Principais temas abordados: O Servidor HTTP Apache; Utilizao de um certificado de segurana; Conhecimento !sico de pro"#$ Apace Servidor !TTP "etc"apace % &iret'rio com ar(uivos de configurao do apache ttpd#con$) apace2#con$ ou apace#con$ % Principal ar(uivo de configurao do apache$ mods%ava&iab&e % &iret'rio (ue contem m'dulos hailitados sites%ava&iab&e % &iret'rio (ue contem a configurao dos sites dispon*veis mods%enab&e % Contem lin+s sim'licos para os ar(uivos de m'dulos em mods,avaliale sites%enab&e % Contem lin+s sim'licos para os ar(uivos de configurao em sites,avaliale ports#con$ % Ar(uivo de configurao de portas$ 'on$i(ura)es $undamentais apace2#con$ (*ebian) ServerT+pe (standa&one"inetd) % &efine se o httpd deve rodar separado ou invocado pelo inetd e"$- ServerT+pe standa&one Server,oot camino % &efine o diret'rio onde esto os ar(uivos de configurao do Apache e"$- Server,oot -"etc"apace2. Pid/i&e camino % Ar(uivo (ue armazenara o valor do P.& do processo httpd pai /0var0run0http$pid1 e"$- Pid/i&e "var"run"ttp#pid ServerAdmin emai& % 2mail do administrador do servidor) sero encaminhadas informa3es de erro e"$- ServerAdmin admin0empresa#com#br *ocument,oot camino % &iret'rio (ue armazenara documentos disponiilizados no site e"$- *ocument,oot -"var"111. Server2ame 111#nome#com#br % O dom*nio registrado por onde o site poder! ser acessado e"$- Server2ame 111#empresa#com#br 3oad4odu&e nome camino % Carrega um modulo &SO /&#namic Shared O4ect1 e"$- 3oad4odu&e vost5a&ias5modu&e &ibe6ec"apace"mod5vost5a&ias#so Add4odu&e modu&o#c % Ativao dos m'dulos est!ticos e e"ternos e"$- Add4odu&e mod5vost5a&ias#c Port porta % &efine a porta onde o servidor escutara$ e"$- Port 80 7ser usu8rio % Usu!rio dono do processo servidor$ e"$- 7ser nobod+ 9roup (rupo % 5rupo dono do processo servidor$ e"$- 9roup nobod+ 'on$i(ura)es :ue in$&uenciam na per$ormance do servidor Timeout % Tempo limite de espera para uma re(uisio 52T) dados via POST ou PUT e"$- Timeout ;00 <eepA&ive % Permite (ue mais de uma re(uisio se4a realizada em uma 6nica cone"o e"$- <eepA&ive =n 4a6<eepA&ive,e:uests % 7umero m!"imo de re(uisi3es numa mesma cone"o e"$- 4a6<eepA&ive,e:uests >00 <eepA&iveTimeout % .ntervalo em segundos das ultima re(uisio at8 o fechamento da cone"o e"$- <eepA&iveTimeout >? 4inSpareServers % 7umero m*nimo de processos servidores inativos e"$- 4inSpareServers ? 4a6SpareServers % 7umero m!"imo de processos servidores inativos e"$- 4a6SpareServers >0 4inSpareTreads % 7umero m*nimo de threads servidores inativos 1 Guia de Estudo LPI 201-202 e"$- 4inSpareTreads ? 4a6SpareTreads % 7umero m!"imo de threads servidores inativos e"$- 4a6SpareTreads >0 StartServers % 7umero de processos filhos disparados inicialmente mais o servidor principal e"$- StartServers ? 4a6'&ients % Total m!"imo de processos servidores e"$- 4a6'&ients >?0 4a6,e:uestsPer'i&d , 7umero m!"imo de re(uisi3es (ue um processo filho poder! receer$ e"$- 4a6,e:uestsPer'i&d 0 Ativa)@o de mdu&os 2strutura modular) cada recurso e"tra )pode ser carregado atrav8s de m'dulos) e"$ PHP e P#thon apace2ct& restart % Comando usado para reiniciar o apache ,estri)@o de acesso 9&irector# 0: Options ;ollo<S#m=in+s Allo<Override 7one 90&irector#: &escrio- A*irector+ "B % Aertura da seo) diret'rio raiz =ptions /o&&o1S+m3inCs % Orienta o apache a oedecer os lin+s sim'licos no diret'rio A&&o1=verride 2one % 2specifica se pode ser usado um ar(uivo $htaccess no diret'rio A"*irector+B % ;echamento da seo Conte6do do ar(uivo $taccess 9&irector# >0var0<<<>: Options .nde"es ;ollo<S#m=in+s ?ulti@ie<s Allo<Override All Order allo<)den# Allo< from all 90&irector#: 'riar conta de acesso tpass1d % Cria contas de acesso ao diret'rio restrito htpass<d ,s ,c 0var0<<<0restrito0$htpass<d aluno *escri)@o: tpass1d % Comando (ue cria a conta %s % Utilizao do algoritmo SHAA %c "var"111"restrito"#tpass1d % .ndica a localizao do ar(uivo (ue armazenara a senha a&uno % 7ome do usu!rio da conta 'onteDdo do ar:uivo "var"111"restrito"#taccess AuthT#pe Basic Auth7ame CDestricted AreaE AuthUser;ile C0var0<<<0restrito0$htpass<dE De(uire valid,user Ar:uivos de &o( 2 Guia de Estudo LPI 201-202 O log de erros 8 definido pelo parFmetro 2rror=og no ar(uivo apacheG$conf e"$- Error3o( "var"&o("apace2"error#&o( Error3o( s+s&o(:user % Ao inv8s de ar(uivo utilizar o s#slog e a facilidade user Transa)es ima(ens em p8(ina !T43 =og;ormat CHh Hl Hu Ht IEHrIE H:s HE common 3ista de caracteres F % Host remoto F& % =og remoto) se houver Fu % Usu!rio remoto) se dispon*vel pelo auth Ft % &ata e hora) no formato padro americano Fr % Primeira linha de re(uisio Fs % Status da re(uisio Fb % B#tes receidos) e"clu*dos os caealhos 'riar &o(s persona&iGados &efine o ar(uivo e o nic+name pr8,definido 'ustom3o( "var"&o("apace"access5&o( common Criar logs apenas para registrar (uais navegadores acessam o site 3o(/ormat -F(7ser%a(ent)i. a(ent 'ustom3o( "var"&o("apace"a(ent5&o( a(ent =p)es do comando apace2ct& apace2ct& start % .nicia o servidor apace2ct& stop % Termina o servidor apace2ct& restart % Deiniciai ou inicia o servidor apace2ct& (race$u& % .nicia ou reinicia o servidor) mas aguarda as cone"3es ativas terminarem apace2ct& con$i(test % @erifica se h! erros de sinta"e nas configura3es$ 4anuten)@o do servidor Web !osts Hirtuais baseado em consu&ta de nomes 9@irtualHost J: Server7ame <<<$empresa$com$r &ocumentDoot 0var0<<<0empresa 90@irtualHost: 'om ServerA&ias (Indica outros nomes por meio dos :uais o site ser8 acessJve&) 9@irtualHost J: Server7ame <<<$empresa$com$r ServerAlias empresa$com$r J$empresa$com$r &ocumentDoot 0var0<<<0empresa 90@irtualHost: !osts Hirtuais baseado em IP 9@irtualHost AKG$ALM$A$A : Server7ame <<<$empresa$com$r &ocumentDoot 0var0<<<0empresa 90@irtualHost: Pr8tica 'riar um !ost Hirtua& 3 Guia de Estudo LPI 201-202 > % vim 0etc0apacheG0sites,avaliale0<<<$empresa$com$r /Crie o dom*nio virtual1 N Host @irtual 7ame@irtualHost <<<$empresa$com$r 9@irtualHost <<<$empresa$com$r: &ocumentDoot 0var0<<<0empresa$com$r Server7ame empresa$com$r ServerAdmin <emasterOempresa$com$r 2rror=og 0var0log0apacheG0empresa$com$r,access$log Custom=og 0var0log0apacheG0empresa$com$r,access$log common 90@irtualHost: *escri)@o: 2ameHirtua&!ost 111#empresa#com#br % Host virtual aseado em nome$ AHirtua&!ost 111#empresa#com#brB , &efine o host virtual$ *ocument,oot "var"111"empresa#com#br , &iret'rio (ue armazenara documentos disponiilizados no site Server2ame empresa#com#br , O dom*nio registrado por onde o site poder! ser acessado ServerAdmin 1ebmaster0empresa#com#br , 2mail do administrador do servidor) sero encaminhadas informa3es de erro Error3o( "var"&o("apace2"empresa#com#br%access#&o( % Ar(uivo de logs de erros 'ustom3o( "var"&o("apace2"empresa#com#br%access#&o( common , &efine o ar(uivo e o nic+name pr8, definido A"Hirtua&!ostB , ;echa a sesso 2 % mCdir "var"111"empresa#com#br /Crie o diret'rio do dom*nio virtual1 ; % vim "var"111"empresa#com#br"inde6#tm& /Crie o ar(uivo inde" para o seu dom*nio1 9html: 9title: ?inha P!gina 90title: 9od#: Testando o Apache 90od#: 90html: K % apace2ct& %S /Testa a sinta"e do seu ar(uivo de @irtual Host1 ? % a2ensite /Hailita o dom*nio criado1 L % a2ensite 111#empresa#com#br / Hailita o dom*nio sem a necessidade de criar lin+s virtuais1 M % invoCe%rc#d apace2 re&oad /Decarrega as configura3es sem reiniciar o apache1 'one6es se(uras (SS3) SS3 (Secure SocCet 3a+ers) % Assegura a segurana e a autenticidade da comunicao com o servidor$ A verso do Apache G$" 4! inclui o modPssl !TTPS % Protocolo para navegao segura na porta KK;$ 'A /Certificate Authorit#1 % Autoridade certificadora) (ue garante a autenticidade do servidor$ E6emp&os de 'As @eriSign /Tha<te1 5eoTrust 5o&add# 9erar cave A % Hailitar o modulo ssl a2enmod ss& 4 Guia de Estudo LPI 201-202 G % Acessar o diret'rio para guardar a chave cd "etc"ss& openss& % Comando usado para gerar chave privada (ue ser! mantida no servidor$ Q % 5era uma chave usando criptografia Triple &2S e guarda no ar(uivo <<<$empresa$com$r$+e# openss& (enrsa %des; %out 111#empresa#com#br#Ce+ >02K R % Cria um Certificate Signing De(uest /Pedido de assinatura do certificado1 openss& re: %ne1 %Ce+ 111#empresa#com#br#Ce+ %out 111#empresa#com#br#csr S % Para vocT mesmo assinar o certificado e no uma unidade certificadora use- openss& 6?0N %re: %da+s ;L? %in 111#empresa#com#br#csr %si(nCe+ 111#empresa#com#br#Ce+ %out 111#empresa#com#br#crt 'on$i(urando o domJnio virtua& com SS3 vim 0etc0apacheG0sites,avaliale0<<<$empresa$com$r 7ame@irtualHost J-RRQ 9@irtualHost J-RRQ: &ocumentDoot 0var0<<<0empresa$com$r Server7ame J-RRQ ServerAdmin <emasterOempresa$com$r 2rror=og 0var0log0apacheG0empresa$com$r,access$log Custom=og 0var0log0apacheG0empresa$com$r,access$log common SS3En(ine =n SS3'erti$icate/i&e "etc"ss&"111#empresa#com#br#crt SS3'erti$icate<e+/i&e "etc"ss&"111#empresa#com#br#Ce+ 90@irtualHost: SS3En(ine =n % Ativa o uso de SS= /porta RRQ1 SS3'erti$icate/i&e "etc"ss&"111#empresa#com#br#crt % Ar(uivo do certificado assinado SS3'erti$icate<e+/i&e "etc"ss&"111#empresa#com#br#Ce+ % Ar(uivo da chave https-00<<<$empresa$com$r Imp&ementando um Servidor Pro6+ S:uid % Servidor pro"# (ue age como filtro) lo(ueador conte6do e autenticador "etc"s:uid"s:uid#con$ % Principal ar(uivo de configurao do s(uid =p)es $undamentais de um 'ace S:uid ttp5port % &efine a porta utilizada pelo s(uid /QAMG a padro1 cace5m(r % O email do administrador do pro"# cace5e$$ective5use % O usu!rio so o (ual o daemon s(uid ser! e"ecutado cace5e$$ective5(roup % O grupo so o (ual o daemon s(uid ser! e"ecutado A'3 Access 'ontro& 3ist % Degra de acesso /permisso e limites ao usu!rio do pro"#1 e"$- ac& &n src >N2#>L8#>#0"2K &efine uma AC= de nome lan (ue se refere as todas as re(uisi3es para rede AKG$ALM$A$U0GR Para lierar o acesso para esse grupo ttp5access a&&o1 &an 5 Guia de Estudo LPI 201-202 Tpico 20N 'omparti&amento de Ar:uivos Principais temas abordados: Configurao e operao do SA?BA; Compartilhamento de ar(uivos e espao em disco com 7;S$ S4O e 'I/S % Protocolos (ue permitem compartilhar recursos de um servidor =inu" para esta3es Vindo<s e vice,versa smbd % &aemon do sama respons!vel por servidor de ar(uivos e impressoras$ nmbd % &aemon do sama respons!vel por servidor de nomes 7etB.OS$ Sama , &aemon do sama respons!vel por servidor de ar(uivos) impressoras e 7etB.OS /&eian1 "etc"samba"smb#con$ % Principal ar(uivo de configurao do sama E6emp&o de um ar:uivo de con$i(ura)@o mJnima: P(&oba&Q <or+group W lpi server string W &eian Sama Server PomesQ comment W Home &irectories read onl# W no ro<seale W no PprintersQ comment W All Printers path W 0var0spool0sama printale W #es ro<seale W no P(&oba&Q % Seo de configura3es gloais do servidor PomesQ % Seo de compartilhamento de diret'rios PprintersQ % Seo de compartilhamento de impressoras testparm % Comando usando para testar as configura3es /sinta"e1 do ar(uivo sm$conf 'ria)@o de contas de usu8rio samba smpass1d % Comando usado para criar conta do sama =p)es: smpass1d %a usu8rio % Cria uma conta do sama para um usu!rio indicado smpass1d %6 usu8rio % 2"clui uma conta do sama para um usu!rio indicado smpass1d %d usu8rio % Blo(ueia uma conta do sama para um usu!rio indicado smpass1d %e usu8rio % &eslo(ueia uma conta do sama para um usu!rio indicado smpass1d %m % .ndica (ue a conta 8 uma conta de ma(uina e no de usu!rio smpass1d %n usu8rio % A senha do usu!rio do sama ser! nula$ Somente ser! poss*vel arir o compartilhamento se e"istir o parFmetro null pass<ords W #es na seo gloal$ username map R "var"&ib"samba"users#map % Opo inserida no sm$conf para mapear usu!rios (ue possuam na estao um nome diferente da(uele utilizado no servidor$ E6emp&o de users#map root W admin administrador Samba como servidor P*' P*' (Primar+ *omain 'ontro&) % Servidor de dom*nio permite (ue usu!rios de esta3es Vindo<s realizem 6 Guia de Estudo LPI 201-202 logon utilizando as informa3es de autenticao centralizadas no servidor$ ParSmetros da se)@o P(&oba&Q para $uncionamento do samba com P*' 1orC(roup % &efine o nome do dom*nio$ e"$- 1orC(roup R &pi &o(on script % Script (ue ser! e"ecutado (uando o usu!rio se logar e"$- &o(on script R &o(on#cmd domain &o(ons % &etermina a ativao de login remoto pra o dom*nio especificado e"$- domain &o(ons R +es =utros parSmetros da se)@o P(&oba&Q para $uncionamento do samba com P*' netbios name % &efine o nome do computador na rede Vindo<s e"$- netbios name R ma:&inu6 pre$erred master % &etermina se o servidor nmd devera ter prioridade frente a outros servidores e"$- pre$erred master R +es os &eve& % Prioridade do servidor) o numero AUU garante (ue este ser! o primeiro servidor e"$- os &eve& R >00 &o(on pat % &iret'rio onde sero armazenadas as configura3es do Vindo<s /Perfil1 e"$- &o(on pat R TTF2TF7Tpro$i&e &o(on drive % &etermina a letra de drive (ue o Vindo<s usara para o diret'rio HO?2 e"$- &o(on drive R !: &o(on ome % &etermina a localizao do diret'rio HO?2 e"$- &o(on ome R TTF2TF7 Tpro$i&e E6emp&o de uma con$i(ura)@o do smb#con$ como P*' P(&oba&Q netios name W ma(linu" <or+group W lpi server string W &eian Sama Server domain master W #es preferred master W #es domain logons W #es os level W AUU logon path W IIH7IHUIprofile logon drive W H- logon home W IIH7IHU Iprofile logon script W logon$cmd ParSmetros da se)@o Pnet&o(onQ Pnet&o(onQ % Compartilhamento para (ue esta3es Vindo<s identifi(uem o servidor como P&C Pnet&o(onQ comment W =ogin path W 0var0li0sama0netlogon read onl# W #es 'ontas de m8:uina Inc&uir o usu8rio root no samba pass<d ,a root Inc&uir conta para esta)@o (conta de ma:uina) necess8ria apenas :uando Samba a(e como P*' useradd ,s 0in0false ,d 0dev0null <in"p,UAX , Cria a conta Uni" para a m!(uina pass1d % Cria a conta Uni" %s "bin"$a&se % 7o tera um shell valido por no ser tratar de uma conta de usu!rio %d "dev"nu&& % 7o ter! um diret'rio valido por no ser tratar de uma conta de usu!rio 1in6p%0>U , 7ome da ma(uina) origatoriamente contas de ma(uinas devem terminar com X 7 Guia de Estudo LPI 201-202 O&o:uear conta da ma:uina com a op)@o %& pass<d ,l <in"p,UAX Inc&uir a conta da ma:uina no samba smpass<d ,m ,a <in"p,UA Scripts de &o(on 7a seo Pnet&o(onQ criar o script indicado em pat R "var"&ib"samba"net&o(on O script de logon mapear! o home do usu!rio para a unidade h- na estao Vindo<s e6emp&o de um ar:uivo &o(on#cmd 7et US2 H- 0HO?2 Samba como servidor Wins (Servidor de nome 2etOI=S) Para ativar o Sama com servidor Vins use o parFmetro <ins support W #es em sm$conf "etc"samba"&mosts % ?apeamento de .P e nomes das ma(uinas e"$- >N2#>L8#>#> ma:&inu6 >N2#>L8#>#2 1in6p%0> nmb&ooCup % Comando usado para investigar o servio Vins e"$- nmb&ooCup %O >N2#>L8#>#2?? Vma:&inu6V nmb&ooCup % Comando usado para investigar o servio Vins %O >N2#>L8#>#2?? % 2specifica para (ual endereo de roadcast a solicitao deve ser enviada Vma:&inu6V % 7ome da ma(uina %W domJnio % 2specifica um dom*nio de grupo diferente do indicado em sm$conf smbstatus % Comando usado para inspeo) lista a utilizao atual dos compartilhamentos smbstatus %p % =ista os processo ativos do Sama smbstatus %S % =ista os compartilhamentos sendo utilizados smbstatus %u usu8rio % ?ostra apenas informa3es referentes ao usu!rio especificado '&iente Samba smbc&ient % Comando usado para verificar os compartilhamentos dispon*veis smbc&ient %3 TTma:&inu6 %7 teste % @erifica compartilhamentos dispon*veis da ma(uina ma(linu" usando o usu!rio teste para se autenticar 4ontar comparti&amento do samba no 3inu6 mount ,t smfs ,o usernameWteste)pass<ordWAGQRSL 00ma(linu"0teste 0mnt0sama mount ,t smfs ,o usernameWteste)pass<ordWAGQRSL 00AKG$ALM$A$GU0teste 0mnt0sama mount % Comando usado para montar$ ,t smfs % Sistema de ar(uivos do tipo smfs$ ,o usernameWteste)pass<ordWAGQRSL % 7ome do usu!rio e senha$ 00AKG$ALM$A$AGU0teste % Computador e compartilhamento remoto 0mnt0sama % Ponto de montagem na ma(uina local$ Para montar no fsta use a opo credentia&sRnome5do5ar:uivo com o seguinte Conte6do username W teste pass<ord W AGQRSL 'on$i(urar um servidor 2/S 8 Guia de Estudo LPI 201-202 2/S 2et1orC /i&e S+stem % Sistema de ar(uivo de rede (ue permite montar compartilhamentos remotos como se fossem dispositivos locais$ "etc"init#d"portmap % &aemon usado para montar dispositivos remotos$ =utros daemons necess8rios para servir comparti&amentos por meio de 2/S rpc#n$sd % &ispara os eventos controlados pelo modulo 7;S do +ernel$ rpc#mountd % Desponde as solicita3es de montagem$ rpc#r:uotad % Controla as (uotas do compartilhamento$ rpc#&ocCd % Controle de trava para o 7;S$ rpc#statd % 7otificao de reinicio para o 7;S$ "etc"init#d"n$s ou "etc"init#d"n$s%Cerne&%server % &aemon do nfs$ Use start) stop ou restart$ *e$inindo comparti&amento "etc"e6ports % Ar(uivo usado para definir os compartilhamento e lista de controle de acesso$ e"$- "mnt"&vm >N2#>L8#>#0"2K(ro) >N2#>L8#>#>2(r1Wno5root5s:uad) "mnt"&vm % &iret'rio a ser compartilhado >N2#>L8#>#0"2K(ro) % Clientes da rede AKG$ALM$A$U0GR permisso de leitura no compartilhamento >N2#>L8#>#>2(r1Wno5root5s:uad) % O host AKG$ALM$A$AG permisso de escrita no compartilhamento ro % Apenas leitura$ r1 % =eitura e escrita$ no5root5s:uad % Permite (ue o usu!rio remoto root monte o compartilhamento$ e6port$s %a % Ativa os compartilhamentos configurados em 0etc0e"ports e6port$s %ua % &esativa os compartilhamentos Acesso ao comparti&amento mount ,t nfs AKG$ALM$A$G-0mnt0lvm 0mnt0remoto mount % Comando usado para montar$ %t n$s % Tipo de sistema de ar(uivos /7;S1$ >N2#>L8#>#2:"mnt"&vm % .P e compartilhamento do computador remoto$ "mnt"remoto % Ponto de montagem no computador local$ so1mount % Usado para verificar (uais so os compartilhamentos disponiilizados no servidor e"$- so1mount %e >N2#>L8#>#2 =p)es- so1mount %e IP % 2"ie (uais compartilhamentos disponiilizados no servidor$ so1mount %a IP % ?ostra o host e o diret'rio montado por ele$ so1mount %a IP % ?ostra os diret'rios montados por clientes$ n$sstat % 7a ma(uina cliente mostra estat*sticas de uso dos compartilhamentos 7;S do servidor$ e"$- n$sstat %m rpcin$o % 2"ie um relat'rio de informa3es DPC de um determinado host$ e"$- rpcin$o %p >N2#>L8#>#> 9 Guia de Estudo LPI 201-202 T'P1rappers Controle de acesso estaelecido atrav8s dos ar(uivos 0etc0hosts$allo< e 0etc0hosts0den# "etc"osts#a&&o1 % Cont8m as regras para os hosts (ue podero acessar a ma(uina local e"$- A33: >N2#>L8#>#X EY'EPT >N2#>L8#>#20 "etc"osts#den+ % Cont8m as regras para os hosts (ue no podero acessar a ma(uina local e"$- A33: A33 Tpico 2>0 Administra)@o dos c&ientes de redes Principais temas abordados: Oteno autom!tica de .P a partir do &HCP; Autenticao por PA?; Cliente =&AP$ 'on$i(ura)@o *!'P *!'P *inamic !ost 'on$i(uration Protoco& % &istriui endereos .P para as esta3es mediantes a regras pr8,estaelecidas 'on$i(ura)@o do Servidor "etc"dcp"dcpd#con$ % Principal ar(uivo de configurao do servidor &HCP "etc"dcp;"dcpd#con$ % Principal ar(uivo de configurao do servidor &HCP /&eian1 E6emp&o de um ar:uivo dcpd#con$ default,lease,time LUU; ma",lease,time YGUU; option domain,name >empresa$com$r>; option domain,name,servers AKG$ALM$A$AU; sunet AKG$ALM$A$U netmas+ GSS$GSS$GSS$U Z range AKG$ALM$A$SU AKG$ALM$A$AUU; option routers AKG$ALM$A$AU; [ host fulano Z hard<are ethernet UM-UU-GY-CY-AR-S;; fi"ed,address AKG$ALM$A$LQ; [ host teste Z hard<are ethernet UM-UU-GY-AA-BR-2B; fi"ed,address AKG$ALM$A$LY; [ *escri)@o: de$au&t%&ease%time L00 % &etermina em segundos o intervalo de checagem de .P$ ma6%&ease%time M200 % Per*odo m!"imo em segundos de alocao de .P$ option domain%name % \ual dom*nio transmitido para os clientes$ option domain%name%servers % \ual servidor de nomes o cliente poder! utilizar em resolv$conf$ subnet >N2#>L8#>#0 netmasC 2??#2??#2??#0 % &efine a rede e mascara$ ran(e >N2#>L8#>#?0 >N2#>L8#>#>00 % .ntervalo de .P dispon*veis para a rede$ option routers >N2#>L8#>#>0 % &efine a rota padro para os clientes$ 1 Guia de Estudo LPI 201-202 =utras op)es: ost $u&ano % 7ome do hos/ma(uina1 ard1are eternet 08:00:2M:'M:>K:?/ % ?ac address do host$ /i6ed%address >N2#>L8#>#L; % .P fi"o para o host$ Ooot via rede 'ompatibi&idade com esta)es *isC&ess# Oootp (Oootstrap) % Carregamento remoto do sistema operacional E6emp&o: host fulano Z hard<are ethernet UM-UU-GY-CY-AR-S;; fi"ed,address AKG$ALM$A$LQ; filename Cvmlinuz$fulanoE; server,name Cempresa$com$rE; [ =utra $orma de iniciar o servidor *!'P dcpd %&$ "etc"dcpd#&eases et0 dcpd; %&$ "var"&ib"dcp;"dcpd#&eases et0 (*ebian) dcpd#&eases % Ar(uivo (ue armazena o anco de dados de aluguel do cliente &HCP) contendo datas do aluguel e os endereos ?AC da placa de interface de rede$ Servidor *!'P centra&iGado $ora da rede do c&iente dcre&a+ (A(ente *!'P ,e&a+) % Permite o revezamento de pedidos &HCP e BOOTP de uma su,rede sem um servidor &HCP$ e"$- dcre&a+ %i et0 empresa#com#br *escri)@o: dcre&a+ % Comando$ %i et0 % .nterface (ue o dhcrela# aguardar! por re(uisi3es de .P$ empresa#com#br % &om*nio 3o(s tai&$ %$ "var"&o("daemon#&o( % Comando para verificar em tempo real) distriui3es de .P aos clientes Autentica)@o por PA4 PA4 (P&u((ab&e Autentication 4odu&es) % ?ecanismo (ue oferece uma camada de astrao para autenticao de usu!rios$ Pro(ramas ou servi)os :ue uti&iGa autentica)@o possui uma con$i(ura)@o no PA4 "etc"pam#con$ % Ar(uivo (ue centraliza todas as configura3es de cada programa ou servio$ "etc"pam#d % &iret'rio com ar(uivos individuais contendo as configura3es de cada programa ou servio$ Sinta"e interna dos ar(uivos individuais contendo as configura3es- Tipo 'ontro&e 4du&o Ar(umentos e"emplo do ar(uivo 0etc0pam$d0gdm 1 Guia de Estudo LPI 201-202 session optiona& pam5(nome5Ce+rin(#so auto5start session % /Tipo1 &efine o tipo de autenticao usado para o m'dulo$ optiona& % /Controle1 2specifica o (ue fazer dependendo da resposta do m'dulo$ pam5(nome5Ce+rin(#so % /?'dulo1 \ual m'dulo utilizar$ auto5start % /Argumentos1 Depresenta os argumentos passados para o m'dulo$ Tipos de autentica)@o PA4 account % @erifica se o usu!rio pode acessar o servio) se a senha no espirou etc$ aut % &etermina a autenticidade do usu!rio via senha)pode utilizar outros meios) como iometria$ pass1ord % ?ecanismo da alterao da autenticao /provavelmente a senha1$ session % Procedimentos antes e depois (ue o usu!rio for autenticado$ 2"$- restrio de servio 'ontro&es do PA4 re:uisite % Autenticao 8 imediatamente negada) no caso de negativa do m'dulo$ re:uired % Autenticao recusa no caso de negativa do m'dulo) mas consultara outros m'dulos para o servio antes de negar completamente a autenticao$ su$$icient % Se a autenticao para este m'dulo for em sucedida) a autenticao ser! confirmada mesmo (ue os m'dulos anteriores tenham negado$ optiona& % A aprovao ou negao far! diferena se for o 6nico do tipo para o servio$ "usr"&ib"securit+ ou "&ib"securit+ % &iret'rio de locao dos m'dulos$ *i$eren)as entre as con$i(ura)es: 7o ar(uivo "etc"pam#d"&o(in aut re:uisite pam5securett+#so 7o ar(uivo "etc"pam#con$ &o(in aut re:uisite pam5securett+#so E6emp&os de mdu&os e ar:uivos de con$i(ura)es: pam5motd#so (mdu&o) % &etermina a e"iio do ar(uivo "etc"motd ap's um login em sucedido pam5&imits#so (mdu&o) % &etermina os limites de utilizao de recursos para usu!rios definidos em "etc"securit+"&imits#con$ PA4 e 3*AP pam5&dap#so % ?'dulo usado na configurao do PA? para utilizar autenticao) uscando as informa3es num diret'rio =&AP E6emp&o do ar:uivo "etc"pam#d"&o(in para :ue o &o(in $a)a autentica)@o via 3*AP auth sufficient pamPldap$so auth re(uired pamPuni"$so tr#PfirstPpass accountsufficient pamPldap$so accountre(uired pamPuni"$so 7so de c&iente 3*AP 3*AP (3i(t1ei(t *irector+ Access Protoco&) % Protocolo utilizado para pes(uisar e modificar servios de diret'rios numa rede TCP0.P$ 1 Guia de Estudo LPI 201-202 *iretrio % Con4unto de informa3es /classes de o4etos1 com atriutos e propriedades organizadas de forma hier!r(uica e l'gica$ s&apd % &aemon servidor do Open=&AP$ "etc"&dap"s&apd#con$ % Principal ar(uivo de configurao dividido em trTs se3es- gloal) funcionamento interno /ac+end1 e configurao de anco de dados$ 'on$i(ura)es b8sicas include 0etc0ldap0schema0core$schema include 0etc0ldap0schema0cosine$schema include 0etc0ldap0schema0nis$schema include 0etc0ldap0schema0inetorgperson$schema Incorpora os padres de es:uemas e de$ini)es de c&asses de obZetos pidfile 0var0run0slapd0slapd$pid Ar:uivo com o PI* do processo servidor (s&apd) argsfile 0var0run0slapd0slapd$args Ar:uivo contendo ar(umentos passados ao daemon ac+end d *e$ine :ua& ser8 o sistema de armaGenamento de dados# dataase d Inicio da se)@o do banco de dados suffi" >dcWempresa)dcWcom)dcWr> = su$i6o base para o diretrio no banco de dados rootdn >cnWadmin)dcWempresa)dcWcom)dcWr> *e$ine o super%usu8rio (admin) para o banco de dados de$inido rootp< ZSSHA[LlVPLVigQ@;z]4Ta&2g]^gh7BOcd=\r Sena do super%usu8rio (comando s&appass1d) director# >0var0li0ldap> *iretrio onde ser@o armaGenados os ar:uivos do banco de dados inde" o4ectClass e( *e$ini)@o da inde6a)@o# 'on$i(ura)es b8sicas para um diretrio 3*AP# 'onectando ao diretrio s&aptest % Comando usado para testar as configura3es em 0etc0ldap0slapd$conf "etc"init#d"s&apd start % .nicia o daemon do =&AP &dapsearc % Dealiza pes(uisa simples na ase de dados do =&AP e"$- &dapsearc %6 %b VV %s base V(obZectc&assRX)V namin('onte6ts Ar:uivos 3*I/ 3*I/ (3*AP *ta Intercan(e /ormat) % Tipo de ar(uivo usado para .nsero de dados em um diret'rio =&AP$ E6emp&o de um ar:uivo 3*I/ (e6emp&o#&di$) 1 Guia de Estudo LPI 201-202 dn- dcWempresa) dcWcom) dcWr o4ectClass- domain dc- empresa Si(&as uti&iGadas em ar:uivos &di$ dn: distinguished7ame o: organization7ame c: countr# cn: common7ame sn: surname Para incluir os dados do ar(uivo e"emplo$ldif no diret'rio =&AP &dapadd %$ e6emp&o#&di$ %6 %W %* VcnRadminWdcRempresaWdcRcomWdcRbrV Para pes(uisar os dados do ar(uivo no diret'rio =&AP &dapsearc %6 %b VdcRempresaWdcRcomWdcRbrV V(obZectc&assRX)V 3*AP 'omandos de (rupos e usu8rios &dapadd(roup % Adiciona um grupo$ 2"$- ldapaddgroup 9nomePdoPgrupo: _gid` &dapadduser % Adiciona um usu!rio$ 2"$- ldapadduser 9nomePdoPusu!rio: 9nomePdoPgrupoIgid: _uid` &dapadduserto(roup % .nclui um usu!rio num grupo$ 2"$- ldapaddusertogroup 9nomePdoPusu!rioIuid: 9nomePdoPgrupoIgid: &dapaddmacine % Cria uma conta de ma(uina$ 2"$- ldapaddmachine 9nomeX: 9nomePdoPgrupoIgid: _uid` &dapde&ete(roup % Demove um grupo &dapde&eteuser % Demove um usu!rio &dapde&eteuser$rom(roup % 2"clui um usu!rio de um grupo$ 2"$- ldapdeleteuserfromgroup 9usu!rio: 9nomePdoPgrupoIgid: &dappass1d % Altera a senha de um item no diret'rio =&AP Tpico 2>> Servi)os de e%mai& Principais temas abordados: Configurao !sica de servidor de email; ;iltros do Procmail; Servios POP e .?AP$ S4TP (Simp&e 4ai& Trans$er Protoco&) % Protocolo utilizado para envio de mensagem de email$ 4TA (4ai& Trans$er A(ent) % Agente de transporte de email /servidor de email1 respons!vel em enviar as mensagens /S?TP1$ 4*A (4ai& *e&iver+ A(ent) % Agente entregador de email respons!vel em entregar as mensagens nas cai"as postais dos usu!rios$ 4TA % Postfi") Sendmail) (mail e 2"im$ 4*A % Courier) &ovecot /Pop ou .?AP1 Sendmai& "etc"mai& % &iret'rio (ue contem os ar(uivos de configurao do Sendmail$ Ar:uivos de con$i(ura)@o: "etc"mai&"access % Ar(uivo utilizado para verificar e lierar /ou no1 emails cu4o destino 8 a ma(uina local$ Usado tam8m para (ue o servidor local possa ser utilizado como servidor de email por outras ma(uinas /rela#1$ re&a+ % 2ncaminhamento a partir de origem e"terna$ A)es do ar:uivo access: =<- Aceita o email para a entrega local; 1 Guia de Estudo LPI 201-202 ,E3A[- Aceita o email para encaminhamento por meio deste servidor; ,E\E'T- De4eita o envio do email; *IS'A,*- &escarta e email sem gerar mensagem de erro$ Ao v!lida apenas para nomes de dom*nio ou endereos de email$ Ap's configurar o "etc"mai&"access gere o ar(uivo de mapa in!rio- maCemap as "etc"mai&"access#db A "etc"mai&"access maCemap % =T as configura3es a partir de entrada padro e gera o ar(uivo utilizado pelo Sendmail$ "etc"mai&"&oca&%ost%names % &efine (uais nomes sero aceitos para a m!(uina local$ "etc"mai&"virtusertab&e % ?apeia mensagens receidas por outras contas ou dom*nios$ Ap's configurar o "etc"mai&"virtusertab&e gere o ar(uivo de mapa in!rio- maCemap as "etc"mai&"virtusertab&e#db B "etc"mai&"virtusertab&e "etc"mai&"(enericstab&e % Deescreve o endereo para emails enviados$ Ap's configurar o "etc"mai&"(enericstab&e gere o ar(uivo de mapa in!rio- maCemap as "etc"mai&"(enericstab&e #db B "etc"mai&"(enericstab&e "etc"mai&"(enericsdomain % .nforma ao Sendmail (uais endereos so considerados locais$ "etc"mai&"mai&ertab&e % Dedireciona email vindo de fora) uma alternativa ao virtusertale$ "etc"mai&"domaintab&e % ?apeamento entre dom*nios$ Ap's configurar o "etc"mai&"domaintab&e gere o ar(uivo in!rio- maCemap as "etc"mai&"domaintab&e #db B "etc"mai&"domaintab&e "etc"mai&"a&iases % Dedireciona emails enviando para as contas locais especificadas$ Ap's configurar o "etc"mai&"a&iases gere o ar(uivo in!rio- maCemap as "etc"mai&"a&iases #db B "etc"mai&" a&iases "etc"mai&"sendmai&#c$ % Principal ar(uivo de configurao do Sendmail$ "usr"sare"sendmai&"c$"c$" % &iret'rio (ue contem ar(uivos e"emplos de configurao /$mc1 do Sendmail$ Usando um ar(uivo $mc /e"$- con$i(#mc1 poder! ser gerado o ar(uivo de configurao do Sendmail atrav8s do comando mR$ e"$- mK con$i(#mc B "etc"mai&"sendmai&#c$ Para reiniciar o Sendmail para utilizar as novas configura3es use o comando Ci&&a&& %!7P sendmai& Post$i6 "etc"post$i6 % &iret'rio (ue contem os ar(uivos de configurao do Postfi"$ "etc"post$i6"main#c$ % Principal ar(uivo de configurao do Postfi"$ Principais op3es do main#c$- m+ori(in % &etermina o dom*nio (ue aparecera nos email enviado deste servidor 1 Guia de Estudo LPI 201-202 e"$- m+ori(in R Um+ostname m+destination , 2specifica para (uais dom*nios as mensagens receidas devem ser entregues localmente e no enviadas para outro servidor$ e"$- m+destination R Um+ostnameW &oca&ost#Um+domainW &oca&ost m+net1orCs % 2specifica em (ual surede o servidor aceitara emails enviados de clientes e"$- m+net1orCs R >N2#>L8#>00#0"2K >2M#0#0#0"8 m+net1orCs5st+&e % Usado no lugar de m#net<or+s) define o padro para aceitar email e"$- m+net1orCs5st+&e R subnet % Todas as ma(uinas da su,rede local$ m+net1orCs5st+&e R ost % Apenas da ma(uina local$ m+net1orCs5st+&e R c&ass % Clientes dentro da classe .P do servidor$ re&a+5domains % &efine para (uais dom*nios ser! feito rela# de emails receidos$ e"$- re&a+5domains R Um+destination re&a+ost % &efine (ual servidor se encarregara de entregar o email da internet$ e"$- re&a+ost R Psmtp#(mai&#comQ:?8M "etc"post$i6"master#c$ % Ar(uivo de configurao (ue determina (uais comandos e como devem ser e"ecutados "etc"post$i6"virtua& % &efine dom*nios virtuais como os (uais o Postfi" deve atuar como servidor$ E6im "etc"e6im % &iret'rio (ue contem os ar(uivos de configurao do 2"im$ "etc"e6im"e6im#con$ % Principal ar(uivo de configurao do 2"im$ Qmai& "var":mai&"contro& % &iret'rio (ue contem os ar(uivos de configurao do (mail$ "etc":mai& % =in+ sim'lico pra o diret'rio 0var0(mail0control Aspectos comuns "etc"a&iases % Ar(uivo usado parar criar alias /apelidos1 de contas de email para contas de usu!rios e"$- postmaster: root Ao chegar um email para postmasterOempresa$com$r ser! redirecionado para o usu!rio root "var"spoo&"mai& ou "var"mai& % &iret'rios para armazenar mensagens locais "var"&o("mai&"X % &iret'rios para armazenar logs Administra)@o da entre(a &oca& de e%mai& procmai& % ?&A /?ail &eliver# Agent1 tradicional do =inu"$ Um ?&A 8 respons!vel por classificar e distriuir os emails entre os usu!rios do sistema$ Principais componentes do Procmai& "etc"procmai&rc % Ar(uivo de configurao do procmail$ ]"#procmai&rc % Ar(uivo (ue pode conter filtros espec*ficos de cada usu!rio$ "usr"bin"procmai& % Programa (ue processa as mensagens$ 'riando /i&tros# Um filtro pode ser criado diretamente no ar(uivo ]"#procmai&rc ou criado no diret'rio a0$procmail$ 1 Guia de Estudo LPI 201-202 Estrutura de um $i&tro: Inicio- ?arcador determinando comeo de regra indicado por -U 'ondi)@o- Uma ou mais e"press3es regulares (ue funcionaro como crit8rios A)@o- O destino dado a mensagem E6emp&o: -U J b;rom$JfulanoO$J estagi!rio Pegar! todas as mensagens (ue se en(uadrem na e"presso regular /remetentes1 contendo o termo fulanoO e as colocar! no diret'rio estagi!rio dentro da pasta de emails do usu!rio /a0?ail1 E6emp&o indicando o ar:uivo de trava &ocC%$i&e no inicio do $i&tro: -U- J b;rom$JfulanoO$J estagi!rio /-U-1 2vita (ue o ar(uivo onde as mensagens sero gravadas se4a aerto para gravao ao mesmo tempo E6emp&o redirecionando mensa(em $i&trada para outro endere)o de emai& -U J bSu4ect$Jlinu"$J c admOempresa$com$r E6emp&o de$inindo mais de uma a)@o no $i&tro uti&iGando caves: -U J bSu4ect$Jlinu"$J Z -U c c admOempresa$com$r -U d gzip :: linu"$gz [ *escri)@o: :0 % ?arcador determinando comeo de regra X ^SubZect#X&inu6#X % 2"presso linu" no campo assunto _ % .nicia a definio de mais de uma ao :0 c % Caractere c indica (ue a mensagem deve ser copiada para a pr'"ima ao ` adm0empresa#com#br % Dedireciona as mensagens para o email$ :0 % ?arcador determinando comeo de regra a (Gip BB &inu6#(G % Adiciona a mensagem no ar(uivo linu"$gz por meio de um Pipe b % ;echa definio de mais de uma ao Administrar entre(a de e%mai& remoto I4AP (Internet 4essa(e Access Protoco&) % Protocolo para receimento de mensagens (ue utiliza tam8m cone"o segura /SS=1$ 1 Guia de Estudo LPI 201-202 P=P (Post =$$ice Protoco&) % Semelhante ao .?AP) mas com uma implementao mais simples$ Servidor 'ourier Servidor S4TP % Postfi" Servidor I4AP"P=P % Courier "etc"courier % &iret'rio (ue contem os ar(uivos de configurao do Courier$ "etc"courier"imapd % Ar(uivo de defini3es para o daemon imapd$ &efinio de .P e porta de cone"o so especificadas logo no inicio do ar(uivo$ e"$- A**,ESSR>N2#>L8#>#>00 % Se no for definido um 6nico .P o servidor .?AP aceitar! cone"3es de todas as interfaces de redes ativas$ e"$- I4AP5'!E'<5A335/=3*E,SR(0 ou > ) , Se ativado checas novas mensagens de email para pastas fora da pasta .7BOe e"$- I4AP5E2!A2'E*I*3ER(0 ou >) % Se ativado altera3es aparecem no cliente no momento (ue ocorrem no servidor$ "etc"courier"pop;d % Ar(uivo de defini3es para o daemon popQd$ e"$- P=P;*STA,TR[ES % &etermina a e"ecuo do servidor POP na inicializao do Courier Servidor *ovecot Uma alternativa para servidor I4AP"P=P) seu funcionamento 8 asicamente o mesmo do 'ourier "etc"dovecot % &iret'rio (ue contem os ar(uivos de configurao do &ovecot$ "etc"dovecot"dovecot#con$ % Principal ar(uivo de configurao do &ovecot$ 4ctodo de autentica)@o usando PA4 "etc"pam#d"dovecot auth re(uired pamPuni"$so accountre(uired pamPuni"$so =p)es do ar:uivo de con$i(ura)@o "etc"dovecot"dovecot#con$ mai&5&ocation % &efine o local de armazenamento das mensagens e"$- mai&5&ocation R mai&dir:]"4ai&dir mbo65read5&ocCs e mbo651rite5&ocCs % &efini3es (ue evita falhas de leitura e escrita nas cai"as de mensagens e"$- mbo65read5&ocCs R $cnt& mbo651rite5&ocCs R dot&ocC $cnt& $cnt&- Use esta opo se poss*vel$ Traalha com o 7;S tam8m se loc+d 8 usado$ $&ocC- no pode e"istir em todos os sistemas$ 7o funciona com o 7;S$ &ocC$- no pode e"istir em todos os sistemas$ 7o funciona com o 7;S$ mai&5privi&e(ed5(roup % 2m caso de utilizao do diret'rio 0var0mail para as cai"as de entrada e"$- mai&5privi&e(ed5(roup R mai& mbo65dirt+5s+ncs % Para oter melhor performance e"$- mbo65dirt+5s+ncs R +es Tpico 2>2 Se(uran)a do Sistema 1 Guia de Estudo LPI 201-202 Principais temas abordados: Doteadores) ;ire<alls e 7AT; Proteo de Servidores ;TP; Utilizao do OpenSSH; tcpP<rappers e outras ferramentas de segurana$ '&asses de endere)os 'ate(oria > % 2ndereos (ue no precisam ter acesso a outros endereos em redes e"ternas ou na internet$ 'ate(oria 2 , 2ndereos (ue precisam ter acesso a alguns servios e"ternos /email) ftp) <<<1 u(e podem ser mediados via gate<a#$ 'ate(oria ; % 2ndereos (ue necessitam de conectividade direta com a internet$ 2ndereos das categorias A e G so chamados de privados$ 2ndereos da categoria Q so chamados de p6licos$ '&asse privada de endere)amento IP ;ai"a ?ascara de rede 7otao areviada AU$U$U$U at8 AU$GSS$GSS$GSS GSS$U$U$U AU$U$U$U0M AYG$AL$U$U at8 AYG$QA$GSS$GSS GSS$GRU$U$U AYG$AL$U$U0AG AKG$ALM$U$U at8 AKG$ALM$GSS$GSS GSS$GSS$GSS$U AKG$ALM$U$U0AL ,otas route % Comando para mane4o de rotas route %n % 2"ie a taela de rotas no roteador Adicionar uma rota manualmente por meio da interface ethA e"$- route add %net >N2#>L8#>#0 netmasC 2??#2??#2??#0 dev et> Adicionar uma rota padro e"$- route add de$au&t (1 >N2#>L8#>#> Adicionar uma rota padro usando forma e"tensa e"$- route add %net 0#0#0#0 netmasC 0#0#0#0 (1 >N2#>L8#>#> 2AT 2et1orC Address Trans&ation O 7AT permite (ue um host da rede privada comuni(ue,se com hosts da rede pulica /.nternet1$ Para ativa o 7at no sistema 8 usado o comando iptales$ Iptab&es % Despons!vel por definir regras para o transito de pacotes .P controlado pelo +ernel$ tabe&as , Transito de pacotes .P divido em categorias cains % linhas da taela (ue podem receer diversas regras Tabe&as do iptab&es $i&ter % Taela padro (ue cont8m as chains emutidas .7PUT) ;ODVAD& e OUTPUT$ I2P7T % Para pacotes (ue chegam ao host local$ /=,WA,* % Para pacotes sendo roteados pelo host local$ =7TP7T % Para pacotes gerados no host local e destino e"terno$ nat % Para pacotes (ue criam novas cone"3es /tradu3es e redirecionamento1) cont8m as chains emutidas 1 Guia de Estudo LPI 201-202 PD2DOUT.75) OUTPUT e POSTDOUT.75 P,E,=7TI29 % Para alterar pacotes receidos antes do roteamento$ P=ST,=7TI29 % Para alterar pacotes (uando eles esto prestes a sair$ man(&e % Para altera3es espec*ficas de pacotes) cont8m as chains emutidas .7PUT) OUTPUT) PD2DOUT.75) ;ODVAD& e POSTDOUT.75$ Ar(umentos%comandos dentro de uma cain: %A- Adiciona uma regra na chain$ %I- .nserir regra numa posio dentro da chain$ %,- Sustituir regra na chain$ %*- Apagar chain$ %2- Criar chain personalizada$ %Y- Apagar chain vazia$ %P- &efinir pol*tica para uma chain emutida$ %3- =istar as regras em uma chain$ %/- Apagar todas as regras em uma chain$ %d- ]erar os contadores de pacotes em todas as regras de uma chain$ ,e(ras de $i&tra(em padr@o e destinos para a maioria das cains: %s endere)o Ou %%source endere)o % 2ndereo de origem do pacote$ Pode ser nome de rede) host) .P de rede0mascara ou um endereo .P$ e"$- %s >N2#>L8#2#0"2K %d endere)o Ou %%destination endere)o % 2ndereo de destino do pacote$ Pode ser nome de rede) host) .P de rede0mascara ou um endereo .P$ e"$- %d >N2#>L8#2#0"2K %p protoco&o Ou %%protoco& protoco&o % &efine o protocolo$ Pode ser tcp) udp) icmp ou all$ e"$- %p tcp %i inter$ace Ou %%in%inter$ace inter$ace % .nterface atrav8s da (ual o pacote chegou$ e"$- %i et0 %o inter$ace Ou %%out%inter$ace inter$ace % .nterface atrav8s da (ual o pacote ser! enviado$ e"$- %o et0 %Z a)@o Ou %%Zump a)@o % Targets /a3es1 para os pacotes interceptados$ Targets comuns para o fire<all so ACC2PT /Permite a passagem normal do pacote1 e &DOP /&escarta o pacote1$ e"$- %Z A''EPT %m mdu&o Ou %%matc mdu&o % Usa m'dulo estendido Cm'duloE$ Um muito usado para o fire<all 8 o m'dulo state$ %%state estado % Permite determinar (ual a relao de um pacote com as cone"3es e"istentes$ estados-
I2HA3I* % O estado no pode ser determinado$ ESTAO3IS!E* % O pacote pertence a uma cone"o ativa$ 2EW % .ndica (ue o pacote inicia uma nova cone"o$ ,E3ATE* % O pacote inicia outra cone"o porem relacionadas a uma cone"o e"istente$ Para criar uma re(ra de 2AT: 2 Guia de Estudo LPI 201-202 iptales ,t nat ,A POSTDOUT.75 ,s AKG$ALM$G$U0GR ,o ethU ,4 S7AT %to,source GUA$SG$SU$AA &escrio- %t nat % &etermina (ue a taela 7AT se4a utilizada$ %A P=ST,=7TI29 % .ncluir a regra na corrente POSTDOUT.75 %s >N2#>L8#2#0"2K % &etermina (ue a regra aplica,se a pacotes originados na rede privada$ %o et0 % &etermina (ue a regra aplica,se a pacotes cu4o destino se4a a interface ethU$ %Z S2AT % &etermina a ao /,41 a ser e"ecutada para o pacote (ue se en(uadrar na regras estaelecidas$ S7AT /source 7AT1 &etermina (ue o .P de origem do pacote enviado se4a informado com a opo ,,to,source GUA$SG$SU$AA /.P do roteador1$ 'on$i(urando roteamento com o IPTab&es (4as:ueradin()
iptales ,t nat ,A POSTDOUT.75 ,o ethU ,4 ?AS\U2DA&2 Para permitir 7AT) al8m de definir a regra na taela de tr!fego 8 necess!rio alterar o Conte6do do ar(uivo "proc"s+s"net"ipvK"ip5$or1ard para A /true1 e"$- eco e>e B "proc"s+s"net"ipvK"ip5$or1ard ,edirecionamentos 2"emplo- Todas as cone"3es destinadas a porta MU /http1 se4am redirecionadas pra um host da rede privada$ .ptales ,t nat ,A PD2DOUT.75 ,p tcp ,,dport MU ,4 &7AT ,,to,destination AKG$ALM$G$G-MU &escrio- %t nat % &etermina (ue a taela 7AT se4a utilizada$ %A P,E,=7TI29 % ?anipula os pacotes na medida em (ue entram na taela$ %p tcp % 2specifica o protocolo para a pr'"ima opo$ %%dport 80 % &etermina a porta (ue ser redirecionada$ %Z *2AT % .ndica (ue se trata de uma traduo para outro .P de destino$ %%to%destination >N2#>L8#2#2:80 % .P de destino 2"emplo para redirecionar pedidos de cone"o na porta GGUUU do roteador para o login via OpenSSH em uma interface da rede interna$ Iptab&es %t nat %A P,E,=7TI29 %p tcp %%dport 22000 %Z *2AT %%to%destination >N2#>L8#2#2:22 2"emplo para apenas redirecionar uma porta do roteador para outra porta no pr'prio roteador$ Todas as suscita3es para a porta MU sero redirecionadas para a porta MUMU$ Iptab&es %t nat %A P,E,=7TI29 %p tcp %%dport 80 %Z ,E*I,E'T %%to%port 8080 O&o:ueando ata:ues Apagar todas as regras da taela filter e"$- iptab&es %t $i&ter %/ =ierar todos os pacotes gerados localmente e"$- iptab&es %t $i&ter %A I2P7T %i &o %Z A''EPT =ierar para entrar pela interface ethU somente os pacotes pertencentes /2STAB=.SH2&1 ou relacionados /D2=AT2&1 a uma cone"o e"istente$ 2 Guia de Estudo LPI 201-202 e"$- iptab&es %t $i&ter %A I2P7T %m state state ESTAO3IS!E*W,E3ATE* %Z A''EPT 2staelecer pol*tica de descartar todos os pacotes na chain .7PUT da taela filters e"$- iptab&es %t $i&ter %P I2P7T *,=P @erificar novas regras e"$- iptab&es %3 =ierar o acesso e"terno a porta MU e"$- iptab&es %A I2P7T %p tcp %%dport 80 %Z A''EPT =ierar o acesso e"terno a porta GG para acesso administrativo e"$- iptab&es %A I2P7T %p tcp %%dport 22 %Z A''EPT Se(uran)a *oS (*enia& o$ Service) % Ata(ue (ue consiste em fazer um numero alt*ssimo de solicita3es a um servidor) de forma (ue este no se4a capaz de responder a todos e torne,se inacess*vel$ Para evitar esse tipo de ata(ue 8 necess!rio ativar os recursos de verificao de endereo de origem (IP spoo$in( Ips $orZados) e proteo T'P S[2 'ooCie$ s#sctl ,< net$ipvR$conf$all$rpPfilterWA s#sctl ,< net$ipvR$tcpPs#ncoo+iesWA
Sa&vamento de re(ras iptab&es%save % =ista as configura3es ativas do iptales$ 2"ie as configura3es atuais na sa*da padro /tela do terminal1 iptab&es%save B "etc"iptab&es#con$ % Salva as regras redirecionando a sa*da para um ar(uivo$ ptab&es%restore % Destaura as configura3es gravadas no ar(uivo iptab&es%restore A "etc"iptab&es#con$ % Destaura as configura3es gravadas para a entrada padro do comando $ .ncluir o comando em um script de inicializao como 0etc0rc$local ou 0etc0rc$d0rc$local$ Se(uran)a de servidores /TP vs$tpd (Her+ Secure /TP daemon) % Servidor ;TP desenvolvido com enfo(ue na segurana$ "etc"vs$tpd#con$ % Principal ar(uivo de configurao do servidor ;TP$ "etc"init#d"vs$tpd % &aemon do servidor ;TP$ "ome"$tp ou "var"$tp % &iret'rio ase para o ;TP$ Op3es do ar(uivo "etc"vs$tpd#con$ &istenR[ES % Caso o vsftpd no for utilizado atrav8s do inetd ou "inetd$ =p)es para cone6es anfnimas anon+mous5enab&eR[ES % Permitir ;TP anfnimo$ 1rite5enab&eR[ES % Permitir escrita com comando ;TP$ anon5up&oad5enab&eR[ES % Para permitir (ue o usu!rio anfnimo possa carregar ar(uivos$ croot5&oca&5userR[ES % Permite restringir os usu!rios locais para seus diret'rios$ croot5&oca&5userR[ES % ?ostra ao usu!rio com login e senha o pr'prio diret'rio e 0home0ftp para usu!rio anfnimos$ Crie o diret'rio "ome"$tp"incomin( para usu!rios anfnimos possam copiar ar(uivos para o servidor$ Configure 2 Guia de Estudo LPI 201-202 o diret'rio para usu!rio ftp e grupo ftp$ 2"$- mCdir "ome"$tp"incomin( co1n $tp:$tp "ome"$tp"incomin( &oca&5enab&eR[ES , Permiti login de usu!rios cadastrados no sistema$ croot5&ist5enab&eR[ES % Ativa a lista de usu!rios locais sem chroot$ croot5&ist5$i&eR"etc"vs$tpd#croot5&ist , 2specifica uma lista de usu!rios locais (ue no tero chroot para seus diret'rios pessoais$ Se&& se(uro (SS!) =penSS! % ;erramenta padro para acesso remoto "etc"ss"ssd5con$i( , Principal ar(uivo de configurao do servidor SSH$ AZustes do Servidor =penSS! Op3es do ar(uivo "etc"ss"ssd5con$i( Permit,oot3o(in +es % Blo(ueia o acesso direto ao usu!rio root) criando uma segunda camada de segurana$ Protoco& 2 % Protocolo do tipo G mais seguro$ I(nore,osts +es % .gnora uma modalidade de lierao de acesso) onde os endereos presentes nos ar(uivos a0$rhosts e a0$shosts podem entrar sem fornecer senha$ Y>>/or1ardin( +es % Permite (ue as 4anelas de programas se4am aertas atrav8s de cone"o SSH '&iente =penSS! ss % Comando usado para cliente ssh se conectar em um servidor$ "etc"ss"ss5con$i( , Ar(uivo de configurao do cliente SSH$ e"$- ss usu8rio0>N2#>L8#>#> ss % Comando usado pelo cliente $u&ano % 7ome do usu!rio presente no servidor >N2#>L8#>#> % .P do servidor 'aves cripto(r8$icas &etermina a confiailidade e o m8todo de criptografia usada numa cone"o segura$ 'aves do computador /ormato 'ave Privada 'ave PDb&ica DSA 0etc0ssh0sshPhostPrsaP+e# 0etc0ssh0sshPhostPrsaP+e#$pu &SA 0etc0ssh0sshPhostPdsaP+e# 0etc0ssh0sshPhostPdsaP+e#$pu ]"#ss"Cno1n5osts , Armazena a chave p6lica de cone"o do computador remoto) (ue garante a confiailidade entre o dois$ 2 Guia de Estudo LPI 201-202 Para (ue a chave passe a valer para todos os usu!rios) o conte6do do ar(uivo a0$ssh0+no<nPhosts deve ser inclu*do no ar(uivo "etc"ss5Cno1n5osts Autentica)@o por cave ss%Ce+(en % Comando usado para criar as chaves /pulica e privada1$ "root"#ss"autoriGed5Ce+s % Ar(uivo na ma(uina de destino (ue guarda o Conte6do da chave pulica Tipos de $ormatos &SA /*igital Signature Algorithm1 % Criptografia de AUGR its$ DSA /,ivest) Shamir and Adleman1 % Criptografia de RUKL its$ e"$- ss%Ce+(en %t das %b >02K ss%Ce+(en %t rsa %b K0NL 7m tamano maior em bits torna ainda mais di$Jci& a :uebra da cripto(ra$ia# 'aves do usu8rio /ormato 'ave Privada 'ave PDb&ica DSA a0$ssh0idPrsa a0$ssh0idPrsa$pu &SA a0$ssh0idPdsa a0$ssh0idPdsa$pu 2"emplo- 2nviar o conte6do da chave p6lica para o computador de destino$ cat ]"#ss"id5dsa#pub a ss usu8rio0>N2#>L8#>#> -cat BB ]"#ss"autoriGed5Ce+s. Outro 2"emplo- 2nviar o conte6do da chave p6lica para o computador de destino$ ss%cop+%id usu8rio0>N2#>L8#>#> % Copia o ar(uivo idPrsa$pu para a ma(uina remota$ ss%cop+%id % Comando usado para copiar chave pulica para um computador remoto ss%cop+%id %i outro5ar:uivo#pub usu8rio0>N2#>L8#>#> % Copia outro ar(uivo de chave pulica para a ma(uina remota$ ss%a(ent % Agente de autenticao) sua funo 8 armazenar a chave privada para autenticao via chave p6lica /&SA ou DSA1$ ss%add , Adiciona chaves de autenticao &SA ou DSA ao programa de autenticao$ TDneis cripto(ra$ados Criar um t6nel SSH entre a porta SKUU /@7C1 do computador local at8 a porta SKUU /@7C1 do computador remoto ss %$23 ?N00:&oca&ost:?N00 usu8rio0>N2#>L8#>#> $ % .ndica (ue o comando deve ser e"ecutado em segundo plano 2 % &etermina (ue no deva ser aerta uma sesso do shell na ma(uina remota 3 % .ndica (ual porta ser usada 2o c&iente vncvie1er &oca&ost:0 e remoto via Ssh 2"ecutar um programa na ma(uina remota via SSH e"$- ss %Y usu8rio0>N2#>L8#>#> -Hirtua&Oo6. T'P Wrappers Controla o acesso por hosts na rede "etc"osts#a&&o1 , Cont8m regras descrevendo (ue hosts tem permisso de acessar um servio em sua 2 Guia de Estudo LPI 201-202 m!(uina$ e"$- A==- AKG$ALM$A$J 2eC2PT AKG$ALM$A$GU "etc"osts#den+ , Cont8m regras descrevendo (ue hosts no tem permisso de acessar um servio em sua m!(uina$ e"$- A==- A== Para servidores disparados por meio do daemon inetd 8 necess!rio forar a utilizao de TCPP<rappers$ Op3es do ar(uivo 0etc"inetd#con$ service name % 7ome do servio valido em 0etc0services e"$- te&net socCet t+pe % stream se TCP e dgram se U&P$ e"$- stream protoco& % Protocolo v!lido em 0etc0protocols) como tcp e udp e"$- tcp 1ait"no1ait % Se o inetd deve ou no esperar o programa servidor retornar para aceitar cone"3es para o mesmo$ e"$- no1ait user#(roup % Doda o program servidor com o usu!rio e grupo especificado e"$- te&netd server pro(ram % Caminho do programa para e"ecutar (uando um pedido e"istir no respectivo soc+et$ e"$- "usr"sbin"tcpd server pro(ram ar(uments % \uando o tcpd 8 usado para controlar os pedidos) neste campo devera constar o caminho para o programa (ue 8 de fato o servidor do servio$ e"$- "usr"sbin"in#te&netd 2"emplo do servidor telnet no ar(uivo 0etc0inetd$conf te&net stream tcp no1ait te&netd "usr"sbin"tcpd "usr"sbin"in#te&netd "var"run"inetd#pid % P.& do daemon inetd Super,servidor einetd "etc"6inetd#con$ % Ar(uivo de configurao do einetd "etc"6inetd#d % &iret'rio (ue guarda ar(uivos para cada servio$ 2"emplo de um servio nome do servio Z disale W #es0no soc+etPt#pe W stream)dgram)ra<)rdm ou se(pac+et protocol W Protocolo v!lido em 0etc0protocols <ait W #es0no user W Usu!rio de inicio do servidor group W 5rupo de inicio do servidor server W Caminho para o programa servidor do servio solicitado noPaccess W AKG$ALM$A$U onl#Pfrom W U$U$U$U 2 Guia de Estudo LPI 201-202
[ Tare$as de se(uran)a A lista internacional Bugtra( da Securit# ;ocus) C2DT e C.AC 8 uma ferramenta de vital importFncia (ue emite oletins de segurana$ Ou(tra:- <<<$securit#focus$com0archive0A 'E,T- <<<$cert$org 'IA'- <<<$ciac$org *etec)@o de Intrusos &astb % 2"ies tentativas de logins (ue no lotaram com T"ito$ I*S (Intrusion *etection S+stem) % ;erramentas espec*ficas (ue pode lo(uear cone"3es (ue apresentam algum comportamento suspeito Pro(ramas /ai&2ban % Analisa ar(uivos de logs e lo(ueia endereos .P com muitas tentativas de acesso mal,sucedidas$ Snort % Analisa protocolos e uscas por padr3es espec*ficos) deteco (ue v!rios ata(ues e varreduras como estouros de pilhas) ata(ues por C5.) analise por S?B) entre outros$ =penHAS % Possui uma estrutura aseada em cliente0servidor$ O componente principal 8 um servidor com um con4unto de testes de vulnerailidade conhecido com 7@Ts derivado do 7essus$ 2HTs (2et1orC Hu&nerabi&it+ Test) .dentificar prolemas nos sistemas remotos e em aplicativos$ Tpico 2>; So&u)@o de prob&emas Principais temas abordados: Deviso do t'picos anteriores; .dentificao de falhas do sistema; .dentificao de falhas de programas$ Identi$icar est8(ios de boot e consertar carre(adores de boot Etapas da inicia&iGa)@o: A % Carregamento do +ernel pelo =ilo ou 5ru G % .nicializao do +ernel Q % .dentificao de configurao do hard<are R % &isparo de daemons Prob&emas no carre(ador de boot Demoo do +ernel) defeito no sistema de ar(uivos) entre outros$ O processo de oot do =ilo acontece em dois est!gios) o primeiro estagio consiste num 6nico setor carregado pelo Bios$ O segundo estagio carrega o =ilo multi,setor$ Interpreta)@o de erros (cdi(o e6adecima&) no se(undo esta(io: 00- 7enhum erro identificado 2 Guia de Estudo LPI 201-202 0>- Comando de disco invalido 02- .ndicador de endereo no encontrado 0;- &isco protegido contra gravao 0K- Setor no encontrado 0L- &is(uete removido 08- &?A overrun 0A- Setor defeituoso 0O- Trilha defeituosa 20- ;alha no controlador K0- ;alha no rastreio /B.OS1 ou Cilindro : AUGAQ /=.=O1 NN- gndice de setor invalido para o segundo estagio /=.=O1 NA- AusTncia de assinatura para o carregador de segundo estagio AA- &river no pronto //- ;alha geral =utros erros 3I3g- O carregador de segundo estagio foi carregado num endereo incorreto 3I3%- A taela de +ernels est! corrompida So&u)@o (era& de prob&emas /a&as de <erne& Checar logs em "var"&o( e usar o comando dmes( para diagnostico de prolemas de hard<are /a&as de ard1are &spci , lista componentes conectados no arramento pci &spci %s endere)o do dispositivo %v , =ista com detalhes o dispositivo pci e"$- lspci ,s UU-AA$U ,v &susb , lista componentes conectados no arramento us &susb %v %d I* do dispositivo %v , =ista com detalhes o dispositivo us e"$- lsus ,v ,d AdL-UUUA 4du&os .ncluir m'dulo com o comando modprobe nome5do5modu&o e checar a documentao do +ernel em 0usr"src"&inu6"*ocumentation) para verificar o nome do modulo para o dispositivo em (uesto$ /a&as em pro(ramas strace % Comando capaz de rastrear todas as chamadas de sistema feitas por um programa$ strace p1d % O strace e"ecuta o comando especificado e faz o rastreamento de suas chamadas de sistema$ strace p1d %o ar:uivo % O strace e"ecuta o comando especificado e as informa3es de rastreamento sero enviadas para o ar(uivo especificado) ao inv8s do terminal ou console$ strace %p PI* % ;az o rastreamento de um processo em e"ecuo com o P.& informado &trace % Comando (ue intercepta e mostra todas as chamadas (ue um programa faz para iliotecas dinFmicas$ &trace p1d % O ltrace e"ecuta o comando especificado e faz o rastreamento de suas chamadas para iliotecas dinFmicas$$ Uma camada de sistema 8 um m8todo usado pelo processo para re(uisitar um servio do sistema operacional) ou mais especificamente do +ernel$ &so$ % Usado para investigar (uem ou (uais processos esto utilizando um determinado ar(uivo 2 Guia de Estudo LPI 201-202 &so$ %p PI* % =istar todos os ar(uivos aertos por um determinado processo$ &so$ %u usu8rio % =istar todos os ar(uivos aertos por um determinado processo disparado por um usu!rio$ &so$ "dev"sda2 % =istar todos os ar(uivos aertos por processos (ue esto utilizando um determinado ar(uivo$ Prob&emas em recursos do sistema Hari8veis de ambiente "etc"pro$i&e % &efine as vari!veis gloais para o sistema ]"#basrc % &efine as vari!veis para um usu!rio especifico PAT! &efine a lista de diret'rios nos (uais programas re(uisitados sero procurados$ e"$- eco UPAT! "usr"&oca&"sbin:"usr"&oca&"bin:"usr"sbin:"usr"bin:"sbin:"bin 3A29 % .dioma padro do sistema) usado pelo amiente gr!fico$ e"$- eco U3A29 pt5O,#7T/%8 E*IT=, % \ual editor de te"to padro usado no console e"$- eco UE*IT=, nano PA9E, % O paginador usado no console) como less ou more e"$- eco UPA9E, &ess env 2"ie as vari!veis de amiente e seus conte6dos 3*53IO,A,[5PAT! % @ari!vel de amiente usada por e"portar iliotecas para uso do ld$so e"$ e6port 3*53IO,A,[5PAT!Rcamino5da5bib&ioteca "etc"&d#so#con$ , Ar(uivo com localizao para as iliotecas de sistema &dcon$i( , Comando usado para (ue as altera3es no ar(uivo 0etc0ld$so$conf atualizem "etc"&d#so#cace =p)es do <erne& s+sct& % Comando usado para editar op3es do +ernel sem precisar reiniciar o sistema$ Outra forma 8 modificar diretamente os ar(uivos so o diret'rio 0proc0s#s$ s+sct& % a % ?ostra todas as op3es do comando s#sctl$ s+sct& %1 net#ipvK#ip5$or1ardR> % &etermina se o sistema deve agir como um roteador de pacotes .P$ A opo %1 deve se usada para fazer a alterao) caso contrario ser! mantido o valor atual$ "etc"s+sct&#con$ % Ar(uivo de configurao do s#sctl para incluir altera3es para ser carregadas no oot$ e"$- N Uncomment the ne"t line to enale pac+et for<arding for .PvR net#ipvK#ip5$or1ardR> Prob&emas em con$i(ura)es de ambiente vip1 , 2dita diretamente o ar(uivo 0 etc0pass<d) e evita (ue o ar(uivo se4a alterado por outro comando ou outro usu!rio durante a edio$ vip1 %s , 2dita diretamente o ar(uivo 0 etc0shado<$ vi(r , 2dita diretamente o ar(uivo 0 etc0group) e evita (ue o ar(uivo se4a alterado por outro comando ou outro usu!rio durante a edio$ vi(r %s , 2dita diretamente o ar(uivo 0 etc0gshado< 2 Guia de Estudo LPI 201-202 7su8rio com contas b&o:ueadas ` no inicio da linha do ar(uivo 0etc0pass<d e"$- `teste-XAX?&7TgfBvXP0t;HgA\fU#$HBTtro=\U-AUUA-AUUA-Teste)))-0home0teste-0in0ash =u shell padro apontar para "bin"$a&se e"$- teste-XAX?&7TgfBvXP0t;HgA\fU#$HBTtro=\U-AUUA-AUUA-Teste)))-0home0teste-"bin"$a&se =utras con$i(ura)es de &o(in "etc"&o(in#de$s % Ar(uivo de configurao para valores padro para validade de contas e numero m!"imo de tentativas de login$ e"$- N ?a" time in seconds for login % Tempo m!"imo de espera para o usu!rio digitar a senha 3=9I25TI4E=7T >0 Aphndice no P*/ em ane6o com todos os pesos e obZetivos das provas 20> e 202 2