter permisso para fazer upload e download de arquivos ser:
/ srv / www / dexter
Confirme as permisses, dono e grupo deste diretrio e...
root@dmz :~ # ls - ld / srv / www / dexter
drwxr -xr - x 5 webdesign webdesign 4 ,0 K Ago
5 20:13 / srv / www / dexter
. . . caso no estejam configuradas, realize as alteraes abaixo:
root@dmz :~ # chown -R webdesign : webdesign / srv / www / dexter /
root@dmz :~ # chmod -R 775 / srv / www / dexter /
root@dmz :~ # ls - ld / srv / www / dexter /
drwxrwxr - x 5 webdesign webdesign 4 ,0 K Ago
root@dmz :~ # usermod -d / srv / www / dexter webdesign
5 20:13 / srv / www / dexter
Pgina 189
Linux Force
root@dmz :~ # grep web / etc / passwd
webdesign : x :1002:1003: , , ,:/ srv / www / dexter :/ bin / bash
Servidor FTP
Com isso mudamos a permisso de acesso ao diretrio e o diretrio padro do usurio webdesign. Tambm devemos verificar se o usurio root est bloqueado para
acessar o FTP:
1
2
root@dmz :~ # grep root / etc / ftpusers

root
Caso voc queira bloquear mais algum usurio para que ele no acesse o servidor
FTP, coloque o nome dele no arquivo! Crie o arquivo /srv/www/dexter/.message e
coloque a mensagem abaixo:
1
2
root@dmz :~ # vim / srv / www / dexter /. message
============================================================
## Este sistema para uso exclusivo da empresa DEXTER .
## Todas as atividades ser o registradas .
## vetada a utiliza o deste sistema para transfer ncia de
## arquivos protegidos por qualquer lei de direito autoral
## ou arquivos que infrinjam a legisla o vigente .
============================================================
Aps escrever a mensagem, salve o arquivo e reinicie o servio FTP:
root@dmz :~ # service vsftpd restart
Stopping FTP server : vsftpd .
Starting FTP server : vsftpd .
Verifique em qual porta o servidor "FTP"est escutando:
Pgina 190
Linux Force
Servidor FTP
root@dmz :~ # netstat - ltupan
tcp
0 0.0.0.0:21
0.0.0.0:*
OU A
992/ vsftpd
Agora vamos fazer alguns testes de acesso ao FTP, mas antes instale os clientes
FTP, tanto para o modo texto como para o grfico. Execute na mquina Squeeze:
root@squeeze :~ # aptitude install ftp
Concluda a instalao, acesso o FTP pelo modo texto:
root@squeeze :~ # ftp ftp . dexter . com . br
Connected to www . dexter . com . br .
220 ( vsFTPd 2.3.2)
Name ( ftp . dexter . com . br : root ) : webdesign
331 Please specify the password .
Password :
230 -============================================================
230 - ## Este sistema para uso exclusivo da empresa DEXTER .
230 - ## Todas as atividades ser o registradas .
10
230 - ## vetada a utiliza o deste sistema para transfer ncia de
11
230 - ## arquivos protegidos por qualquer lei de direito autoral
12
230 - ## ou arquivos que infrinjam a legisla o vigente .
13
230 -============================================================
14
230 Login successful .
15
Remote system type is UNIX .
16
Using binary mode to transfer files .
17
ftp >
Pgina 191
Linux Force
Servidor FTP
9.0.43 Comandos em modo texto do FTP

Os servidores de "FTP"muito raramente mudam, mas novos programas clientes "FTP"aparecem
com bastante regularidade. Estes clientes variam no nmero de comandos que implementam. A maioria dos clientes "FTP"comerciais implementam apenas um pequeno subgrupo desses comandos. Mesmo que o "FTP"seja um protocolo orientado
linha de comandos, a nova gerao dos clientes "FTP"esconde esta orientao
num ambiente grfico muitas vezes bastante desenvolvido.
As interfaces clientes do "FTP"do "BSD UNIX"e do GNU/Linux possuem muitos comandos, alguns deles arcaicos e sem utilidade hoje em dia, como por exemplo o
"tenex"e o "carriage control".
Os comandos listados abaixo podem ser cobrados na prova de certificao.
Abaixo esto listados alguns dos mais utilizados comandos "FTP":
## Para saber em qual diret rio se encontra :
ftp > pwd
## Para saber em qual diret rio se encontra ( lado cliente ) :
ftp > ! pwd
## Para trocar de diret rios dentro do servidor :
ftp > cd < diret rio >
## Para voltar um diret rio :
ftp > cd ..
## Para listar o conte do do diret rio atual :
10
ftp > ls
11
## Para listar os diret rios locais ( lado cliente ) :
12
ftp > ! ls
13
## Para mudar de diret rio na m quina cliente :
14
ftp > lcd < diret rio >
15
## Para realizar o download de um arquivo :
16
ftp > get < arquivo >
Pgina 192
Linux Force
Servidor FTP
17
## Para realizar m ltiplos downloads :
18
ftp > mget *
19
## Para realizar o upload de um arquivo :
20
ftp > put < arquivo >
21
## Para realizar m ltiplos uploads :
22
ftp > mput *
23
## Para uma lista completa de comandos :
24
ftp > help
Para verificar os logs do ftp, execute:
root@dmz :~ # cat / var / log / vsftpd . log
Tue Aug
9 22:35:50 2011 [ pid 2] CONNECT : Client " 192.168. X .10 "
Tue Aug
9 22:35:56 2011 [ pid 1] [ webdesign ] OK LOGIN : Client
" 192.168. X .10 "

4
Tue Aug
9 22:36:12 2011 [ pid 3] [ webdesign ] OK DOWNLOAD : Client
" 192.168. X .10 " , " / index . php " , 4621 bytes , 282.04 Kbyte / sec
9.0.44 Cliente grfico para FTP

Podemos acessar um FTP a partir da interface grfica. Um dos principais clientes
FTP o Filezilla (http://filezilla-project.org), que possui verso para GNU/Linux, Windows e Mac OS. Para instalar no GNU/Linux basta digitarmos na mquina Squeeze:
root@dmz :~ # aptitude install filezilla
Para abrir o aplicativo, v em Aplicativos -> Internet -> Filezilla. Na tela que abrir,
entre com os seguintes dados:
Pgina 193
Linux Force
Servidor FTP
Host :
ftp . dexter . com . br
Usu rio :
Senha :
123456
Porta :
21
webdesign
Ser estabelecida a conexo e nosso Webdesign poder atualizar o site!
Pgina 194
Captulo 10
Servidor Postfix
10.0.45 Cenrio
Hoje em dia muito raro uma empresa no possuir uma conta de e-mail! A comunicao proporcionada por esta ferramenta muito abrangente, por isso a empresa
DEXTER COURIER precisa que cada colaborador tenha seu e-mail. Como ela no
tem interesse em pagar um plano de hospedagem e deixar seu servidor de e-mail
nas mos sabe-se l de quem, quer que ele ele seja instalado e configurado dentro
de seu DataCenter. Alm disto, precisa de segurana na autenticao dos usurios
e uso de protocolo seguro em relao aos e-mails que sua equipe ir utilizar.
Para suprir a necessidade da empresa Dexter, iremos montar na mquina DMZ o

MTA (servidor de e-mail) Postfix, alm de configurar as contas de e-mail nos clientes
e disponibilizar um Webmail para acesso externo. Tambm teremos algumas contas
alias para no sobrecarregar o usurio com muitas contas. Alm disto faremos com
que todos os usurios tenham autenticao no servidor por meio de TLS.
Linux Force
Servidor Postfix

O que um MTA?
Mail Transport Agent (MTA) o servidor de e-mails propriamente dito. a parte
mais importante de um sistema de correio. Ele o responsvel pelo recebimento das
mensagens e assegurar que essas mensagens cheguem ao seus destinos. Temos
como exemplos de MTA: o Exim (padro do Debian) , Sendmail (padro do Red Hat)
, Qmail , Postfix e o Microsoft Exchange (proprietrio) .
O que um MUA?
Mail User Agent (MUA) o nome designado para o programa cliente de e-mail.
Podemos citar como exemplos o Thunderbird , Evolution e o Microsoft Outlook
O que um MDA?
Mail Delivery Agente (MDA) um intermedirio entre o MTA e o MUA. Ele usado
para aplicar filtros antispam, remover vrus em anexos e fazer encaminhamento de
e-mails para outros endereos. Exemplos de MDA: Procmail, Fetchmail, Binmail,
Dovecot, Maildrop, Postdrop etc.
O que o SMTP?
SMTP (Simple Mail Transfer Protocol) um protocolo baseado em linhas de comando executado sobre o protocolo TCP, cujo objetivo transmitir mensagens de
e-mail dentre dois computadores. A porta utilizada pelo protocolo SMTP a 25.
10.0.48 Introduo ao Postfix

Na dcada de 70, as primeiras mensagens eram enviadas pela "ARPAnet", antecessora da atual Internet. A troca de mensagens era feita em sua maioria por estudantes, pesquisadores e profissionais dos grandes centros de pesquisa, restrita
Pgina 196
Linux Force
Servidor Postfix
a poucos usurios que tinham acesso a essa rede. As mensagens eram enviadas
atravs de um protocolo semelhante ao atual "SMTP", que foi definido apenas em
1982.
O "Sendmail"era o servidor de correios mais utilizado na dcada de 90, causando
amor e dio aos administradores de sistema. Causava amor queles que tinham
tempo de ler, estudar e compreender o seu funcionamento complexo e cheio de
macros. dio para aqueles que precisavam apenas rotear suas mensagens e no
havia necessidade de perder horas e mais horas tentando compreender seu funcionamento. A sua forma monoltica tambm era um grande ponto negativo. Sendo
apenas um nico processo controlando todas as etapas de transmisso de e-mail,
o "Sendmail"apresentava inmeras falhas de segurana, de maior risco quando executado em modo root. Muitos servidores eram invadidos por crackers e naturalmente
os administradores de sistema procuravam alternativas.
Na poca no existia muitas alternativas, portanto os administradores continuavam a
utilizar o "Sendmail". Em 1998 as primeiras verses do "Postfix"comearam a surgir.
Wietse Venema seu criador e possui inmeros trabalhos relacionados segurana
da informao. Wietse pesquisador da IBM e Ph.D em fsica at hoje. Escrito em
linguagem C, a primeira verso oficial do "Postfix", como Software Livre, foi lanada
em Dezembro de 1998.
10.0.49 Caractersticas do Postfix

Sistema multitarefa - O "Postfix"possui um conjunto de mdulos que desempenham um papel especfico para cada etapa do trfego de e-mails, este comportamento permite melhor desempenho em equipamentos multiprocessados.
Separao de privilgios - O "Postfix"pode ser executado em "chroot"que restringe o acesso a arquivos internos uma "jaula", tornando sua execuo muito
mais segura..
Modular - possvel criar mdulos para trabalhar em conjunto com o "Postfix",
Pgina 197
Linux Force
Servidor Postfix
tornando-o facilmente extensvel.

Compatibilidade - O "Postfix"foi desenvolvido para suportar os formatos de
armazenamentos de mensagens existentes.
Os arquivos de configurao do "Postfix", podem ser encontrados no diretrio "/etc/postfix", onde os seus principais arquivos so:
main.cf - Arquivo principal do "Postfix"onde ficam todas as configuraes principais
relacionadas ao funcionamento do "Postfix".
master.cf - o arquivo que controla a ao de cada "daemon"do "Postfix". Nele
podemos dizer quantos processos "smtpd"estaro em execuo, por exemplo. Caso
tenhamos uma estrutura grande de mquina, uma ajuste nesses "daemons"sero
bem compensadores em termos de performance.
http://www.prefirolinux.com/forum/viewtopic.php?f=2&t=12
10.0.50 Laboratrio
Na mquina DMZ, execute:
root@dmz :~ # aptitude install postfix procmail
Os pacotes a seguir possuem depend ncias n o satisfeitas :
exim4 - config : Conflita : postfix mas 2.7.1 -1+ squeeze1 ser

instalado .
postfix : Conflita : mail - transport - agent o qual um pacote

virtual .
exim4 - daemon - light : Conflita : mail - transport - agent o qual um

pacote virtual .
As seguintes a es resolver o estas depend ncias :
Pgina 198
Linux Force
Servidor Postfix
Remover os pacotes a seguir :
7
8
1)
exim4
2)
exim4 - base
10
3)
exim4 - config
11
4)
exim4 - daemon - light
12
Aceitar esta solu o ? [ Y / n / q /?] Y \ textbf {}
13
14
Os NOVOS pacotes a seguir ser o instalados :
15
postfix python { a } python - minimal { a } python2 .6{ a }

python2 .6 - minimal { a } procmail
16
17
18
Os pacotes a seguir ser o REMOVIDOS :

exim4 {a } exim4 - base { a } exim4 - config { a } exim4 - daemon - light { a }
0 pacotes atualizados , 5 novos instalados , 4 a serem removidos e 32
no atualizados .
19
preciso obter 5341 kB de arquivos . Depois do desempacotamento ,

14 ,3 MB ser o usados .
20
Voc deseja continuar ? [ Y / n /?] Y
Aceite remover os pacotes do exim4 para continuar com a instalao. Ir surgir a tela
abaixo, ento selecione Site Internet.
Pgina 199
Linux Force
Servidor Postfix
Depois, na tela abaixo, digite o domnio da Dexter dexter.com.br
No Debian, quando instalarmos o "Postfix", ele automaticamente remove o

servidor padro que o "Exim4".
Sobre o formato da caixa de correio, temos:

MailBox ou Mbox - o formato padro para caixa de correio do Postfix. Este formato
armazena todas as mensagens em um nico arquivo de texto. Esses arquivos so
Pgina 200
Linux Force
Servidor Postfix
nomeados de acordo com o nome do usurio e armazenados em geral em /var/mail

ou /var/spool/mail.
Desvantagens:
Encarece a excluso de mensagens (requer regravao no arquivo inteiro, exceto se a mensagem a ser excluda for a ltima);
O arquivo que guarda a mensagem pode se corromper caso softwares em

diferentes m quinas o usem ao mesmo tempo ( concorrentemente ) ;
MailDir - usa diretrios e um arquivo por mensagem. A excluso de mensagens

sempre muito rpida.
Desvantagem:
O tempo para varrer a caixa de correio e produzir uma lista de mensagens
maior, pois todos os arquivos devem ser abertos e lidos.
Vamos passar agora para o arquivo de configurao. Edite-o e deixe assim:
root@dmz :~ # vim / etc / postfix / main . cf
## Banner que ser mostrado nas conex es . importante mudar .
smtpd_banner = MTA da Dexter - Servidor $myhostname
## Modificar o dom nio caso o MUA n o fizer corretamente , mas
## deixamos ativado , pois isso trabalho do pr prio MUA .
append_dot_mydomain = yes
## Nessa op o , precisamos colocar o hostname da m quina e o
## dom nio que conhecido como FQDN .
myhostname = dmz
10
## Arquivos onde s o configurados os alias de e - mails .
11
alias_maps = hash :/ etc / aliases
12
alias_database = hash :/ etc / aliases
Pgina 201
Linux Force
Servidor Postfix
13
## Define a origem local , que por padr o o mesmo FQDN que est em
14
## / etc / mailname .
15
myorigin = dexter . com . br
16
## Dom nios que o seu servidor pode receber mensagens .
17
mydestination = dexter . com . br , smtp . dexter . com . br ,

mail . dexter . com . br , webmail . dexter . com . br , pop . dexter . com . br ,
imap . dexter . com . br , localhost
18
## Essa op o s usada se o seu servidor faz Relay para outros
19
## servidores de e - mail .
20
relayhost =
21
## Nesse campo deveremos colocar apenas os IP s que podem realmente
22
## fazer relay em seu servidor . CUIDADO , se adicionarmos IP s ou
23
## classes demais , o servidor poder virar alvo de spammers .
24
mynetworks = 127.0.0.0/8
25
## Padr o de entrega das mensagens . Nesse caso usado o mbox .
26
mailbox_command = procmail -a " $EXTENSION "
27
## Tamanho m ximo de caixa - postal para entrega local
28
mailbox_size_limit = 0
29
## Interfaces de rede na qual o Postfix pode fazer bind , ou seja ,
30
## estabelecer conex es . O padr o do Debian seria todas as
192.168. X .0/24
interfaces .
31
inet_interfaces = all
32
## Tamanho m ximo da mensagem
33
message_size_limit = 25000000
34
## Em alguns clientes , podemos adicionar um sinal espacial ao

endere o
35
## de e - mail para direcionar mensagens a uma determinada pasta
36
recipient_delimiter = +
Agora vamos reiniciar o Postfix:
root@dmz :~ # service postfix restart
Stopping Postfix Mail Transport Agent : postfix .
Starting Postfix Mail Transport Agent : postfix .
Pgina 202
Linux Force
Servidor Postfix
Veja se a porta 25 (smtp) est pronta para receber conexes:
root@dmz :~ # netstat - nltup | grep master
tcp
0 0.0.0.0:25
0.0.0.0:*
OU A
2085/ master
Agora que temos o servidor ativado, devemos criar os usurios que usaro os servios de correio eletrnico. Para isso, utilize um script com base na lista utilizada na
criao dos usurios do Samba:
root@dmz :~ # vim postfix - users . sh
# !/ bin / bash
aptitude install whois -y
5
6
useradd -g users -m -p $ ( mkpasswd 123456) -s / bin / false $lista

done
Aps a incluso dos usurios, vamos realizar alguns testes usando o telnet:
root@dmz :~ # aptitude install telnet -y
root@dmz :~ # telnet mail . dexter . com . br 25
Trying 192.168. X .3...
Connected to mail . dexter . com . br .
Escape character is ^] .
220 MTA da Dexter - Servidor dmz . dexter . com . br
helo mail
250 dmz . dexter . com . br
mail from : tux@linus . com
10
250 2.1.0 Ok
11
rcpt to : dexterclem@dexter . com . br
12
250 2.1.5 Ok
13
data
14
354 End data with <CR > < LF >. < CR > < LF >
Pgina 203
Linux Force
Servidor Postfix
15
subject : Teste de e - mail
16
Nosso MTA dezzzzzzzz ...
17
18
250 2.0.0 Ok : queued as 4 E20069
19
quit
20
221 2.0.0 Bye
21
Connection closed by foreign host .
Agora verifique o e-mail enviado para o usurio Dexter Clem:
root@dmz :~ # cat / var / spool / mail / dexterclem
From neo@matrix . com
Return - Path : < tux@linus . com >
X - Original - To : dexterclem@dexter . com . br
Delivered - To : dexterclem@dexter . com . br
Received : from mail ( dmz . dexter . com . br [192.168. X .3])
Thu Aug 11 20:15:02 2011
by dmz ( Postfix ) with SMTP id 5 CC607CF
for < dexterclem@dexter . com . br >; Thu , 11 Aug 2011 20:14:02 -0300
( BRT )
subject : teste de e - mail
10
Message - Id : <20110811231420.5 CC607CF@dmz >
11
Date : Thu , 11 Aug 2011 20:14:02 -0300 ( BRT )
12
From : neo@matrix . com
13
To : undisclosed - recipients :;
14
Nosso MTA dezzzzz .....
Para verificar a lista de e-mails no servidor em produo, execute:
root@dmz :~ # mailq
Pgina 204
Linux Force
Servidor Postfix
MDA Courier - POP3 e IMAP para os clientes
Um servidor de e-mail s estar completo se tivermos a instalao de um daemon

"POP3"e "IMAP". Para isso, vamos instalar e utilizar o MDA (Mail Delivery Agent)
"Courier".
O que o POP?
Para coletar suas mensagens, o usurio pode utilizar o protocolo POP (Post Office
Protocol). O POP mais antigo. Atravs do POP o usurio baixa as mensagens
para seu computador local e as exclui do servidor. A desvantagem que, se o usurio
desejar acessar suas mensagens de outros locais, no poder fazer. O POP no
utilizado para armazenamento permanente de mensagens. A porta 110 padro por
este protocolo. Quando implementada uma camada de segurana ao POP, dever
trabalhar na porta 995.
O que o IMAP?
O IMAP (Internet Message Access Protocol) foi projetado para permitir que o usurio armazene as mensagens permanentemente no servidor. Com o IMAP o usurio
pode acessar todas as mensagens a partir de qualquer lugar no mundo. O IMAP
tambm tem uma implementao mais disseminada das conexes TLS seguras. A
porta 143 utilizada por este protocolo. IMAP sobre TLS a porta 993. Vamos ento
instalar nosso MDA:
root@dmz :~ # aptitude install courier - authdaemon courier - authlib

courier - base courier - imap courier - pop nail -y
Aps este passo, edite o arquivo do Postfix:
# ## comentar :
# mailbox_command = procmail -a " $EXTENSION "
Pgina 205
Linux Force
Servidor Postfix
# ## adicionar :
home_mailbox = Maildir /
DEFAULT = $HOME / Maildir /
MAILDIR = $HOME / Maildir /
Reinicie o servio do Postfix:
Precisamos tambm criar mais um arquivo do PAM referente ao "smtp":
root@dmz :~ # cp / etc / pam . d / pop3 / etc / pam . d / smtp
Criando caixas postais
Vamos agora criar as caixas postais. Para isto vamos criar uma script:
root@dmz :~ # vim maildir . sh
# !/ bin / bash

maildirmake / home / $lista / Maildir
4
5
maildirmake / home / $lista / Maildir /. Enviadas
maildirmake / home / $lista / Maildir /. Rascunhos
maildirmake / home / $lista / Maildir /. lixeira
maildirmake / home / $lista / Maildir /. Spam
chown -R $lista : users / home / $lista
10
done
Pgina 206
Linux Force
Servidor Postfix
O comando "maildirmake"faz parte do pacote "Courier", veja este site:

http://www.courier-mta.org/maildirmake.html
Reinicie os servios :
root@dmz :~ # service courier - authdaemon restart
root@dmz :~ # service courier - imap restart
root@dmz :~ # service courier - pop restart
Verifique as conexes ativas no servidor:
root@dmz :~ # netstat - putan | grep 110
tcp6
tcp6
0
0
0 :::110
0 :::143
:::*
:::*
OU A
3742/ couriertcpd
OU A
3665/ couriertcpd
Agora teste a nova caixa postal:
root@dmz :~ # echo " Reuniao amanha as 15 hs ." | mail -s " Reuniao com
Cliente Linux Force " dexterclem@dexter . com . br
2
3
root@dmz :~ # cat \
/ home / dexterclem / Maildir / new /1313109656. Vfd00I607a1M156000 . dmz
Return - Path : < root@dexter . com . br >
X - Original - To : dexterclem@dexter . com . br
Delivered - To : dexterclem@dexter . com . br
Received : by dmz ( Postfix , from userid 0)
8
9
10
id 222 E07E1 ; Thu , 11 Aug 2011 21:40:56 -0300 ( BRT )

Date : Thu , 11 Aug 2011 21:40:56 -0300
From : root@dexter . com . br
Pgina 207
Linux Force
Servidor Postfix
11
To : dexterclem@dexter . com . br
12
Subject : Reuniao com Cliente Linux Force
13
Message - ID : <4 e447698 . M8zZc0OB8yim8VHd % mandarkglory@dexter . com . br >
14
User - Agent : Heirloom mailx 12.4 7/29/08
15
MIME - Version : 1.0
16
Content - Type : text / plain ; charset = us - ascii
17
Content - Transfer - Encoding : 7 bit
18
Reuniao amanha as 15 hs .
No esquea de publicar o registro "MX"no seu DNS, configurar corretamente

o campo "TXT"e tambm o DNS REVERSO.
Criando alias no Postfix
Podemos criar "aliases"(apelidos) para que um usurio possa receber vrios e-mails
diferentes na mesma conta. Edite o arquivo de alias e crie um para o seu usurio,
no formato "usuario_de_alias: usuario_real":
root@dmz :~ # vim / etc / aliases

ouvidoria : mandarkglory
Para validar essas modificaes e gerar o arquivo de "hash", precisamos usar ou o

comando "postalias" ou "newaliases":
root@dmz :~ # postalias / etc / aliases
ou
root@dmz :~ # newaliases
Verifique se o arquivo "aliases.db"foi atualizado:
Pgina 208
Linux Force
root@dmz :~ # stat / etc / aliases . db
...
Access : 2011 -08 -11 22:05:41.028000893 -0300
Modify : 2011 -08 -11 22:05:41.028000893 -0300
Change : 2011 -08 -11 22:05:41.028000893 -0300
Servidor Postfix
Agora podemos fazer um teste enviando um e-mail para o usurio de "alias":
1
2
3
4
root@dmz :~ # echo " Teste de Alias " | mail -s " Teste de alias " \
ouvidoria@dexter . com . br
root@dmz :~ # cat \
/ home / mandarkglory / Maildir / new /1313111359. Vfd00I607aM81600 . dmz
Date : Thu , 11 Aug 2011 22:09:19 -0300
From : root@dexter . com . br
To : ouvidoria@dexter . com . br
Subject : Teste de alias
Message - ID : <4 e447d3f .+ kR8VGISl9eSI9ON % root@dexter . com . br >
10
User - Agent : Heirloom mailx 12.4 7/29/08
11
MIME - Version : 1.0
12
Content - Type : text / plain ; charset = utf -8
13
Content - Transfer - Encoding : 8 bit
14
Teste de Alias
Repare que a visualizao foi feita no arquivo do usurio Mandark Glory!
Configurando o Webmail
O Squirrelmail um Webmail desenvolvido em PHP com o objetivo de acessar as

mensagens de um servidor IMAP. Para podermos instalar e configurar este webmail
precisaremos ter o Servidor Postfix com suporte a IMAP e o Servidor Apache com
suporte a PHP. Em nosso caso j temos ambos configurados! Ento...
Pgina 209
Linux Force
Servidor Postfix
root@dmz :~ # aptitude install squirrelmail
Com a instalao concluda, vamos adicionar ao arquivo /etc/apache2/httpd.conf

o seguinte:
root@dmz :~ # vim / etc / apache2 / httpd . conf
Alias / webmail " / usr / share / squirrelmail / "
DirectoryIndex index . php
Agora vamos configurar o SquirrelMail. Execute:
root@dmz :~ # squirrelmail - configure
Selecione a opo 1:
Pgina 210
Linux Force
Servidor Postfix
Selecione novamente a opo 1:
Pgina 211
Linux Force
Servidor Postfix
Entre com o nome da Organizao Dexter:
Selecione a opo R para retornar ao menu principal:
Pgina 212
Linux Force
Servidor Postfix
Selecione a opo 2 para configurar o servidor:
Selecione a opo 1:
Pgina 213
Linux Force
Servidor Postfix
Entre com o domnio da Dexter dexter.com.br:
Selecione R para voltar ao menu principal e depois selecione S:
Pgina 214
Linux Force
Servidor Postfix
Selecione Q para sair da configurao:
Agora vamos criar o Virtualhost do Webmail da Dexter:
root@dmz :~ # vim / etc / apache2 / sites - available / webmail . dexter . com . br
DocumentRoot / usr / share / squirrelmail
ServerName webmail . dexter . com . br
ErrorLog / var / log / apache2 / webmail - error . log
CustomLog / var / log / apache2 / webmail - access . log common
</ VirtualHost >
DocumentRoot / usr / share / squirrelmail
10
ServerName webmail . dexter . com . br
11
ErrorLog / var / log / apache2 / webmail - error . log
12
CustomLog / var / log / apache2 / webmail - access . log common
13
SSLEngine on
14
SSLCertificateFile / etc / ssl / dexter . crt
15
SSLCertificateKeyFile / etc / ssl / dexter . key
16
</ VirtualHost >
Pgina 215
Linux Force
Servidor Postfix
Ative o novo site e reinicie o Apache:
root@dmz :~ # a2ensite webmail . dexter . com . br
Acesse nosso webmail: https://www.dexter.com.br/webmail
Acessando com o usurio dexterclem, veja a mensagem:
Pgina 216
Linux Force
Servidor Postfix
Autenticando os usurios de e-mail
Porque ativar a autenticao?

Habilitar a autenticao no servidor de e-mail permite que os usurios enviem mensagens utilizando seu MTA sem ter que passar o endereo da rede na diretiva mynetworks no arquivo "/etc/postfix/main.cf". Se voc comear a inserir vrios endereos nesta diretiva, logo seu servidor MTA vai virar alvo de SPAMMERS. Vamos
utilizar o SASL (Simple Authentication and Security Layer ou Camada de Simples Autenticao e Segurana).
1
2
root@dmz :~ # aptitude install libsasl2 -2 sasl2 - bin libsasl2 - modules \

libdb4 .6 procmail
Vamos renomear o arquivo configurao e criar um diretrio de spool:
Pgina 217
Linux Force
Servidor Postfix
root@dmz :~ # mv / etc / default / saslauthd \
/ etc / default / saslauthd . backup
root@dmz :~ # mkdir -p / var / spool / postfix / var / run / saslauthd
Agora abra um arquivo novo e inclua o seguinte:
root@dmz :~ # vim / etc / default / saslauthd
START = yes
MECHANISMS = " pam "
MECH_OPTIONS = " "
THREADS =5
OPTIONS =" -c -m / var / spool / postfix / var / run / saslauthd -r "
Crie tambm o arquivo abaixo e inclua o seguinte:
root@dmz :~ # vim / etc / postfix / sasl / smtpd . conf
pwcheck_method : saslauthd
mech_list : plain login
Reinicie o servio do saslauthd:
root@dmz :~ # service saslauthd restart
Short name ( NAME ) undefined in / etc / default / saslauthd , using

default ... ( warning ) .
Stopping : default .
Starting : default .
Inclua o usurio postfix no grupo sasl:
root@dmz :~ # adduser postfix sasl
Pgina 218
Linux Force
Servidor Postfix
Acrescente no final do arquivo principal do Postfix:
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions = permit_sasl_authenticated ,
permit_mynetworks , reject_unauth_destination
smtpd_tls_auth_only = no
Reinicie novamente o Postfix:
Short name ( NAME ) undefined in / etc / default / saslauthd , using

default ... ( warning ) .
Stopping : default .
Starting : default .
Ativando maior segurana com TLS
TLS significa Transport Layer Security e uma camada de segurana para o sistema de autenticao que j foi configurado. O sistema de autenticao no traz
segurana, pois o mesmo ocorre em texto puro, sem encriptao. Com isso, as senhas podem ser capturadas com um sniffer. Portanto, mos obra! Comearemos
criando o diretrio onde ficar chave de criptografia; depois gere a chave neste diretrio:
root@dmz :~ # mkdir -p / etc / postfix / ssl
root@dmz :~ # cd / etc / postfix / ssl /
root@dmz :/ etc / postfix / ssl / # openssl genrsa - des3 - rand \ / etc / hosts
- out smtpd . key 1024
Pgina 219
Linux Force
Servidor Postfix
271 semi - random bytes loaded
Generating RSA private key , 1024 bit long modulus
6
7
8
e is 65537 (0 x10001 )
Enter pass phrase for smtpd . key : 123456
10
<<<--- Adicione uma senha
Verifying - Enter pass phrase for smtpd . key : 123456
<<<--- Confirme
Altere a permisso do arquivo de chave para que somente o root tenha acesso:
1
2
root@dmz :/ etc / postfix / ssl / # chmod -v 600 smtpd . key

modo de " smtpd . key " alterado para 0600 ( rw - - - - - - -)
Agora vamos criar o certificado de autenticidade para os acessos :
1
2
root@dmz :~/ etc / postfix / ssl # openssl req - new - key smtpd . key - out \
smtpd . csr
...
10
11
Email Address []: root@dexter . com . br
12
Please enter the following extra attributes
13
to be sent with your certificate request
14
A challenge password []:123456
15
An optional company name []: Dexter
Agora vamos assinar nosso certificado digital:
Pgina 220
Linux Force
1
2
Servidor Postfix
root@dmz :~/ etc / postfix / ssl # openssl x509 - req - days 365 - in \
smtpd . csr - signkey smtpd . key - out smtpd . crt
Signature ok
subject =/ C = BR / ST = S \ xC3 \ xA3o Paulo / L = S \ xC3 \ xA3o

Paulo / O = Dexter / OU = Dpto .
TI / CN = Admin / emailAddress = root@dexter . com . br
Getting Private key
E finalmente, a chave sem criptografia:
1
2
root@dmz :~/ etc / postfix / ssl # openssl rsa - in smtpd . key - out \
smtpd . key . unencrypted
writing RSA key
Sobrescreva a chave criada anteriormente para a chave de mesmo nome:
root@dmz :~/ etc / postfix / ssl # mv smtpd . key smtpd . key - original
root@dmz :~/ etc / postfix / ssl # mv smtpd . key . unencrypted smtpd . key
Agora vamos gerar o certificado .pem:
1
2
root@dmz :~/ etc / postfix / ssl # openssl req - new - x509 - extensions \
v3_ca - keyout cakey . pem - out cacert . pem - days 365
...
Enter PEM pass phrase : 123456
Verifying - Enter PEM pass phrase : 123456
...
Pgina 221
Linux Force
Servidor Postfix
10
11
12
13
Email Address : root@dexter . com . br
Acrescente no final do arquivo principal do Postfix:
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_CAfile = / etc / postfix / ssl / cacert . pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600 s
smtpd_tls_cert_file = / etc / postfix / ssl / smtpd . crt
smtpd_tls_key_file = / etc / postfix / ssl / smtpd . key
10
smtpd_tls_session_cache_database =
btree : $ { queue_directory }/ smtpd_scache
11
smtp_tls_session_cache_database =
btree : $ { queue_directory }/ smtp_scache
12
tls_random_source = dev :/ dev / urandom
Agora vamos instalar os pacotes de configurao do MDA Courier:
1
2
root@dmz :~ # aptitude install courier - imap - ssl courier - pop - ssl \

courier - ssl
Durante a instalao ir surgir uma tela como a da prxima figura, avisando sobre o
certificado digital ser assinado por uma empresa confivel!
Pgina 222
Linux Force
Servidor Postfix
Reinicie o Postfix:
Verifique as portas seguras ativadas:
tcp6
0 :::993
:::*
OU A
2200/ couriertcpd
3
root@dmz :~ #
tcp6
0 :::995
:::*
OU A
2153/ couriertcpd
Agora s testar utilizando um MUA, como por exemplo, o Thunderbird, Icedove

ou Outlook. Iremos testar no Thunderbird 5.0! Efetue o download do aplicativo na
Pgina 223
Linux Force
Servidor Postfix
mquina Squeeze e execute:
root@squeeze :~ # tar xjvf thunderbird -5.0. tar . bz2 -C / opt
root@squeeze :~ # chmod + x / opt / thunderbird / thunderbird
Crie um atalho na barra do Gnome e abra o aplicativo. Entre com os dados do

usurio, como nome, e-mail e senha, depois clique em continuar:
Na tela abaixo, clique em Config manual:
Pgina 224
Linux Force
Servidor Postfix
Entre com os dados do POP e SMTP, conforme abaixo:
Ser solicitada confirmao dos riscos , depois clique me Criar conta:
Pgina 225
Linux Force
Servidor Postfix
Confirme a verificao do certificado e depois em confirmar exceo:
Pgina 226
Linux Force
Servidor Postfix
Voc j poder receber e enviar e-mails com segurana!
Para configurarmos o recebimento de e-mail via IMAP, v no menu Edit -> Configurar
contas -> Nova conta. Agora faa como abaixo:
Aceite o certificado digital:
Pgina 227
Linux Force
Servidor Postfix
Basta seguir os procedimentos de rotina de uso do MUA!!
Pgina 228
Captulo 11
Servidor OpenLDAP
11.0.51 Cenrio
A empresa DEXTER COURIER precisa de agilidade em suas conexes, mas principalmente na forma como seus usurios efetuam o login nos sistemas. Para acabar
de vez este problema, deseja que haja uma centralizao na autenticao dos usurios em vista de seus recursos tecnolgicos.

Para atender a empresa Dexter, teremos que implantar um servidor de autenticao
centralizada baseado no protocolo LDAP, onde poderemos disponibilizar acesso aos
sistemas da empresa de forma gil e eficiente.

O que o LDAP? LDAP (Lightweight Directory Access Protocol ou Protocolo
Leve de Acesso a Diretrios), um padro aberto capaz de facilitar, de forma flexvel, o compartilhamento, a manuteno e o gerenciamento de grandes volumes de
Linux Force
Servidor OpenLDAP
informaes, definindo um mtodo padro de acesso e atualizao de informaes

dentro de um diretrio. (TUTTLE 2009)
Este um protocolo de rede que roda sobre o TCP/IP que permite organizar os
recursos de rede de forma hierrquica, como uma rvore de diretrio, onde temos
primeiramente o diretrio raiz, em seguida a rede da empresa, o departamento e
por fim o computador do funcionrio e os recursos de rede (arquivos, impressoras,
etc.) compartilhados por ele. A rvore de diretrio pode ser criada de acordo com a
necessidade.
Uma das principais vantagens do LDAP a facilidade em localizar informaes e
arquivos disponibilizados. Pesquisando pelo sobrenome de um funcionrio possvel localizar dados sobre ele, como telefone, departamento onde trabalha, projetos
em que est envolvido e outras informaes includas no sistema, alm de arquivos
criados por ele ou que lhe faam referncia. Cada funcionrio pode ter uma conta de
acesso no servidor LDAP, para que possa cadastrar informaes sobre si e compartilhar arquivos.
O LDAP oferece uma grande escalabilidade. possvel replicar servidores (para
backup ou balanceamento de carga) e incluir novos servidores de uma forma hierrquica, interligando departamentos e filiais de uma grande multinacional por exemplo.
A organizao dos servidores neste caso similar ao DNS: especificado um servidor raiz e a partir da possvel ter vrios nveis de subservidores, alm de mirrors
do servidor principal.
O LDAP pode ser usado em qualquer tipo de rede TCP/IP e um padro aberto,
permitindo que existam produtos para vrias plataformas.
Uma das sutes mais usadas o OpenLDAP (GPL), que pode ser baixado no:
http://www.openldap.org http://www.hardware.com.br/termos/ldap
O que o OpenLDAP?
Pgina 230
Linux Force
Servidor OpenLDAP
O projeto OpenLDAP um servio de diretrio que utiliza o protocolo LDAP, baseado no protocolo X.500. compatvel com LDAPv3 livre e popular e est disponvel
para vrias plataformas como: Linux, Solaris, Mac OS e Windows. Segurana e
controle de dados imprescindvel em qualquer empresa, por isso uma das vantagens do OpenLDAP a possibilidade de que vrios sistemas possam compartilhar
de base de dados de usurios e senhas de forma centralizada e integrada.
http://www.otrampolim.com.br/coluna/3675/bruno-lopessiqueira/cotidiano/openldap
Como o LDAP, utiliza o trfego de dados via TCP/IP, podendo ser implementado em
diversas plataformas em redes IPV4 e IPV6, possibilitando tambm autenticao,
mecanismos de segurana no uso de certificados e criptografia, podendo ser configurado para restringir acesso a "socket layer", ter mltiplas instncias de banco de
dados, mltiplas "threads", permite replicao e configurao do servio de acordo
com a sua necessidade atravs dos "schemas".
O OpenLDAP constitui-se de:
slapd - Servio OpenLDAP
syncrepl - Servio para replicao e atualizao OpenLDAP
libraries - Bibliotecas para implementao do OpenLDAP, com utilitrios e ferramentas
Quais servios podem usar a base de dados do OpenLDAP?
Podemos destacar o Apache, DNS, FTP, Kerberos, MySQL, PAM, Postfix, Samba,
Squid, SSL, Clusters entre outros.
Pgina 231
Linux Force
Servidor OpenLDAP
O que um diretrio?
Diretrio significa algo usado para indicar direes. Um exemplo simples: Uma
lista telefnica. A lista organizada de maneira hierrquica para que a informao
buscada seja encontrada de forma eficiente. Em um diretrio voc pode pesquisar,
inserir, alterar e apagar itens.
O que NO um diretrio?
Um diretrio no pode ser considerado um banco de dados, porque o bando de
dados otimizado para ler e gravar dados com o mesmo grau de eficincia. O diretrio otimizado apenas para leitura e seu sistema de transaes bem mais simples
do que de um banco de dados. Um diretrio no pode ser considerado um sistema
de arquivos, por que o sistema de arquivo possui otimizaes para manipulao de
arquivos, como por exemplo, para trabalhar com grandes arquivos.
Podemos destacar alguns atributos de diretrios:
c - Representa pa s ( country )
o - Representa uma organiza o como uma empresa ( organization )
ou - Representa um departamento ( organization unit )
4
5
Alguns atributos de entradas :
cn - Representa um nome ( common name )
uid - Representa a identidade de um usu rio ( user ID )
gn - Representa o nome pr prio de uma pessoa ( given name )
sn - Representa o sobrenome de uma pessoa ( surname )
Laboratrio
Vamos iniciar a instalao do OpenLDAP na mquina Datacenter:
Pgina 232
Linux Force
Servidor OpenLDAP
root@datacenter :~ # aptitude install slapd ldap - utils libldap -2.4 -2
Vamos gerar o hash da senha do administrador para inserirmos na diretiva
rootpw que estar no arquivo / etc / ldap / slapd . conf :
root@datacenter :~ # slappasswd | tee / root / ldap . txt
New password : 123456
Re - enter new password : 123456
{ SSHA } yb9Xs4qy9rtG4CSd / hph62qo6X1LFxmW
Agora vamos criar o arquivo /etc/ldap/slapd.conf conforme abaixo, adicionando o

hash da senha do administrador da base:
root@datacenter :~ # vim / etc / ldap / slapd . conf
include
include
/ etc / ldap / schema / cosine . schema
include
/ etc / ldap / schema / nis . schema
include
/ etc / ldap / schema / inetorgperson . schema
/ etc / ldap / schema / core . schema
6
7
allow
bind_v2
pidfile
/ var / run / slapd / slapd . pid
argsfile
/ var / run / slapd / slapd . args
10
loglevel
none
12
modulepath
/ usr / lib / ldap
13
moduleload
back_bdb
14
sizelimit
11
500
15
tool - threads
16
backend
bdb
17
database
bdb
19
suffix
" dc = dexter , dc = com , dc = br "
20
rootdn
" cn = admin , dc = dexter , dc = com , dc = br "
18
Pgina 233
Linux Force
Servidor OpenLDAP
rootpw
{ SSHA } yb9Xs4qy9rtG4CSd / hph62qo6X1LFxmW
23
directory
" / var / lib / ldap "
24
dbconfig
set_cachesize 0 2097152 0
25
dbconfig
set_lk_max_objects 1500
26
dbconfig
set_lk_max_locks 1500
27
dbconfig
set_lk_max_lockers 1500
21
22
28
29
index
objectClass eq
30
lastmod on
31
checkpoint
512 30
32
33
access
to
attrs = userPassword , shadowLastChange
34
by dn = " cn = admin , dc = dexter , dc = com , dc = br " write
35
by anonymous auth
36
by self write
37
by * none
38
39
access to dn . base = " " by * read
40
41
access to *
42
by dn = " cn = admin , dc = dexter , dc = com , dc = br " write
43
by * read
Aps criar o arquivo slapd.conf em /etc/ldap, vamos parar o servio slapd e fazer
nossas alteraes:
root@datacenter :~ # service slapd stop
Stopping OpenLDAP : slapd .
root@datacenter :~ # cd / etc / ldap
Faa backup do diretrio original antes de alter-lo:
root@datacenter :~ # cp -r slapd . d slapd . d . backup
Pgina 234
Linux Force
Servidor OpenLDAP
Remova o diretrio antigo:
root@datacenter :~ # rm -r slapd . d
Crie um novo:
root@datacenter :~ # mkdir slapd . d
Teste se o arquivo novo est OK:
root@datacenter :~ # slaptest -f slapd . conf -F slapd . d
slapd . conf : line 36: rootdn is always granted unlimited privileges .
slapd . conf : line 42: rootdn is always granted unlimited privileges .
config file testing succeeded
Se aparecer essa mensagem est tudo certo! As linhas 36 e 42 so apenas informaes referentes a privilgios do administrador em relao base! Agora altere o
dono e grupo para openldap para o novo diretrio slapd.d:
root@datacenter :~ # chown -R openldap : openldap slapd . d
Inicie novamente o slapd:
root@datacenter :~ # service slapd start
Starting OpenLDAP : slapd .
Veja se a porta do servio est em escuta:
Pgina 235
Linux Force
Servidor OpenLDAP
root@datacenter :~ # netstat - putan | grep 389
tcp
0 0.0.0.0:389
tcp6
0.0.0.0:*
0 :::389
OU A
:::*
12484/ slapd
OU A
12484/ slapd
O que um LDIF?
LDIF (LDAP Data Interchange Format) o formato de arquivo de entrada padro

do OpenLDAP. desta maneira que os dados devem ser includos no sistema LDAP
quando no temos nenhuma ferramenta de administrao. Para nos ajudar na migrao da base de usurios que temos no sistema do servidor para a base de dados
do OpenLDAP, vamos utilizar uma ferramenta chamada migrationtools. Faa a instalao:
root@datacenter :~ # aptitude install migrationtools
Localize as linhas 71 e 74, respectivamente, e as deixe exatamente assim:
root@datacenter :~ # vim +71

/ usr / share / migrationtools / migrate \ _common . ph
$DEFAULT \ _MAIL \ _DOMAIN = " dexter . com . br ";
$DEFAULT_BASE = " dc = dexter , dc = com , dc = br " ;
Agora entre no diretrio e execute os scripts abaixo:
root@datacenter :~ # cd / usr / share / migrationtools /
root@datacenter :/ usr / share / migrationtools # ./ migrate_passwd . pl \
/ etc / passwd / etc / ldap / users . ldif
root@datacenter :/ usr / share / migrationtools # ./ migrate_group . pl \
Pgina 236
Linux Force
5
6
7
Servidor OpenLDAP
/ etc / group / etc / ldap / groups . ldif

root@datacenter :/ usr / share / migrationtools # ./ migrate_base . pl > \
/ etc / ldap / base . ldif
Verificaque se o arquivo /etc/ldap/base.ldif est com o cabealho correto:
root@datacenter :~ # head / etc / ldap / base . ldif
dn : dc = dexter , dc = com , dc = br
dc : dexter
objectClass : top
objectClass : domain
Caso tiver alguma coisa antes da linha dn: dc=dexter,dc=com,dc=br, remova!

Agora que temos os arquivos .ldif, vamos inseri-los na base de dados do OpenLDAP. Voc precisar da senha de administrador da base. Inicie pelo arquivo da base,
depois insira os grupos e finalmente os usurios:
root@datacenter :~ # ldapadd -x -D cn = admin , dc = dexter , dc = com , dc = br -f

\
2
3
/ etc / ldap / base . ldif -W

\
4
5
/ etc / ldap / groups . ldif -W

\
/ etc / ldap / users . ldif -W
Parmetros do comando ldapadd:
-x
- autentica o simples
-D
- espec fica o dom nio
Pgina 237
Linux Force
-f
- indica o arquivo ldif
-W
- chama o prompt de autentica o
-w senha - executa o comando sem solicitar a senha
Servidor OpenLDAP
Faa uma busca simples na base procura de um determinado uid:
root@datacenter :~ # ldapsearch -x -b dc = dexter , dc = com , dc = br \
uidNumber =1002
# extended LDIF
# LDAPv3
# base <dc = dexter , dc = com , dc = br > with scope subtree
# filter : uidNumber =1002
# requesting : ALL
10
11
# dexterclem , People , dexter . com . br
12
dn : uid = dexterclem , ou = People , dc = dexter , dc = com , dc = br
13
uid : dexterclem
14
cn : dexterclem
15
objectClass : account
16
objectClass : posixAccount
17
objectClass : top
18
objectClass : shadowAccount
19
shadowMax : 99999
20
shadowWarning : 7
21
loginShell : / bin / false
22
uidNumber : 1002
23
gidNumber : 2001
24
homeDirectory : / srv / samba / homes / dexterclem
25
26
# search result
27
search : 2
28
result : 0 Success
29
30
# numResponses : 2
Pgina 238
Linux Force
31
Servidor OpenLDAP
# numEntries : 1
Vamos agora aprender como alterar o dado de um usurio que est no OpenLDAP.
Para isto temos que criar um arquivo ldif:
root@datacenter :~ # vim / root / loginShell . ldif
dn : uid = mandarkglory , ou = People , dc = dexter , dc = com , dc = br
changetype : modify
replace : loginShell
loginShell : / bin / bash
Neste exemplo, o shell do usurio mandarkglory ser alterado para /
bin / bash . Vamos ent o aplicar a altera o :
root@datacenter :~ # ldapmodify -x -D cn = admin , dc = dexter , dc = com , dc = br

\
-f / root / loginShell . ldif -W
Enter LDAP Password :
modifying entry " uid = mandarkglory , ou = People , dc = dexter , dc = com , dc = br "
Vamos consultar a base para ver se alterou mesmo:
1
2
root@datacenter :~ # ldapsearch -x -b dc = dexter , dc = com , dc = br \

uid = mandarkglory | grep login - A4 - B3
uidNumber : 1003
gidNumber : 2001
homeDirectory : / srv / samba / homes / mandarkglory
loginShell : / bin / bash
7
8
# search result
search : 2
10
result : 0 Success
Pgina 239
Linux Force
Servidor OpenLDAP
Para voltar ao normal, s alterar o arquivo /root/loginShell.ldif e aplicar o comando

ldapmodify novamente.
Vamos aprender agora uma forma alternativa (e mais fcil!) para administrar a base
OpenLDAP, atravs do phpldapadmin. Voc vai precisar ter o Apache instalado no
servidor do OpenLDAP e mais alguns pacotes mostrados abaixo:
root@datacenter :~ # aptitude install apache2 php5 php - pear php5 - ldap

\
phpldapadmin
V no navegador da mquina Squeeze e acesse o endereo :

http://192.168.X.2/phpldapadmin/index.php
Pgina 240
Linux Force
Servidor OpenLDAP
Clique em conectar e no campo senha digite 123456:
Tela inicial com a base do lado esquerdo:
Pgina 241
Linux Force
Servidor OpenLDAP
11.0.54 Backup da base de dados

Inicialmente, pare o servidor OpenLDAP:
Para realizar o backup, simplesmente realize o seguinte comando:
root@datacenter :~ # slapcat -l / root / backup_ldap . ldif
Gerando uma cpia de segurana:
Pgina 242
Linux Force
1
2
Servidor OpenLDAP
root@datacenter :~ # cp / root / backup_ldap . ldif \

/ root / backup_ldap_copia . ldif
DICA: Para ter certeza que o seu backup seguro, importante realiz-lo em
um perodo livre de gravaes, ou com o servidor slapd desligado.
Inicie o servidor slapd novamente:
Aps realizar o backup, vamos remover sua base de dados inteira:
root@datacenter :~ # ldapdelete -x -D cn = admin , dc = dexter , dc = com , dc = br

\
-r dc = dexter , dc = com , dc = br -W
Para nos certificarmos de que a base realmente foi removida, execute o comando
slapcat novamente, mas tenha certeza de que voc no est sobrescrevendo o seu
backup:
root@datacenter :~ # slapcat
Pare o servidor:
Pgina 243
Linux Force
Servidor OpenLDAP
Vamos restaurar a nossa base, utilizando o comando slapadd:
root@datacenter :~ # slapadd -l backup_ldap . ldif
.# ################### 100.00% eta

fast !
none elapsed
none
Closing DB ...
Inicie o slapd:
Execute o comando slapcat novamente para termos certeza que o backup foi restaurado:
root@datacenter :~ # slapcat
Pgina 244
Captulo 12
Servidor Proxy com Squid
12.0.55 Cenrio
A fim de evitar abusos no uso da internet, a empresa DEXTER COURIER precisa
de uma soluo que integre permisso de acesso, tipos de arquivos que podero
efetuar download, cache de pginas e monitoramento destes acessos.

Muitas empresas empregam o uso de PROXY, seja para fazer cache, seja para filtrar
contedo. A implementao do servidor proxy Squid amplamente utilizada, possibilitando assim suprir as necessidades da empresa Dexter. Alm disto, faremos uso
do SquidGuard, um poderoso filtro de contedo.
12.0.57 Introduo Terica

Imagine que os seus usurios necessitem acessar com frequncia um site de notcias. A cada requisio, o navegador Web resolve o DNS deste site, faz a requisio
Linux Force
ao servidor Web encontrado e traz o contedo at o usurio. Agora, imagine que 500
clientes esto acessando este site. Desperdcio de banda, no acha?
As solues Web Proxy foram desenvolvidas justamente para contornar este problema. Imagine o mesmo cenrio acima, s que desta vez, ao invs de consultar o
site, o navegador consulta o "Web Proxy"previamente configurado, e ento o servidor "proxy"faz a consulta ao site, s que antes de entregar a requisio ao cliente,
o servidor "proxy"armazena o contedo do site em um diretrio num disco rgido e,
quando um segundo cliente acessar o mesmo site, o servidor "proxy"verifica se o
contedo esta armazenado em "cache".
Em caso positivo, o servidor entrega o contedo do "cache", acelerando a navegao
e economizando banda. Alm disso, o "Web Proxy"tambm pode agir como filtro
de contedo, verificando se desejvel que aquele contedo seja acessvel para
aquele usurio, endereo IP ou Mac Address, e ento libera ou nega o acesso de
acordo com o especificado nas ACLs (Access Control List), item que veremos
mais adiante.
O Web Proxy pode trabalhar de dois modos: manual ou transparente.
12.0.58 Proxy Manual

Em um proxy manual, o navegador sabe que necessrio fazer uma requisio ao
servidor "proxy", ento temos uma srie de funes que o "browser"pode solicitar,
como forar a atualizao do "cache", verificar se as credenciais de autenticao
foram fornecidas previamente, ou seja, o cliente sabe que deve falar com um "proxy"e
far a requisio direto a este. Alm disso, o servidor, por sua vez, possui o nmero
IP do cliente que fez aquela requisio, o que possibilita criar regras especficas e
controle de logs mais apurados.
Pgina 246
Linux Force
http://www.linuxnaveia.com/mais-artigos/215-squid-configuracao-basica.html
A imagem a seguir mostra como funciona um proxy manualmente configurado.
http://www.hardware.com.br/livros/servidores-linux/configurando-servidorproxy-com-squid.html
12.0.59 Proxy Transparente

Em um proxy transparente no h necessidade de configurarmos o "browser". O
cliente far sua requisio ao "gateway"padro daquela rede e ento, com uma regra de "firewall"previamente configurada, o "gateway"far o redirecionamento para o
proxy, que por sua vez realizar seu trabalho.
A maior vantagem deste modelo que no temos a necessidade de configurarmos
os navegadores Web manualmente, o que seria justificvel em uma rede onde no
Pgina 247
Linux Force
temos o poder de manipular o computador dos usurios, como um provedor de internet, por exemplo.
Em compensao, perderemos a flexibilidade dos logs e autenticao, j que o navegador web no sabe que est passando por um proxy e tambm teremos que fazer
"NAT"para acessos a sites que utilizam "HTTPS", j que o "Squid"no sabe lidar com
este tipo de contedo quando est trabalhando de forma transparente.
Abaixo uma ilustrao simplificada de como esse processo funciona:
http://www.hardware.com.br/livros/servidores-linux/configurando-servidorproxy-com-squid.html
12.0.60 ACL - Access Control Lists
As ACLs (Access Control List) so regras para navegao via proxy. Vale ressaltar
que as ACLs so lidas na ordem em que aparecem e podem ser combinadas, tome
muito cuidado ao criar ou alterar uma nova regra. Veja a documentao online no
endereo http://www.squid-cache.org para as configuraes no citadas!
Pgina 248
Linux Force
12.0.61 Definindo ACL

As ACLs so dispostas de seguinte forma:
acl NOME_DA_ACL
TIPO_DA_ACL
par metro
Nesta regra ser definido todos os parmetros em sequncia, separados por espao,
utilizado para regras com poucos parmetros.
acl NOME_DA_ACL
TIPO_DA_ACL
" / caminho / completo / regra . conf "
J nesta outra forma ser definido um arquivo para adio dos parmetros dispostos,
um por linha, utilizado para regras com muitos parmetros. Todas as ACLs so tratadas com CASE-SENSITIVE. Para definir como CASE-INSENTIVE, utilize a opo
-i logo aps o tipo de ACL.
12.0.62 Tipos de ACL

src => ACL do tipo src (origem) trata sobre um determinado IP ou uma faixa de
IP com que o cliente chega ao Proxy.
acl ESTACAO_DIRETOR src 192.168.200.100/255.255.255.255
acl MyNetwork src 192.168.200.0/24
acl gateway src 192.168.200.254
dst => ACL do tipo dst (destino) trata do IP de destino da navegao.
acl UOL dst 200.221.2.45/255.255.255.255
Pgina 249
Linux Force
acl Servers dst 192.168.200.1 192.168.200.2 192.168.200.3
dstdomain => ACL do tipo dstdomain (domnio de destino) trata do domnio de

destino da navegao.
acl SITE_INTEGRAL dstdomain . terra . com . br
acl linuxforce dstdomain . linuxforce . com . br
acl Brasil dstdomain . com . br
time => ACL do tipo time (tempo) trata de um determinado momento baseado
em dia da semana e hora.
acl HORARIO_ALMOCO time 12:00 -13:30
acl HORARIO_ALMOCO time MTWHF 12:00 -13:30
Segue abreviao dos dias.

Abreviao Dia da semana
S domingo M segunda-feira T tera-feira W quarta-feira H quinta-feira F sexta-feira A
sbado
url_regex => ACL do tipo url_regex (expresso regular na URL) trata de uma
determinada entrada na URL. Pode-se fazer muitas regras baseadas em expresses regulares, porm preciso conhecer muito bem sobre o assunto.
acl EXTENSAO_PROIBIDA url_regex ? i \. exe$
port => ACL do tipo port (porta) trata da porta de destino da navegao.
Pgina 250
Linux Force
acl SITE_8080 port 8080
proxy_auth => ACL do tipo proxy_auth (autenticao no Proxy) trata do Login

com que o cliente se autentica no Proxy. Requer uma configurao de autenticao.
acl DIRETOR proxy \ _auth joao
"ACLS"de origem e destino podem ser cobrados na LPI-2, bem como sua
forma de utilizao.
Esses so os tipos bsicos de "ACLs", porm uma "ACL"sozinha no faz absolutamente nada. Durante o laboratrio veremos como tornar as "ACLs"teis com configuraes que permitem utiliz-las para bloqueio e liberao de sites, domnios e
horrios.
1
2
LEMBRETE - Tipos de ACL
3
4
src
- Filtro por rede ou endere o IP ;
time
- Filtro por hora e dia da semana ;
urlpath_regex
url \ _regex
- Filtro de uma " string " na " url " ;
dstdomain
- Filtro de uma " url " ;
proxy \ _auth
10
arp
11
maxconn
12
proto
13
port
- filtro de complemento de uma " url " ;
- Filtro por usu rios autenticados ;
- Filtro por " MAC Address " ;

- Filtro por conex es ;
- Filtro por protocolos ;
- Filtro por porta .
Pgina 251
Linux Force
12.0.63 Regras das ACLs
http_access => Permite ou nega acessos baseados nas ACLs pr definidas.

utilizado seguido de allow ou deny. Se a ACL for precedida de um ponto
de exclamao significa que ser a negao da ACL. As regras sero lidas na
ordem em que aparecem.
Seguem exemplos :
Acesso liberado para o diretor baseado em login
http_access allow DIRETOR
Acesso liberado ao site do UOL exceto no horrio do almoo
http_access allow UOL ! HORARIO_ALMOCO
Extenso proibida baseado em expresso regular
http_access deny EXTENSAO_PROIBIDA
Toda e qualquer modificao no arquivo de configurao do SQUID faz-se necessrio

digitar o comando abaixo para que entrem em vigor imediatamente!
# squid -k reconfigure
Pgina 252
Linux Force
12.0.64 Laboratrio
Vamos instalar nosso PROXY na mquina Firewall. Para isto, execute:
root@firewall :~ # aptitude install squid
Os arquivos e diretrios principais que ele utilizar:

/etc/squid/squid.conf - Arquivo de configurao /var/log/squid/* - Arquivos de log.
/var/spool/squid - Diretrio que contm o cache.
Aps confirmar a instalao do "Squid", verifique o contedo dos diretrios:
root@firewall :~ # ls - lh / etc / squid
root@firewall :~ # ls - lh / var / log / squid
root@firewall :~ # ls - lh / var / spool / squid
Para posterior consulta, renomeie o arquivo de configurao original:
root@firewall :~ # mv / etc / squid / squid . conf

/ etc / squid / squid . conf . distro
A configurao padro do "Squid"no permite nenhum tipo de navegao por medidas de segurana. A primeira coisa que devemos fazer especificar qual rede
o "Squid"deve aceitar, e tambm devemos especificar uma "ACL"do tipo origem,
que case com o nosso endereo IP. Vamos configurar nosso proxy com as regras
abaixo:
Pgina 253
Linux Force
root@firewall :~ # vim / etc / squid / squid . conf
## Para que o " Squid " ou a apenas uma rede , troque o valor do
## par metro " http_port 3128" para :
http_port 192.168. X .1:3128
## Este par metro diz qual ser o hostname que o " Squid " utilizar
## para resolver seu endere o local e tamb m o endere o que ser
## apresentado nas p ginas de informa o .
visible_hostname proxy . dexter . com . br
## Espa o em mem ria RAM para o cache de p ginas
10
cache_mem 64 MB
11
## Espa o em disco para o cache de p ginas
12
## ufs = sistema de arquivo padrao do squid
13
## 5120 = 5 GB para cache de pagina , se precisar de Windows Update e
14
## antivirus , tera que aumentar este valor
15
## 128 = 128 diretorios
16
## 256 = subdiretorios dentro dos diret rios acima criados
17
## utiliza esta divisao para indexar mais rapido quando lotar o

cache
18
## de disco , descartando os arquivos mais antigos !
19
cache_dir ufs / var / spool / squid 5120 128 256
20
## Log de acesso p ginas
21
access_log / var / log / squid / access . log
22
## Inibe a informa o da vers o do Squid quando um site bloqueado
23
httpd_suppress_version_string on
24
## P ginas de bloqueios exibidos em Portugu s
25
error_directory / usr / share / squid / errors / Portuguese
26
## Tamanho m ximo do arquivo no cache em RAM e disco ,

respectivamente
27
maximum_object_size_in_memory 64 KB
28
maximum_object_size 700 MB
29
minimum_object_size 0 KB
30
## Porcentagem de uso do cache de disco m nimo e

m ximo , respectivamente
31
cache_swap_low 90
32
cache_swap_high 95
33
## Log de uso do cache em disco
Pgina 254
Linux Force
34
cache_access_log / var / log / squid / cache . log
35
36
# ##### Declara o das ACL s ######
37
38
# ##### ACL s do pr prio Squid ######
39
acl all src 0.0.0.0/0.0.0.0
40
acl manager proto cache_object
41
acl localhost src 127.0.0.1/255.255.255.255
42
## As acl s " SSL_ports " e a " Safe_ports " s o as respons veis por
43
## limitar as portas que podem
44
## ser usadas atrav s do proxy . Na documenta o do Squid , que prev

o
45
## uso de diversos protocolos
46
## conhecidos e tamb m o uso de portas altas
47
acl SSL_ports port 443 563
48
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901
1025 -65535
49
## Exclui os objetos que foram armazenados no cache do squid
50
acl purge method PURGE
51
## Permite ao Squid deixar fazer a conex o direta quem fizer parte

da
52
## ACL connect
53
acl CONNECT method CONNECT
54
55
# ##### Minhas ACL s ######
56
57
# ##### Aplica o das ACL s ######
58
# Permite acesso ao gerenciamento do cache vindo somente do

localhost
59
http_access allow manager localhost
60
http_access deny manager
61
# Permite acesso a exclus o dos objetos no cache somente pelo

localhost
62
http_access allow purge localhost
63
http_access deny purge
64
# Nega acesso a requisi es de portas desconhecidas
65
http_access deny ! Safe_ports
Pgina 255
Linux Force
66
# Nega conex o exceto para portas SSL
67
http_access deny CONNECT ! SSL_ports
68
# Libera acesso ao localhost
69
http_access allow localhost
70
71
# ##### Minhas regras ######
72
73
# Nega qualquer outra rede
74
http_access deny all
12.0.65 Criando a estrutura do Squid

Execute os comandos abaixo para criar a estrutura de diretrios do Squid:
root@firewall :~ # service squid stop
root@firewall :~ # squid -z
2011/08/17 16:56:05| Creating Swap Directories
root@firewall :~ # service squid start
Starting Squid HTTP proxy : squid .
12.0.66 Filtrando acessos com Squid

Controlar o que deve ou no deve ser acessvel na internet a partir da rede interna
uma das opes mais interessantes oferecidas pelo "Squid". Ento, para que possamos entender como trabalhar com "ACLs", vamos criar o seguinte cenrio: qualquer
"host"na minha rede deve ser impedido de navegar em qualquer domnio ".com",
tendo como nica exceo o site "www.globo.com". Como fazer isso?
Crie uma ACL com a rede de origem, uma ACL para domnios ".com" e uma ACL
para o domnio "globo.com". Insira as linhas abaixo da entrada Minhas ACLs no
Pgina 256
Linux Force
/etc/squid/squid.conf:
# ##### Minhas ACL s ######
acl RedeDexter src 192.168. X .0/24
acl Internacional dstdomain . com
acl Globo dstdomain . globo . com
Agora com as ACLs criadas, iremos especificar as polticas de acesso e bloqueios

com o "http_access". Insira uma entrada Minhas regras no final do arquivo o
/etc/squid/squid.conf, conforme abaixo:
http_access allow RedeDexter Globo
http_access deny RedeDexter Internacional
http_access allow RedeDexter
Para checar se h erros na configurao, execute o comando abaixo. Se retornar ao

prompt, sua configurao est OK:
root@firewall :~ # squid -k parse
Visto que no recomendvel efetuar um restart no servio do Squid devido demora em checar todas as suas entradas em cache, execute o comando abaixo para
reler o arquivo squid.conf:
root@firewall :~ # squid -k reconfigure
Configure o navegador no cliente:
Pgina 257
Linux Force
Acesse as opes na sequncia abaixo:
Informe o endereo do seu servidor Proxy e a porta a ser utilizada. Marque a utilizao do proxy para todos os protocolos:
Pgina 258
Linux Force
Limpe o cache do navegador para no atrapalhar nossos teste:
Acessando a pgina do google.com.br - LIBERADO!
Pgina 259
Linux Force
Acessando a pgina do google.com - NEGADO!
Pgina 260
Linux Force
Lembrete: A ordem das ACLs no importa, porm, o "Squid"far o filtro de

acordo com a ordem das regras de acesso configuradas por "http_access". Portanto
a ordem dos "http_access" o que nos importa! Lembre-se disso quando fizer "troubleshooting"ou criar novas regras.
12.0.67 Blacklist e Whitelist

O conceito de "Blacklist"e "Whitelist" muito simples:
Blacklist - Uma lista de palavras que eu quero negar;
Whitelist - Uma lista de domnios que eu quero liberar.
Para exemplificar o uso de "blacklists"e "whitelists", vamos criar duas "ACLs", uma
negando qualquer "url"que contenha a palavra "linux" e outra liberando os sites
"www.treinamentolinux.com" e "www.linuxforce.com.br":
# ##### Minhas ACL s ######
acl RedeDexter src 192.168. X .0/24
acl Internacional dstdomain . com
acl Globo dstdomain . globo . com
acl blacklist url_regex linux
acl whitelist dstdomain www . treinamentolinux . com

www . linuxforce . com . br
...
10
http_access allow RedeDexter whitelist
11
http_access deny RedeDexter blacklist
12
http_access allow RedeDexter Globo
Pgina 261
Linux Force
13
http_access deny RedeDexter Internacional
14
http_access allow RedeDexter
Reinicie o squid:
Agora, tente acessar os sites:
www . linuxforce . com . br
www . vivaolinux . com . br
www . treinamentolinux . com
www .br - linux . org
Para aprender mais, acesse http://www.squid-cache.org e leia a documentao

oficial do projeto "Squid".
12.0.68 Autenticao NCSA

O "Squid"possui um mecanismo de autenticao que pode trabalhar de diversas maneiras, e uma delas, a NCSA, utiliza o mesmo mecanismo de autenticao do servidor Web Apache. Vamos configurar esse modelo de autenticao e criar uma ACL
que exija autenticao tambm. Vamos configurar a autenticao do Squid, adicionado o contedo abaixo no incio do arquivo /etc/squid/squid.conf:
1 auth_param basic program / usr / lib / squid / ncsa_auth

/ etc / squid / passwd
Pgina 262
Linux Force
2 auth_param basic children 5
3 auth_param basic realm >>> Servidor Proxy Squid - Dexter <<<
4 auth_param basic credentialsttl 2 hours
1.Linha 1 - configura o programa autenticador;

2.Linha 2 - nmero de processos de autenticao;
3.Linha 3 - configura a mensagem da caixa de autenticao;
4.Linha 4 - configura o tempo de validade da autenticao. Vamos cadastrar tambm,
alm da ACL que ir gerenciar a autenticao no proxy, o http_access que permitir
o acesso autorizado:
# #### Minhas ACL s ######
acl password proxy_auth REQUIRED
3
4
# ##### Minhas Regras ######
http_access deny ! password
# ### = > primeira da lista !
Gerando o arquivo de senhas:
root@firewall :~ # aptitude install apache2 - utils
root@firewall :~ # htpasswd -c / etc / squid / passwd mandarkglory
Reinicie o servio do Squid e tente acessar qualquer site!
root@firewall :~ # service squid restart
Solicitao de usurio e senha:
Pgina 263
Linux Force
Aps o logar com o usurio vlido no proxy:
Pgina 264
Linux Force
12.0.69 Auditoria de acesso com SARG

O SARG (Squid Analysis Report Generator) uma ferramenta desenvolvida pelo
brasileiro Pedro Lineu Orso, cujo objetivo analisar o arquivo "/var/squid/log/access.log" e gerar um relatrio de acesso baseado no contedo acessado pelos
usurios. Resumindo, usado para auditoria de acesso!
Na verso do Debian Squeeze o Sarg no est no repositrio oficial, por isto teremos
que inserir o repositrio backports. O que seria ento backports? O backports um
repositrio paralelo ao projeto Debian. Ele mantido pelos desenvolvedores e
pela equipe de segurana do Debian. Esse repositrio rene novos programas e
novas verses de programas compilados sobre o stable.
Para utilizarmos o backports simples, primeiro devemos adicionar o seu repositrio
no arquivo /etc/apt/sources.list:
root@firewall :~ # vim / etc / apt / sources . list
# ## adicionar
deb http :// www . backports . org / debian squeeze - backports main contrib
\ non - free
Depois atualize:
root@firewall :~ # aptitude update
root@firewall :~ # aptitude -t squeeze - backports install sarg
root@firewall :~ # sarg
Como voc pode perceber, todos os backports vem desativados por default. Por isto
tivemos que informar qual o tipo de repositrio a ser utilizado!
Vamos observar seu arquivo de configurao. Fique a vontade e leia alguns comentrios para entender as funes do "SARG".
Pgina 265
Linux Force
root@firewall :~ # vim / usr / sbin / sarg - reports
Para que a pgina de relatrio seja acessada, instale o Apache2:
root@firewall :~ # aptitude install apache2 -y
Edite o arquivo abaixo com o contedo apontando para o diretrio do Sarg:
root@firewall :~ # vim / etc / apache2 / httpd . conf
Alias / squid - reports " / var / lib / sarg / "
DirectoryIndex index . html
Reinicie o Apache:
root@firewall :~ # service apache2 restart
Agora, acesse o endereo e veja os acessos dos usurios:
http ://192.168. X .1/ squid - reports
Tela inicial do Sarg com data de acesso:
Pgina 266
Linux Force
Selecionando um data, podemos ver os usurios/IPs. Selecione o usurio:
Agora podemos ver o final do relatrio de acessos e o total de uso de banda:
Pgina 267
Linux Force
12.0.70 Autenticao via OpenLDAP
Vamos agora configurar o Squid para fazer autenticao usando a base de dados do
OpenLDAP j criada. bastante simples. Bata alterar a linha de configurao da
autenticao do usurio (auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd) para a linha abaixo:
auth_param basic program / usr / lib / squid / ldap_auth -b \
dc = dexter , dc = com , dc = br -f uid =% s 192.168. X .2
Reinicie o servio:
Pgina 268
Linux Force
Quando habilitamos a autenticao anteriormente, s tnhamos criado o usurio

mandarkglory com o htpasswd, agora voc pode testar outros usurios na autenticao, pois agora a base usada ser a do OpenLDAP. Faa o teste logando com os
usurios allissonmore e candimilo!
Pgina 269
Captulo 13
Firewall
13.0.71 Cenrio
A fim de que ningum acesse dados indevidos da empresa ou mesmo de seus clientes, a empresa DEXTER COURIER deve contar com um excelente Firewall para
bloquear tentativas de invaso e liberar apenas o trfego necessrio aos servios
que ficam na mquina DMZ.
Faremos a implementao do Firewall baseado no Iptables, gerenciando as polticas

de entrada de pacotes na empresa Dexter, bem como a liberao de acesso externo
ao servidor da DMZ.
O que um firewall?
Linux Force
Firewall
Um firewall faz o filtro de pacotes que passam na rede. Para configurar um firewall
necessrio o conhecimento sobre a estrutura da rede em questo e dos diferentes
protocolos envolvidos na comunicao, isto , dos servios que a rede usa para que
eles no percam a comunicao. O objetivo em ter uma mquina fazendo o papel
de Firewall Gateway em nossa rede minimizar as tentativas de ataques que elas
recebem, tentando impedir possveis invases e levantamento de informaes.
Os sistema GNU/Linux com Kernel 2.6 trabalham com o "Iptables"para fazer o gerenciamento de regras de Firewall. Lembrando que o "Iptables" apenas um "frontend"que gerencia o suporte "Netfilter"no "Kernel".
Caractersticas do iptables :
Filtro de pacotes statefull => isso significa que o iptables capaz de atuar sobre
as camadas do protocolo TCP;
Modularidade => a configurao do kernel modular e com o netfilter no diferente, pois novas funcionalidades podem ser adicionadas sem muito esforo.
Um mdulo s ser usado se for da necessidade do administrador;
http://www.prefirolinux.com/iptables-firewall/74-firewall-e-iptables-tudo-quevoce-precisa-saber-sem-duvidas-o-melhor-conteudo-da-internet-parte-1-9.html
13.0.74 Revisando os conceitos de Rede

Os dados so transmitidos na Internet agrupados em pacotes TCP (de maneira geral). Esses pacotes TCP podem conter at 1460 bytes de dados. Alm dos dados,
40 bytes adicionais vo junto no pacote. Nesses 40 bytes a mais seguem:
- IP de origem
Pgina 271
Linux Force
- IP de destino
- Porta de origem
- Porta de destino
- C digos de verifica o
- N mero do pacote
Firewall
Os cdigos de verificao servem para garantir a integridade dos dados que esto
sendo trafegados na rede. A funo bsica do IP cuidar do endereamento e entrega de pacotes. A funo bsica do TCP fazer verificaes de erros e numerao
de portas. Logo, os dados sero transmitidos de forma quebrada, em pacotes menores.
Existem 65.536 portas TCP e UDP. Elas so numeradas de 0 e 65.535. As portas
baixas esto na faixa entre 0 a 1023. Elas esto reservadas para servios mais
conhecidos como: servidor web, ftp, ssh, telnet, servidores de e-mail, compartilhamento de arquivos, como, por exemplo, Samba, NFS etc. Portas altas esto faixa
acima de 1023.
Relembrando...
As portas padr es de um servidor FTP : 21 e 20.
A porta padr o de um servidor web : 80.
A porta padr o de um servidor web com https : 443.
A porta padr o do SMTP : 25.
A porta padr o POP3 : 110.
A porta padr o POP3S : 995.
A porta padr o IMAP : 143.
A porta padr o IMAPS : 995.
A porta padr o do SSH : 22.
10
A porta padr o para transfer ncia de zona do DNS : 53/ tcp .
11
A porta padr o para consulta de DNS : 53/ udp .
12
A porta padr o do OpenLDAP : 389.
13
A porta padr o do proxy Squid : 3128.
14
A porta padr o do OpenVPN : 5000
15
No arquivo " / etc / services " podemos obter toda a rela o de portas !
Pgina 272
Linux Force
Firewall
13.0.75 TTL
Atravs de um simples ping, conseguimos deduzir o Sistema Operacional de uma
mquina. Por exemplo:
root@firewall :~ # ping - c2 www . uol . com . br
PING www . uol . com . br (200.221.2.45) 56(84) bytes of data .
64 bytes from home . uol . com . br (200.221.2.45) : icmp_req =1 ttl =54

time =15.0 ms
64 bytes from home . uol . com . br (200.221.2.45) : icmp_req =2 ttl =54

time =16.1 ms
Neste exemplo temos uma TTL (Time to Live) no valor de 54.

Os valores de TTL (padres) so seguidos por:
Roteadores Ciclades = 30
Linux = 64
Windows = 128
Cisco = 255
Linux + Iptables = 255
Por exemplo, quando executamos um ping em www.uol.com.br ele respondeu o

valor 54. O valor mais prximo desse valor de TTL o valor 64, do Linux. Se
considerarmos que o pacote deu 10 hops (saltos) at chegar ao destino (passou por
10 roteadores) ento temos o clculo: 64-10=54.
Sendo assim, provavelmente o sistema operacional que o servidor do UOL est
usando Linux. E para saber essa quantidade de hops que um pacote faz at
Pgina 273
Linux Force
Firewall
chegar ao seu destino, podemos usar ferramentas como traceroute e mtr.

Para sabermos o valor de TTL do SO, podemos executar:
root@firewall :~ # cat / proc / sys / net / ipv4 / ip_default_ttl
64
Outro comando para verificar o valor de TTL :
root@firewall :~ # sysctl -a | grep ip_default
net . ipv4 . ip_default_ttl = 64
E se quisermos alterar esse valor de TTL, tambm podemos! Mas se alterarmos

simplesmente esse arquivo, no ser o suficiente, porque ele no ficar fixo! Para
fixar um valor diferente do valor padro, necessrio editar o arquivo abaixo e no
final dele acrescentar uma linha com o novo valor de TTL que voc definir:
root@firewall :~ # vim / etc / sysctl . conf
net . ipv4 . ip_default_ttl = 64
Quando adicionamos a linha com o valor de TTL no arquivo /etc/sysctl.conf, temos

que usar o comando abaixo para validar a alterao:
root@firewall :~ # sysctl -p / etc / sysctl . conf
Vamos instalar os programas traceroute e mtr para teste:
root@firewall :~ # aptitude install traceroute mtr
root@firewall :~ # traceroute www . uol . com . br
Pgina 274
Linux Force
Firewall
traceroute to www . uol . com . br (200.221.2.45) , 30 hops max , 60 byte

packets
189.59.249.97. static . host . gvt . net . br (189.59.249.97)
22.555 ms
6
22.796 ms
gvt -te -0 -3 -0 -0 - rt01 . spo . gvt . net . br (189.59.248.61)

17.854 ms
* * *
200 -147 -26 -113. static . uol . com . br (200.147.26.113)
10
24.095 ms
17.721 ms
22.755 ms
29.581 ms
21.413 ms
22.924 ms
200.221.136.154 (200.221.136.154)
22.403 ms
23.011 ms
22.187
ms
10
11
11
...
12
30
* * *
* * *
Cada linha que aparece um nome um roteador por onde o pacote passa. Notem
que ele passa por vrios lugares! E quando pingo para o site da uol, ele d um valor
de TTL 54 + 10 hops dos pacotes = 64.
Por padro o comando traceroute procura por at 30 hops, mesmo que ele no encontre nada, que o caso de quando aparece ***.
Mas na linha de hop 8 por exemplo, apareceu *** e depois aparaceu um nome na
linha 9. Provavelmente temos uma mquina que est com o ping bloqueado ou ento
uma mquina com firewall, portanto ela no aparece quando o comando traceroute
faz as buscas.
Verifique agora com o comando mtr:
root@firewall :~ # mtr uol . com . br
Pgina 275
Linux Force
Firewall
13.0.76 Tabelas do Iptables

O Iptables possui 4 tabelas, sendo elas:
Filter - Como o nome sugere, trata-se de uma tabela de controle de contedo

dos pacotes. Serve para atribuir permisses de acessos essenciais (permitir/negar)
Nat - Esta tabela utilizada no compartilhamento de conexes, permitindo que

redes internas roteiem e possam acessar a Internet, por exemplo.
Mangle - utilizada para modificar uma propriedade de um pacote e seu uso

avanado, como por exemplo influenciar na deciso de roteamento, filtro ou
controle de banda.
Raw - Tabela usada para configurar excees do rastreamento de conexes do

Kernel. Esse mecanismo tambm conhecido como: "connection tracking".
A tabela "filter" a tabela padro do "Iptables".
Cada uma dessas tabelas possui o que chamamos de "chains". nelas onde vo
ser definidas as regras para o nosso "firewall". A traduo literal seria "correntes",
assim cada tabela teria uma corrente, onde cada elo corresponderia a uma regra.
13.0.77 O que uma chain?

Local onde vo ser definidas as regras para o nosso firewall. Cada Tabela possui
suas CHAINS. As da tabela filter so as seguintes:
Pgina 276
Linux Force
Firewall
INPUT
Regras de entrada de pacotes .
OUTPUT
- Regras de sa da de pacotes .
FORWARD
- Regras de passagem de pacotes pelo firewall .
As CHAINS da tabela NAT so as seguintes:
PREROUTING
- Regras que ser o processadas antes do roteamento
dos pacotes nas interfaces do firewall .

2
POSTROUTING
- Regras que ser o processadas p s roteamento dos
pacotes nas interfaces do firewall .

3
OUTPUT
- Regras de sa da de pacotes .
13.0.78 Compreendendo as polticas bsicas e o conceito das

excees
A metodologia utilizada para implementao do "firewall"ser a seguinte:
Iremos negar todo o trfego para as "chains"de "INPUT", "OUTPUT"e "FORWARD"da

tabela "filter", posteriormente iremos definir a relao dos servios que devem ser liberados no "firewall", as chamadas excees. Todo o trfego de pacotes que as nossas excees no cobrir ser bloqueado por padro. Em suma, o que no for oficialmente permitido j est expressa e previamente negado. Perceba que as "chains"so
descritas em letras maisculas.
Pgina 277
Linux Force
Firewall
Na Linux Force temos dois treinamentos de segurana da informao: Pen

Test, testes de vulnerabilidades de redes usando a OSSTMM Segurana de servidores Linux usando a ISO27002
A Prova do LPI nmero 303 focada em Segurana. Conceitos e comando bsicos
do "iptables"so cobrados na prova 202.
A sintaxe do comando iptables : iptables [-t tabela] [opo] [chain] [dados] -j

[alvo]
Parmetros:
Alvos:
Pgina 278
Linux Force
Firewall
13.0.79 Laboratrio
Vamos montar nosso "firewall", mas antes verifique como esto configuradas as polticas bsicas que esto definidas por padro:
root@firewall :~ # iptables -t filter - nL
Chain INPUT ( policy ACCEPT )
target
prot opt source
destination
4
5
Chain FORWARD ( policy ACCEPT )
target
prot opt source
destination
7
8
Chain OUTPUT ( policy ACCEPT )
target
prot opt source
destination
10
11
root@firewall :~ # iptables -t nat - nL
12
Chain PREROUTING ( policy ACCEPT )
13
target
prot opt source
destination
14
15
Chain POSTROUTING ( policy ACCEPT )
16
target
prot opt source
destination
17
18
Chain OUTPUT ( policy ACCEPT )
19
target
prot opt source
destination
Pgina 279
Linux Force
Firewall
Um detalhes muito importante se o nosso firewall ser o gateway da rede, ou

seja, a fronteira entre a sua rede e a internet. Se a resposta for positiva, devemos
estabelecer uma poltica que faa o repasse dos pacotes de uma rede para a outra
(forward). A primeira coisa que precisamos fazer liberar o repasse de pacotes entre
as interfaces de rede, no kernel:
root@firewall :~ # sysctl -w net . ipv4 . ip_forward =1
Para deixar esse valor fixo, devemos deixar esse parmetro dentro de /etc/sysctl.conf.
Basta descomentar a linha 28:
root@firewall :~ # vim +28 / etc / sysctl . conf
net . ipv4 . ip_forward =1
13.0.80 Script de firewall

Segue aqui um "script"com todas as regras necessrias para nosso servidor entrar
em produo. Esse "script"pode ser adicionado aos nveis de execuo do sistema,
para ser carregado sempre que a mquina for ligada. Vamos chamar nosso "script"de
"firewall":
root@firewall :~ # vim / etc / init . d / firewall
# !/ bin / bash
# Firewall personalizado - Curso Linux Servers
clear
## Defini o de variaveis
OK ="[ \E [01;32 mOK \ E [ m ] "
IPT =$( which iptables )
# ativando caminho completo do
Iptables
8
IPVALIDO = " 200.100.50. X "
# IP vindo da Internet ( interface
externa )
Pgina 280
Linux Force
Firewall
# IPAMIGO ="200.100.50. X "
# IP do amigo para conex o da VPN
10
FIREWALL = " 192.168. X .1 "
# IP do Firewall ( interface interna )
11
DATACENTER = " 192.168. X .2 "
# IP da m quina Datacenter
12
DMZ =" 192.168. X .3 "
# IP da m quina DMZ
13
STORAGE =" 192.168. X .4 "
# IP da m quina STORAGE
14
SQUEEZE =" 192.168. X .10 "
# IP da m quina SQUEEZE
15
WINXP =" 192.168. X .20 "
# IP da m quina Windows XP
16
EXTERNA =" eth0 "
# Placa de rede da Internet
( interface externa )
17
INTERNA =" eth1 "
# Placa de rede da Rede Local
( interface interna )
18
PA =" 1024:65535 "
19
REDE =" 192.168. X .0/24 "
# Portas altas
# Defini o da Rede interna
20
21
# Carregando m dulos
22
modprobe ip_conntrack_ftp
23
modprobe ip_nat_ftp
24
25
ativar () {
26
# ## Limpando as regras
27
$IPT -F
28
$IPT -X
29
$IPT -t nat -F
30
$IPT -t nat -X
31
$IPT -P INPUT ACCEPT
32
$IPT -P OUTPUT ACCEPT
33
$IPT -P FORWARD ACCEPT
34
echo 0 > / proc / sys / net / ipv4 / ip_forward
35
36
## Definindo a Pol tica padr o com DROP ( fecha tudo !)
37
$IPT -P INPUT DROP
38
$IPT -P OUTPUT DROP
39
$IPT -P FORWARD DROP
40
echo -e " Pol tica padr o - DROP
\ t \ t \ t $OK "
41
42
## Ativando Forward
43
Pgina 281
Linux Force
Firewall
44
45
## Liberando acesso a Internet para rede local
46
$IPT -A FORWARD -s $REDE -j ACCEPT
47
$IPT -A FORWARD -d $REDE -j ACCEPT
48
$IPT -t nat -A POSTROUTING -o $INTERNA -s $REDE -j MASQUERADE
49
$IPT -t nat -A POSTROUTING -o $EXTERNA -s $REDE -j MASQUERADE
50
echo -e " Liberando Acesso Rede internet
\ t \ t \ t $OK "
51
52
# Regras de LOGs
53
$IPT -A INPUT -j LOG -- log - prefix " Logs do Firewall : INPUT
"
--log - level CRIT

54
$IPT -A OUTPUT -j LOG -- log - prefix " Logs do Firewall : OUTPUT
"
--log - level CRIT

55
$IPT -A FORWARD -j LOG -- log - prefix " Logs do Firewall : FORWARD
"
--log - level CRIT

56
echo -e " Iniciando regras de LOG
\ t \ t \ t $OK "
57
## Liberando SSH na m quina Firewall
58
$IPT -t filter -A INPUT -p tcp -s 0/0 -- sport 1024:65535 -d

$IPVALIDO -- dport 50000 -j ACCEPT
59
$IPT -t filter -A OUTPUT -p tcp -s $IPVALIDO -- sport 50000 -d 0/0

-- dport 1024:65535 -j ACCEPT
60
61
## Liberando SSH nas m quinas INTERNAS
62
$IPT -t nat -A PREROUTING -p tcp -s 0/0 -- sport 1024:65535 -d

$FIREWALL -- dport 51000 -j DNAT --to - destination
$DATACENTER :51000
63

$FIREWALL -- dport 52000 -j DNAT --to - destination $DMZ :52000
64

$FIREWALL -- dport 53000 -j DNAT --to - destination $STORAGE :53000
65

$FIREWALL -- dport 54000 -j DNAT --to - destination $SQUEEZE :54000
66
echo -e " Liberando Acesso s VM teste
\ t \ t \ t $OK "
67
68
## Liberando LoopBack
69
$IPT -A OUTPUT -d 127.0.0.1 -j ACCEPT
70
$IPT -A INPUT -d 127.0.0.1 -j ACCEPT
Pgina 282
Linux Force
71
Firewall
echo -e " Liberando Acesso Localhost
\ t \ t \ t $OK "
72
73
## Estabilizando
as conex es
74
$IPT -A INPUT -m state -- state RELATED , ESTABLISHED -j ACCEPT
75
$IPT -A OUTPUT -m state -- state ESTABLISHED , RELATED -j ACCEPT
76
$IPT -A FORWARD -m state -- state RELATED , ESTABLISHED -j ACCEPT
77
echo -e " Estabilizando as conex es
\ t \ t \ t $OK "
78
79
## Liberando Ping ( Sa da de icmp 8 e Entrada de icmp 0)
80
$IPT -A OUTPUT -p icmp -- icmp - type 8 -s $FIREWALL -d 0/0 -j ACCEPT
81
$IPT -A OUTPUT -p icmp -- icmp - type 8 -s $IPVALIDO -d 0/0 -j ACCEPT
82
$IPT -A INPUT -p icmp -- icmp - type 0 -s 0/0 -d $FIREWALL -j ACCEPT
83
$IPT -A INPUT -p icmp -- icmp - type 0 -s 0/0 -d $IPVALIDO -j ACCEPT
84
$IPT -A INPUT -p icmp -- icmp - type 11 -s 0/0 -d $FIREWALL -j ACCEPT
85
$IPT -A INPUT -p icmp -- icmp - type 11 -s 0/0 -d $IPVALIDO -j ACCEPT
86
echo -e " Liberando Acesso ao ping
87
## Liberando acesso ao proxy SQUID no Firewall
88
$IPT -A INPUT -s $REDE -p tcp -- dport 3128 -j ACCEPT
89
echo -e " Liberando Acesso ao Proxy Squid
\ t \ t \ t $OK "
\ t \ t \ t $OK "
90
91
## Liberando acesso VPN no Firewall
92
# $IPT -A INPUT -p tcp -s $IPAMIGO -- sport 5000 -d $IPVALIDO -- dport

5000 -j ACCEPT
93
# $IPT -A OUTPUT -p tcp -s $FW -- sport 5000 -d $IPAMIGO -- dport 5000

$IPVALIDO -j ACCEPT
94
# echo -e " Liberando Acesso VPN
\ t \ t \ t $OK "
95
96
## Liberando resolu o de nomes
97
$IPT -A FORWARD -p udp -s $DMZ -- sport $PA -d 0/0 -- dport 53 -j

ACCEPT
98
# $IPT -A FORWARD -p udp -s 0/0 -- sport 53 -d $DMZ -- dport $PA -j

ACCEPT
99
echo -e " Liberando Acesso ao DNS
\ t \ t \ t $OK "
100
101
## Liberando navega o web ( INTERNET ) para a REDE INTERNA
102
$IPT -A FORWARD -p tcp -s $REDE -- sport $PA -d 0/0 -- dport 80 -j

ACCEPT
Pgina 283
Linux Force
103
Firewall
$IPT -A FORWARD -p tcp -s $REDE -- sport $PA -d 0/0 -- dport 443 -j

ACCEPT
104
echo -e " Liberando Acesso ao Servidor Web
\ t \ t \ t $OK "
105
106
## Redirecionando acesso externo para o site , e - mail e ftp da

DEXTER na DMZ
107
for PORTA in 20 21 25 80 110 143 443 465 587 993 995; do
108
$IPT -t nat -A PREROUTING -d $IPVALIDO -p tcp -- dport $PORTA -j

DNAT -to - destination \ $DMZ : $PORTA
109
done
110
echo -e " Redirecionando Acesso ao Servidor Web
\ t \ t \ t $OK "
111
echo -e " Redirecionando Acesso ao Servidor MTA
\ t \ t \ t $OK "
112
echo -e " Redirecionando Acesso ao Servidor FTP
\ t \ t \ t $OK "
113
114
## Redirecionando para o Servidor de DNS na DMZ
115
$IPT -t nat -A PREROUTING -d $IPVALIDO -p udp -- dport 53 -j DNAT

--to - destination $DMZ :53
116
echo -e " Redirecionando Acesso ao Servidor DNS
117
echo
118
echo " >>> Firewall ativado ! <<<"
119
echo
120
121
desativar () {
122
# ## Limpando as regras
123
$IPT -F
124
$IPT -X
125
$IPT -t nat -F
126
$IPT -t nat -X
127
$IPT -P INPUT ACCEPT
128
$IPT -P OUTPUT ACCEPT
129
$IPT -P FORWARD ACCEPT
130
131
echo -e " Limpando Regras da Tabela Filter
\ t \ t \ t $OK "
132
echo -e " Limpando Regras da Tabela NAT
\ t \ t \ t $OK "
133
echo -e " Definindo a pol tica padr o como ACCEPT
\ t \ t \ t $OK "
134
echo " >>> Firewall destativado ! <<<"
135
\ t \ t \ t $OK "
Pgina 284
Linux Force
136
Firewall
case " $1 " in
137
" start " ) ativar ;;
138
" stop " ) desativar ;;
139
*) echo " Use start para ativar ou stop para desativar o

firewall " ;;
140
esac
Para que ele seja iniciado junto com sistema quando a mquina for ligada, podemos
colocar o "script"nos nveis de execuo:
root@firewall :/ etc / init . d # chmod + x firewall
root@firewall :/ etc / init . d # insserv -v firewall
root@firewall :/ etc / init . d # ls -l / etc / rc2 . d
Todas as regras que so feitas ficam na memria do computador. Caso ele seja
reiniciado, perderemos todas elas. Podemos utilizar os comandos "iptables-save"e
"iptables-restore".
root@firewall : # iptables - save
root@firewall : # iptables - save > / root / firewall
root@firewall : # service firewall stop
root@firewall : # iptables - restore / root / firewall
root@firewall : # iptables - nL ; sleep 5 ; iptables -t nat -n
Pgina 285
Captulo 14
Servidor OpenVPN
14.0.81 Cenrio
Visto que a empresa DEXTER COURIER possui alguns colaboradores fora do ambiente corporativo (home-office), ela precisa de uma forma segura para que eles
possam acessar a rede da empresa.

Com a flexibilidade das conexes proporcionadas com Internet hoje em dia, vimos
um crescente aumento de colaboradores que necessitam estar em muitos lugares e
ao mesmo tempo conectados na empresa. Para isto devemos montar uma estrutura
de VPN com autenticao criptografada, elevando assim a segurana dos acessos
externos.
14.0.83 Introduo Terica

VPN (Virtual Private Network) uma rede de comunicao particular, geralmente
utilizando canais de comunicao inseguros, como a "LAN"ou mesmo a WAN (Inter-
Linux Force
Servidor OpenVPN
net). O que torna esta rede de comunicao particular o fato das ferramentas de
"VPN"empregarem mtodos e protocolos de criptografia, criando um tnel para prover acesso seguro a partes da rede ou mesmo ligao entre "LANs"geograficamente
separadas, eliminando a necessidade de um canal de comunicao privativo de alto
custo fornecido pela operadora de telecomunicaes.
Tambm podemos utilizar uma ferramenta de "VPN"para implementar ou reforar a segurana de acesso h algum servio dentro de nossa rede.
Por exemplo, supomos que voc possui um software de gerao de notas fiscais
e os funcionrios acessam este terminal via "telnet", que um protocolo que no
implementa criptografia. Para corrigir esta situao e reforar a segurana deste
ambiente, voc poderia configurar uma "VPN"entre o computador dos usurios e o
servidor, melhorando assim a segurana deste servio.
A VPN no passado j esteve associada a servios remotos de conectividade, como

a Rede de Telefonia Pblica Comutada (RTPC) ou os PVCs (Permanent Virtual
Circuits/Channel) do Frame Relay.
Pgina 287
Linux Force
Servidor OpenVPN
A VPN utiliza protocolos de tunelamento e procedimentos de encriptao, garantindo

a integridade e autenticidade dos dados.
14.0.84 Protocolos de tunelamento

Para se estabelecer um tnel necessrio que as suas extremidades utilizem o
mesmo protocolo de tunelamento. O tunelamento pode ocorrer na camada 2 ou
3 (respectivamente, enlace e rede) do Modelo de Referncia OSI (Open Systems
Interconnection).
Tunelamento em Nvel 2 - Enlace - (PPP sobre IP)
O objetivo transportar protocolos de nvel 3, tais como o IP e IPX na Internet. Os
protocolos utilizam quadros como unidade de troca, encapsulando os pacotes da ca-
Pgina 288
Linux Force
Servidor OpenVPN
mada 3 (como IP/IPX) em quadros PPP (Point-to-Point Protocol). Como exemplos

podemos citar:
1.PPTP (Point-to-Point Tunneling Protocol) da Microsoft permite que o trfego IP,
IPX e NetBEUI sejam criptografados e encapsulados para serem enviados atravs
de redes IP privadas ou pblicas como a Internet;
2.L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force)
permite que o trfego IP, IPX e NetBEUI sejam criptografados e enviados atravs de
canais de comunicao de datagrama ponto a ponto tais como IP, X25, Frame Relay
ou ATM.
3.L2F (Layer 2 Forwarding) da Cisco utilizada para VPNs discadas. Tunelamento
em Nvel 3 - Rede - (IP sobre IP)
Encapsulam pacotes IP com um cabealho adicional deste mesmo protocolo antes
de envi-los atravs da rede.
O IP Security Tunnel Mode (IPSec) da IETF permite que pacotes IP sejam criptografados e encapsulados com cabealho adicional deste mesmo protocolo para
serem transportados numa rede IP pblica ou privada. O IPSec um protocolo desenvolvido para IPv6, devendo, num futuro bem prximo, se constituir como padro
para todas as formas de VPN. O IPSec sofreu adaptaes possibilitando, tambm, a
sua utilizao com o Ipv4.
http://www.gta.ufrj.br/grad/00_1/pedro/vpns.htm
14.0.85 Arquitetura de VPNs

As VPNs podem ter as seguintes arquiteturas: gateway-gateway, host-to-host e hostto-gateway.:
Pgina 289
Linux Force
Servidor OpenVPN
Gateway-to-gateway: VPN criada para proteger a comunicao entre 2 redes,

por exemplo a rede da matriz de uma companhia interligada a rede de um
escritrio da mesma companhia;
Host-to-host: VPN criada para proteger a comunicao entre dois computadores

especficos. Utilizada, geralmente, quando pequeno numero de usurios tm que
administrar remotamente um sistema;
Host-to-gateway: VPN criada para a proteo da conexo entre um ou mais usurios e uma rede especfica, por exemplo, entre os funcionrios longe da sede da
empresa e a rede da empresa.
Pgina 290
Linux Force
Servidor OpenVPN
http://www.gta.ufrj.br/grad/08_1/vpn/tiposarq.html
14.0.86 Laboratrio
Ns trabalharemos neste laboratrio com um par de chaves simtricas, ou seja,
usaremos a mesma chave tanto para o servidor "VPN"quanto para o cliente "VPN".
Logo, a chave deve ser gerada no servidor e replicada para o cliente via "SSH".
14.0.87 Configurando o servidor

O primeiro passo instalar o software OpenVPN:
root@firewall :~ # aptitude install openvpn
Vamos gerar a chave:
root@firewall :~ # openvpn -- genkey -- secret / etc / openvpn / chave
Pgina 291
Linux Force
Servidor OpenVPN
Vamos gerar o arquivo de configurao do servidor:
root@firewall :~ # vim / etc / openvpn / server . conf
# Habilita suporte ao driver TUN / TAP ;
dev tun
# Endere os da VPN ( sempre na ordem local - remoto )
ifconfig 10.0.0.1
# Comando para chamar nossa chave criptografada e o local dela ;
secret / etc / openvpn / chave
# Define a porta que o OpenVPN vai rodar ;
port 5000
10.0.0.2
10
# Ativa suporte a compress o ;
11
comp - lzo
12
# N vel para depura o de erros ;
13
verb 4
14
# Envia um ping a cada 10 segundos sem atividade e a VPN

reiniciada depois de 120 segundos sem respostas ;
15
keepalive 10 120
16
# Assegura que o daemon mantenha as chaves carregadas , quando a VPN

restabelecida depois de uma queda de conex o ;
17
persist - key
18
# Assegura que o daemon mantenha a interface tun aberta , quando a

VPN restabelecida depois de uma queda de conex o ;
19
persist - tun
20
# Permite que o t nel continue aberto mesmo que o endere o IP da

outra m quina mude .
21
float
14.0.88 Configurando o cliente

Tambm necessrio ter o OpenVPN no cliente. Neste caso iremos usar a mquina
Squeeze para teste da VPN:
Pgina 292
Linux Force
Servidor OpenVPN
root@firewall :~ # aptitude install openvpn
Vamos entrar no diretrio "/etc/openvpn"e copiar a chave do servidor:
root@squeeze :~ # cd / etc / openvpn
root@squeeze :/ etc / openvpn # scp - P50000 \
200.100.50. X :/ etc / openvpn / chave .
Vamos gerar o arquivo de configurao do cliente:
root@squeeze :~ # vim / etc / openvpn / client . conf
dev tun
ifconfig 10.0.0.2
# Endere o do servidor VPN
remote 200.100.50. X
secret / etc / openvpn / chave
port 5000
comp - lzo
verb 4
10
keepalive 10 120
11
persist - key
12
persist - tun
13
float
10.0.0.1
Vamos iniciar a "VPN"no servidor... quanto no cliente.
root@firewall :~ # openvpn -- config / etc / openvpn / server . conf
Fri Aug 19 04:41:47 2011 us =606727 Local Options hash ( VER = V4 ) :

099 d04aa
Fri Aug 19 04:41:47 2011 us =606727 Expected Remote Options hash

( VER = V4 ) : f1025742
Fri Aug 19 04:41:47 2011 us =606728 UDPv4 link local ( bound ) : [ undef ]
Pgina 293
Linux Force
Servidor OpenVPN
Fri Aug 19 04:41:47 2011 us =606728 UDPv4 link remote : [ undef ]
Fri Aug 19 04:42:10 2011 us =340543 Peer Connection Initiated with

[ AF_INET ]192.168. X .10:5000
Fri Aug 19 04:42:10 2011 us =340617 Initialization Sequence Completed
Agora do lado do cliente:
root@squeeze :~ # openvpn -- config / etc / openvpn / client . conf
Fri Aug 19 04:42:12 2011 us =678990 Local Options hash ( VER = V4 ) :

f1025742
Fri Aug 19 04:42:12 2011 us =679035 Expected Remote Options hash

( VER = V4 ) : 099 d04aa
Fri Aug 19 04:42:12 2011 us =679101 UDPv4 link local ( bound ) : [ undef ]
Fri Aug 19 04:42:12 2011 us =679138 UDPv4 link remote :

[ AF_INET ]192.168. X .1:5000
Fri Aug 19 04:42:19 2011 us =833812 Peer Connection Initiated with

[ AF_INET ]192.168. X .1:5000
Fri Aug 19 04:42:19 2011 us =833936 Initialization Sequence Completed
Execute um "ifconfig"para ver se a interface tun0 foi criada:
root@firewall :~ # ifconfig | tail - n9
tun0
Link encap : N o Especificado
Endere o de HW
00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00
3
inet end .: 10.0.0.1
P -a - P :10.0.0.2
Masc :255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST
MTU :1500
M trica :1
5
RX packets :0 errors :0 dropped :0 overruns :0 frame :0
TX packets :0 errors :0 dropped :0 overruns :0 carrier :0
colis es :0 txqueuelen :100
RX bytes :0 (0.0 B )
TX bytes :0 (0.0 B )
Pgina 294
Linux Force
Servidor OpenVPN
14.0.89 Certificados vpn

O OpenVPN oferece vrios mecanismos para adicionar camadas adicionais de segurana, como por exemplo rodar em chroot, uso de conexes TLSs, certificados, uso
de chaves com maiores bits. Todas essas camadas previnem ataques como Man in
the Middle, DoS, Flooding, Port scanning e Buffer overflow.
Vamos deixar o OpenVPN sem privilgios de root . Para isto adicione no final
da configurao do servidor e cliente as opes user e group, assim o
OpenVPN ser executado como usurio nobody e grupo nogroup.
root@firewall :~ #
vim / etc / openvpn / server . conf
...
# Remo o dos privil gios de root na conex o VPN
user nobody
group nogroup
Faa o mesmo para no cliente:
root@squeeze :~ #
vim / etc / openvpn / client . conf
...
# Remo o dos privil gios de root na conex o VPN
user nobody
group nogroup
14.0.90 TLS-Auth HMAC

Voc pode adicionar uma assinatura que ser verificada antes do processamento
de todos os pacotes UPD. Em nossa configurao do servidor vamos habilitar as
seguintes opes:
Pgina 295
Linux Force
Servidor OpenVPN
tls-auth - Habilita o controle de conexes tls;

tls-server - Ajuda a bloquear ataques DoS e flooding na porta do OpenVPN;
ca - Certificado de autoridade (CA) que usa as bibliotecas do OpenSSL;
cert - Certificado do servidor;
key - Chave RSA de 2048 do servidor;
dh - Parmetros Diffie-Hellman utilizado para a troca das chaves criptografadas
durante a execuo;
cipher - Define um tipo de criptografia maior.
Para gerar os certificados e chaves, o OpenVPN traz junto sua instalao uma srie
de scripts chamados easy-rsa. Eles podem ser encontrados em /usr/share/doc/openvpn/examples

rsa/2.0/
root@firewall :~ # ls - lh
/ usr / share / doc / openvpn / examples / easy - rsa /2.0/
Veja que na lista de scripts cada um tem uma funo especfica para criao de
certificados e chaves. Vamos copiar o diretrio com os scripts para nossa instalao
do OpenVPN :
1
2
root@firewall :~ # cp -a / usr / share / doc / openvpn / examples / easy - rsa /2.0

/ etc / openvpn /
Acesse o diretrio com os scripts copiados e crie o subdiretrio onde sero armazenadas as chaves e certificado:
Pgina 296
Linux Force
root@firewall :~ # cd / etc / openvpn /2.0
root@firewall :/ etc / openvpn /2.0 # mkdir keys
Servidor OpenVPN
14.0.91 Gerando certificado CA e chave RSA

Utilizando os scripts vamos gerar os certificados e chaves, que sero utilizados em
nossa configurao do OpenVPN. Instale o pacote openssl, abra o arquivo vars e
deixe-o conforme modelo:
root@firewall :/ etc / openvpn /2.0 # aptitude install openssl
root@firewall :/ etc / openvpn /2.0 # vim vars
export KEY_SIZE =2048
export KEY_COUNTRY = " BR "
export KEY_PROVINCE = " SP "
export KEY_CITY = " SaoPaulo "
export KEY_ORG = " DEXTER "
export KEY_EMAIL = " root@dexter . com . br "
Use a sequncia de comandos abaixo para gerar o certificado de autoridade:
root@firewall :/ etc / openvpn /2.0 # source vars
root@firewall :/ etc / openvpn /2.0 # ./ clean - all
root@firewall :/ etc / openvpn /2.0 # ./ build - ca
...
Country Name (2 letter code ) [ BR ]: BR
State or Province Name ( full name ) [ SP ]: S o Paulo
Locality Name ( eg , city ) [ SaoPaulo ]: SaoPaolo
Organization Name ( eg , company ) [ DEXTER ]: DEXTER
Organizational Unit Name ( eg , section ) []: TI
10
Common Name ( eg , your name or your server s hostname ) [ DEXTER

CA ]: Admin
Pgina 297
Linux Force
11
Name : Tux
12
Email Address [ root@dexter . com . br ]: root@dexter . com . br
Servidor OpenVPN
13
14
root@firewall :/ etc / openvpn /2.0 # ./ build - key - server server
15
...
16
17
State or Province Name ( full name ) [ SP ]: SP
18
Locality Name ( eg , city ) [ SaoPaulo ]: SaoPaulo
19
20
Organizational Unit Name ( eg , section ) []: Admin
21
Common Name ( eg , your name or your server s hostname ) [ server ]:
22
Name []:
23
24
...
25
Certificate is to be certified until Aug 16 08:41:49 2021 GMT (3650

days )
26
Sign the certificate ? [ y / n ]: y
27
28
1 out of 1 certificate requests certified , commit ? [ y / n ] y
29
Write out database with 1 new entries
30
Data Base Updated
Liste o contedo do subdiretrio keys e verifique o arquivo de certificado do servidor

(server.csr), o arquivo da chave do servidor (server.key) e o certificado auto assinado
(server.crt). Depois d as devidas permisses de acesso:
root@firewall :/ etc / openvpn /2.0 # ls - lh keys / server *
-rw -r --r - - 1 root root 5 ,3 K Ago 19 05:42 keys / server . crt
-rw -r --r - - 1 root root 1 ,1 K Ago 19 05:41 keys / server . csr
-rw ------ - 1 root root 1 ,7 K Ago 19 05:41 keys / server . key
root@firewall :/ etc / openvpn /2.0 # chmod 775 keys / server *
Pgina 298
Linux Force
Servidor OpenVPN
14.0.92 Gerando parmetros Diffie-Hellman

Os parmetros Diffie-Hellman so utilizados para a troca das chaves criptografadas
durante a execuo do OpenVPN. Use o script abaixo para gerar os parmetros:
root@firewall :/ etc / openvpn /2.0 # ./ build - dh
Generating DH parameters , 2048 bit long safe prime , generator 2
This is going to take a long time
Liste o contedo do subdiretrio keys e verifique o arquivo com os parmetros DiffieHellman (dh2048.pem).
root@firewall :/ etc / openvpn /2.0/ keys # ls d *. pem
-rw -r --r - - 1 root root
424 Ago 19 05:48 dh2048 . pem
14.0.93 Configurando o servidor OpenVPN

Com os certificados e chaves gerados, abra o arquivo do servidor e adicione no
final as opes abaixo:
root@firewall :~ # vim / etc / openvpn / server . conf
...
# Configurando o certificado da VPN
tls - server
tls - auth chave 0
ca 2.0/ keys / ca . crt
cert 2.0/ keys / server . crt
key 2.0/ keys / server . key
dh 2.0/ keys / dh2048 . pem
10
cipher DES - EDE3 - CBC
Pgina 299
Linux Force
Servidor OpenVPN
Ainda na mquina servidor crie a chave e o certificado para a mquina cliente, com
o hostname da mquina cliente.
root@firewall :/ etc / openvpn /2.0/ keys # ./ build - key client
...
State or Province Name ( full name ) [ SP ]: SP
Locality Name ( eg , city ) [ SaoPaulo ]: SaoPaulo
Organizational Unit Name ( eg , section ) []: TI
Common Name ( eg , your name or your server s hostname ) [ client ]:
Name []:
10
11
...
12
Sign the certificate ? [ y / n ]: y
13
1 out of 1 certificate requests certified , commit ? [ y / n ] y
14
Write out database with 1 new entries
15
Data Base Updated
Faa a cpia dos arquivos abaixo via ssh para a mquina cliente.:
1
2
root@firewall :~ # cd / etc / openvpn /2.0/ keys

root@firewall :/ etc / openvpn /2.0/ keys # scp - P50000 client . key
client . crt \
ca . crt root@200 .100.50. X :/ etc / openvpn
Agora na mquina Squeeze , adicione no final do arquivo client.conf:
root@squeeze :~ # vim / etc / openvpn / client . conf
...
# Configurando o certificado da VPN
ns - cert - type server
tls - client
Pgina 300
Linux Force
Servidor OpenVPN
tls - auth chave 1
ca ca . crt
cert client . crt
key client . key
10
cipher DES - EDE3 - CBC
Descrio das novas opes utilizadas:
ns-cert-type -> Indica que certificado foi assinado pelo servidor;
tls-client -> Habilita conexo TLS, ajudando a bloquear ataques DoS e flooding
na porta do OpenVPN.
Execute no servidor:
root@firewall :~ # service openvpn start
Execute no cliente:
root@squeeze :~ # service openvpn start
Checando a conexo no servidor...
root@firewall :~ # ifconfig
tun0
Endere o de HW
00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00
3
inet end .: 10.0.0.1
P -a - P :10.0.0.2
Masc :255.255.255.255
. . . e no cliente:
Pgina 301
Linux Force
Servidor OpenVPN
root@firewall :~ # ifconfig
tun0
Endere o de HW
00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00 -00
3
inet end .: 10.0.0.2
P -a - P :10.0.0.1 Masc :255.255.255.255
Pgina 302
Captulo 15
Referncias Bibliogrficas
Julio Cesar Neves. Programao em Shell Linux. 6. edio. Brasport. 2006
The Linux documentation Project, website: http://www.tldp.org. Acesso em 28 de
maro de 2008.
Pritchard, Pessanha, Langfeldt, Stranger and Dean. Certificao Linux LPI 2. edio. AltaBooks. 2007
Gagn, Moving to Linux.
1 edio, Addilson Wesley
Rubem E. Ferreira, Guia de Administrao Linux.
2 edio, Novatec, 2008
Nelson Mendona e Tiago Vilas Boas. GNU Linux.
Editora Brasport.
Sites pesquisados:
Linux Force
http://www.dicas-l.com.br
http://www.vivaolinux.com.br
http://pt.wikipedia.org/wiki/Sudo
http://wiki.ubuntu-br.org/RootSudo
http://pt.wikipedia.org/wiki/Pluggable_Authentication_Modules
http://ajmoreti.blogspot.com/2011/09/entendendo-e-configurando-o-pam.html
http://gnulinuxbr.com/2010/04/01/pam/
http://www.prefirolinux.com/pam/65-limitando-usuarios-com-o-pam.html
http://web.mit.edu/rhel-doc/3/rhel-sag-pt_br-3/s1-dhcp-configuring-server.html
http://www.isc.org/sw/dhcp/.
http://pt.wikipedia.org/wiki/Network-Attached_Storage
http://computerworld.uol.com.br/tecnologia/2007/10/30/ idgnoticia.2007-10-29.3996045044/
http://pt.wikipedia.org/wiki/Direct_Attached_Storage
http://pt.wikipedia.org/wiki/RAID
http://web.mit.edu/rhel-doc/3/rhel-sag-pt_br-3/s1-raid-approaches.html
http://placa-pai.blogspot.com/2011/02/raid-6.html
wester.com/linuxsamba.php
http://www.gta.ufrj.br/grad/99_1/guilherme/DNS_HTML/historia.htm
Pgina 304
Linux Force
http://www.cooperati.com.br/wordpress/2011/10/20/dns-domain-name-system/
http://gnulinuxbr.com/2010/05/04/domain-name-system-servidor-dns-no-debian-parte1/
http://gnulinuxbr.com/2010/05/06/domain-name-system-%E2%80%93-servidor-dns-nodebian-%E2%80%93-parte-2/
http://gnulinuxbr.com/2010/05/17/domain-name-system-%E2%80%93-servidor-dns-nodebian-%E2%80%93-parte-3/
http://gnulinuxbr.com/2010/05/20/servidor-apache-no-debian-parte-1/
http://pt.kioskea.net/contents/crypto/ssl.php3
http://en.wikipedia.org/wiki/Secure_Sockets_Layer
http://www.prefirolinux.com/forum/viewtopic.php?f=2&t=12
http://www.vivaolinux.com.br/artigo/OpenLDAP-com-suporte-ao-MySQL
Pgina 305

Apostila

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Apostila

Hochgeladen von

Copyright:

Verfügbare Formate

Linux Servers Revolutions

Cenrio normalmente encontrado nas empresas . . . . . . . . .

2 Implementando Hardening e PAM em seu Servidor GNU/Linux

2.0.4 Proposta de soluo . . . . . . . . . . . . . . . . . . . . . . . . .

2.0.5 Introduo terica Ajustes iniciais . . . . . . . . . . . . . . . .

2.0.7 Configurando a resoluo de nomes . . . . . . . . . . . . . . . .

2.0.8 Configurao do Hostname . . . . . . . . . . . . . . . . . . . . .

2.0.9 Configurando o repositrio de rede . . . . . . . . . . . . . . . . .

2.0.10 Introduo terica - Hardening . . . . . . . . . . . . . . . . . . . 11

5.0.3 Introduo Terica - RAID . . . . . . . . . . . . . . . . . . . . . . 56

7.0.10 Proposta de soluo . . . . . . . . . . . . . . . . . . . . . . . . . 107

7.0.14 Ferramentas de consulta . . . . . . . . . . . . . . . . . . . . . . 115

7.0.19 Configurao do DNS primrio . . . . . . . . . . . . . . . . . . . 129

Linux Servers Revolutions

7.0.22 Configurando o DNS Secundrio . . . . . . . . . . . . . . . . . . 141

8.0.25 Proposta de soluo . . . . . . . . . . . . . . . . . . . . . . . . . 146

8.0.28 Laboratrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

9.0.39 Cenrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

10.0.49Caractersticas do Postfix . . . . . . . . . . . . . . . . . . . . . . 197

Linux Servers Revolutions

13.0.78Compreendendo as polticas bsicas e o conceito das excees 277

Linux Servers Revolutions

Linux Servers Revolutions

Cenrio e Propostas de Soluo

e banco de dados. Podemos observar isto na prxima figura.

Linux Servers Revolutions

Cenrio e Propostas de Soluo

eth0 => IP 177.23.24. ___

eth1 = > IP 192.168. ___ .1

Linux Servers Revolutions

Cenrio e Propostas de Soluo

Linux Servers Revolutions

2.0.4 Proposta de soluo

A fim de atender s necessidades da empresa DEXTER COURIER , iremos aplicar

Implementando Hardening e PAM em seu Servidor GNU/Linux

2.0.5 Introduo terica Ajustes iniciais

root@debian :~ # vi / etc / network / interfaces

iface lo inet loopback

iface eth0 inet static

broadcast 192.168. X .255

Linux Servers Revolutions

Implementando Hardening e PAM em seu Servidor GNU/Linux

Na distro RedHat: # vim /etc/sysconfig/network/ifcfg-eth0

2.0.7 Configurando a resoluo de nomes

/ etc / resolv . conf

2.0.8 Configurao do Hostname

/ etc / hostname datacenter

Depois vamos parar e iniciar o servio do hostname:

/ etc / init . d / hostname . sh

Faa o logout e efetue o login. Cair no prompt j alterado!

Linux Servers Revolutions

Implementando Hardening e PAM em seu Servidor GNU/Linux

Edite o arquivo de /etc/hosts e adicione a linha em negrito:

root@datacenter :~ # vi / etc / hosts

2.0.9 Configurando o repositrio de rede

root@datacenter :~ # vi / etc / apt / sources . list

Depois de configurado, faa o update do banco de dados do aptitude:

root@datacenter :~ # aptitude update

Vamos agora efetuar a atualizao do servidor com o comando:

root@datacenter :~ # aptitude upgrade

root@datacenter :~ # aptitude install build - essential

Linux Servers Revolutions

Implementando Hardening e PAM em seu Servidor GNU/Linux