Guia de Estudo LPI 202

Guia de Estudo LPI 201-202
Tpico 208 Web Services (Questes da Prova 202)

Principais temas abordados:
O Servidor HTTP Apache;
Utilizao de um certificado de segurana;
Conhecimento !sico de pro"#$
Apace Servidor !TTP
"etc"apace % &iret'rio com ar(uivos de configurao do apache
ttpd#con$) apace2#con$ ou apace#con$ % Principal ar(uivo de configurao do apache$
mods%ava&iab&e % &iret'rio (ue contem m'dulos hailitados
sites%ava&iab&e % &iret'rio (ue contem a configurao dos sites dispon*veis
mods%enab&e % Contem lin+s sim'licos para os ar(uivos de m'dulos em mods,avaliale
sites%enab&e % Contem lin+s sim'licos para os ar(uivos de configurao em sites,avaliale
ports#con$ % Ar(uivo de configurao de portas$
'on$i(ura)es $undamentais apace2#con$ (*ebian)
ServerT+pe (standa&one"inetd) % &efine se o httpd deve rodar separado ou invocado pelo inetd
e"$- ServerT+pe standa&one
Server,oot camino % &efine o diret'rio onde esto os ar(uivos de configurao do Apache
e"$- Server,oot -"etc"apace2.
Pid/i&e camino % Ar(uivo (ue armazenara o valor do P.& do processo httpd pai /0var0run0http$pid1
e"$- Pid/i&e "var"run"ttp#pid
ServerAdmin emai& % 2mail do administrador do servidor) sero encaminhadas informa3es de erro
e"$- ServerAdmin admin0empresa#com#br
*ocument,oot camino % &iret'rio (ue armazenara documentos disponiilizados no site
e"$- *ocument,oot -"var"111.
Server2ame 111#nome#com#br % O dom*nio registrado por onde o site poder! ser acessado
e"$- Server2ame 111#empresa#com#br
3oad4odu&e nome camino % Carrega um modulo &SO /&#namic Shared O4ect1
e"$- 3oad4odu&e vost5a&ias5modu&e &ibe6ec"apace"mod5vost5a&ias#so
Add4odu&e modu&o#c % Ativao dos m'dulos est!ticos e e"ternos
e"$- Add4odu&e mod5vost5a&ias#c
Port porta % &efine a porta onde o servidor escutara$
e"$- Port 80
7ser usu8rio % Usu!rio dono do processo servidor$
e"$- 7ser nobod+
9roup (rupo % 5rupo dono do processo servidor$
e"$- 9roup nobod+
'on$i(ura)es :ue in$&uenciam na per$ormance do servidor
Timeout % Tempo limite de espera para uma re(uisio 52T) dados via POST ou PUT
e"$- Timeout ;00
<eepA&ive % Permite (ue mais de uma re(uisio se4a realizada em uma 6nica cone"o
e"$- <eepA&ive =n
4a6<eepA&ive,e:uests % 7umero m!"imo de re(uisi3es numa mesma cone"o
e"$- 4a6<eepA&ive,e:uests >00
<eepA&iveTimeout % .ntervalo em segundos das ultima re(uisio at8 o fechamento da cone"o
e"$- <eepA&iveTimeout >?
4inSpareServers % 7umero m*nimo de processos servidores inativos
e"$- 4inSpareServers ?
4a6SpareServers % 7umero m!"imo de processos servidores inativos
e"$- 4a6SpareServers >0
4inSpareTreads % 7umero m*nimo de threads servidores inativos
1
e"$- 4inSpareTreads ?
4a6SpareTreads % 7umero m!"imo de threads servidores inativos
e"$- 4a6SpareTreads >0
StartServers % 7umero de processos filhos disparados inicialmente mais o servidor principal
e"$- StartServers ?
4a6'&ients % Total m!"imo de processos servidores
e"$- 4a6'&ients >?0
4a6,e:uestsPer'i&d , 7umero m!"imo de re(uisi3es (ue um processo filho poder! receer$
e"$- 4a6,e:uestsPer'i&d 0
Ativa)@o de mdu&os
2strutura modular) cada recurso e"tra )pode ser carregado atrav8s de m'dulos) e"$ PHP e P#thon
apace2ct& restart % Comando usado para reiniciar o apache
,estri)@o de acesso
9&irector# 0:
Options ;ollo<S#m=in+s
Allo<Override 7one
90&irector#:
&escrio-
A*irector+ "B % Aertura da seo) diret'rio raiz
=ptions /o&&o1S+m3inCs % Orienta o apache a oedecer os lin+s sim'licos no diret'rio
A&&o1=verride 2one % 2specifica se pode ser usado um ar(uivo $htaccess no diret'rio
A"*irector+B % ;echamento da seo
Conte6do do ar(uivo $taccess
9&irector# >0var0<<<>:
Options .nde"es ;ollo<S#m=in+s ?ulti@ie<s
Allo<Override All
Order allo<)den#
Allo< from all
90&irector#:
'riar conta de acesso
tpass1d % Cria contas de acesso ao diret'rio restrito
htpass<d ,s ,c 0var0<<<0restrito0$htpass<d aluno
*escri)@o:
tpass1d % Comando (ue cria a conta
%s % Utilizao do algoritmo SHAA
%c "var"111"restrito"#tpass1d % .ndica a localizao do ar(uivo (ue armazenara a senha
a&uno % 7ome do usu!rio da conta
'onteDdo do ar:uivo "var"111"restrito"#taccess
AuthT#pe Basic
Auth7ame CDestricted AreaE
AuthUser;ile C0var0<<<0restrito0$htpass<dE
De(uire valid,user
Ar:uivos de &o(
2
O log de erros 8 definido pelo parFmetro 2rror=og no ar(uivo apacheG$conf
e"$- Error3o( "var"&o("apace2"error#&o(
Error3o( s+s&o(:user % Ao inv8s de ar(uivo utilizar o s#slog e a facilidade user
Transa)es ima(ens em p8(ina !T43
=og;ormat CHh Hl Hu Ht IEHrIE H:s HE common
3ista de caracteres
F % Host remoto
F& % =og remoto) se houver
Fu % Usu!rio remoto) se dispon*vel pelo auth
Ft % &ata e hora) no formato padro americano
Fr % Primeira linha de re(uisio
Fs % Status da re(uisio
Fb % B#tes receidos) e"clu*dos os caealhos
'riar &o(s persona&iGados
&efine o ar(uivo e o nic+name pr8,definido
'ustom3o( "var"&o("apace"access5&o( common
Criar logs apenas para registrar (uais navegadores acessam o site
3o(/ormat -F(7ser%a(ent)i. a(ent
'ustom3o( "var"&o("apace"a(ent5&o( a(ent
=p)es do comando apace2ct&
apace2ct& start % .nicia o servidor
apace2ct& stop % Termina o servidor
apace2ct& restart % Deiniciai ou inicia o servidor
apace2ct& (race$u& % .nicia ou reinicia o servidor) mas aguarda as cone"3es ativas terminarem
apace2ct& con$i(test % @erifica se h! erros de sinta"e nas configura3es$
4anuten)@o do servidor Web
!osts Hirtuais baseado em consu&ta de nomes
9@irtualHost J:
Server7ame <<<$empresa$com$r
&ocumentDoot 0var0<<<0empresa
90@irtualHost:
'om ServerA&ias (Indica outros nomes por meio dos :uais o site ser8 acessJve&)
9@irtualHost J:
ServerAlias empresa$com$r J$empresa$com$r
90@irtualHost:
!osts Hirtuais baseado em IP
9@irtualHost AKG$ALM$A$A :
90@irtualHost:
Pr8tica 'riar um !ost Hirtua&
3
> % vim 0etc0apacheG0sites,avaliale0<<<$empresa$com$r /Crie o dom*nio virtual1
N Host @irtual
7ame@irtualHost <<<$empresa$com$r
9@irtualHost <<<$empresa$com$r:
&ocumentDoot 0var0<<<0empresa$com$r
Server7ame empresa$com$r
ServerAdmin <emasterOempresa$com$r
2rror=og 0var0log0apacheG0empresa$com$r,access$log
Custom=og 0var0log0apacheG0empresa$com$r,access$log common
90@irtualHost:
*escri)@o:
2ameHirtua&!ost 111#empresa#com#br % Host virtual aseado em nome$
AHirtua&!ost 111#empresa#com#brB , &efine o host virtual$
*ocument,oot "var"111"empresa#com#br , &iret'rio (ue armazenara documentos disponiilizados no site
Server2ame empresa#com#br , O dom*nio registrado por onde o site poder! ser acessado
ServerAdmin 1ebmaster0empresa#com#br , 2mail do administrador do servidor) sero encaminhadas
informa3es de erro
Error3o( "var"&o("apace2"empresa#com#br%access#&o( % Ar(uivo de logs de erros
'ustom3o( "var"&o("apace2"empresa#com#br%access#&o( common , &efine o ar(uivo e o nic+name pr8,
definido
A"Hirtua&!ostB , ;echa a sesso
2 % mCdir "var"111"empresa#com#br /Crie o diret'rio do dom*nio virtual1
; % vim "var"111"empresa#com#br"inde6#tm& /Crie o ar(uivo inde" para o seu dom*nio1
9html:
9title: ?inha P!gina 90title:
9od#:
Testando o Apache
90od#:
90html:
K % apace2ct& %S /Testa a sinta"e do seu ar(uivo de @irtual Host1
? % a2ensite /Hailita o dom*nio criado1
L % a2ensite 111#empresa#com#br / Hailita o dom*nio sem a necessidade de criar lin+s virtuais1
M % invoCe%rc#d apace2 re&oad /Decarrega as configura3es sem reiniciar o apache1
'one6es se(uras (SS3)
SS3 (Secure SocCet 3a+ers) % Assegura a segurana e a autenticidade da comunicao com o servidor$ A
verso do Apache G$" 4! inclui o modPssl
!TTPS % Protocolo para navegao segura na porta KK;$
'A /Certificate Authorit#1 % Autoridade certificadora) (ue garante a autenticidade do servidor$
E6emp&os de 'As
@eriSign /Tha<te1
5eoTrust
5o&add#
9erar cave
A % Hailitar o modulo ssl
a2enmod ss&
4
G % Acessar o diret'rio para guardar a chave
cd "etc"ss&
openss& % Comando usado para gerar chave privada (ue ser! mantida no servidor$
Q % 5era uma chave usando criptografia Triple &2S e guarda no ar(uivo <<<$empresa$com$r$+e#
openss& (enrsa %des; %out 111#empresa#com#br#Ce+ >02K
R % Cria um Certificate Signing De(uest /Pedido de assinatura do certificado1
openss& re: %ne1 %Ce+ 111#empresa#com#br#Ce+ %out 111#empresa#com#br#csr
S % Para vocT mesmo assinar o certificado e no uma unidade certificadora use-
openss& 6?0N %re: %da+s ;L? %in 111#empresa#com#br#csr %si(nCe+ 111#empresa#com#br#Ce+ %out
111#empresa#com#br#crt
'on$i(urando o domJnio virtua& com SS3
vim 0etc0apacheG0sites,avaliale0<<<$empresa$com$r
7ame@irtualHost J-RRQ
9@irtualHost J-RRQ:
&ocumentDoot 0var0<<<0empresa$com$r
Server7ame J-RRQ
ServerAdmin <emasterOempresa$com$r
2rror=og 0var0log0apacheG0empresa$com$r,access$log
Custom=og 0var0log0apacheG0empresa$com$r,access$log common
SS3En(ine =n
SS3'erti$icate/i&e "etc"ss&"111#empresa#com#br#crt
SS3'erti$icate<e+/i&e "etc"ss&"111#empresa#com#br#Ce+
90@irtualHost:
SS3En(ine =n % Ativa o uso de SS= /porta RRQ1
SS3'erti$icate/i&e "etc"ss&"111#empresa#com#br#crt % Ar(uivo do certificado assinado
SS3'erti$icate<e+/i&e "etc"ss&"111#empresa#com#br#Ce+ % Ar(uivo da chave
https-00<<<$empresa$com$r
Imp&ementando um Servidor Pro6+
S:uid % Servidor pro"# (ue age como filtro) lo(ueador conte6do e autenticador
"etc"s:uid"s:uid#con$ % Principal ar(uivo de configurao do s(uid
=p)es $undamentais de um 'ace S:uid
ttp5port % &efine a porta utilizada pelo s(uid /QAMG a padro1
cace5m(r % O email do administrador do pro"#
cace5e$$ective5use % O usu!rio so o (ual o daemon s(uid ser! e"ecutado
cace5e$$ective5(roup % O grupo so o (ual o daemon s(uid ser! e"ecutado
A'3
Access 'ontro& 3ist % Degra de acesso /permisso e limites ao usu!rio do pro"#1
e"$- ac& &n src >N2#>L8#>#0"2K
&efine uma AC= de nome lan (ue se refere as todas as re(uisi3es para rede AKG$ALM$A$U0GR
Para lierar o acesso para esse grupo
ttp5access a&&o1 &an
5
Tpico 20N 'omparti&amento de Ar:uivos
Configurao e operao do SA?BA;
Compartilhamento de ar(uivos e espao em disco com 7;S$
S4O e 'I/S % Protocolos (ue permitem compartilhar recursos de um servidor =inu" para esta3es Vindo<s e
vice,versa
smbd % &aemon do sama respons!vel por servidor de ar(uivos e impressoras$
nmbd % &aemon do sama respons!vel por servidor de nomes 7etB.OS$
Sama , &aemon do sama respons!vel por servidor de ar(uivos) impressoras e 7etB.OS /&eian1
"etc"samba"smb#con$ % Principal ar(uivo de configurao do sama
E6emp&o de um ar:uivo de con$i(ura)@o mJnima:
P(&oba&Q
<or+group W lpi
server string W &eian Sama Server
PomesQ
comment W Home &irectories
read onl# W no
ro<seale W no
PprintersQ
comment W All Printers
path W 0var0spool0sama
printale W #es
ro<seale W no
P(&oba&Q % Seo de configura3es gloais do servidor
PomesQ % Seo de compartilhamento de diret'rios
PprintersQ % Seo de compartilhamento de impressoras
testparm % Comando usando para testar as configura3es /sinta"e1 do ar(uivo sm$conf
'ria)@o de contas de usu8rio samba
smpass1d % Comando usado para criar conta do sama
=p)es:
smpass1d %a usu8rio % Cria uma conta do sama para um usu!rio indicado
smpass1d %6 usu8rio % 2"clui uma conta do sama para um usu!rio indicado
smpass1d %d usu8rio % Blo(ueia uma conta do sama para um usu!rio indicado
smpass1d %e usu8rio % &eslo(ueia uma conta do sama para um usu!rio indicado
smpass1d %m % .ndica (ue a conta 8 uma conta de ma(uina e no de usu!rio
smpass1d %n usu8rio % A senha do usu!rio do sama ser! nula$ Somente ser! poss*vel arir o
compartilhamento se e"istir o parFmetro null pass<ords W #es na seo gloal$
username map R "var"&ib"samba"users#map % Opo inserida no sm$conf para mapear usu!rios (ue
possuam na estao um nome diferente da(uele utilizado no servidor$
E6emp&o de users#map
root W admin administrador
Samba como servidor P*'
P*' (Primar+ *omain 'ontro&) % Servidor de dom*nio permite (ue usu!rios de esta3es Vindo<s realizem
6
logon utilizando as informa3es de autenticao centralizadas no servidor$
ParSmetros da se)@o P(&oba&Q para $uncionamento do samba com P*'
1orC(roup % &efine o nome do dom*nio$
e"$- 1orC(roup R &pi
&o(on script % Script (ue ser! e"ecutado (uando o usu!rio se logar
e"$- &o(on script R &o(on#cmd
domain &o(ons % &etermina a ativao de login remoto pra o dom*nio especificado
e"$- domain &o(ons R +es
=utros parSmetros da se)@o P(&oba&Q para $uncionamento do samba com P*'
netbios name % &efine o nome do computador na rede Vindo<s
e"$- netbios name R ma:&inu6
pre$erred master % &etermina se o servidor nmd devera ter prioridade frente a outros servidores
e"$- pre$erred master R +es
os &eve& % Prioridade do servidor) o numero AUU garante (ue este ser! o primeiro servidor
e"$- os &eve& R >00
&o(on pat % &iret'rio onde sero armazenadas as configura3es do Vindo<s /Perfil1
e"$- &o(on pat R TTF2TF7Tpro$i&e
&o(on drive % &etermina a letra de drive (ue o Vindo<s usara para o diret'rio HO?2
e"$- &o(on drive R !:
&o(on ome % &etermina a localizao do diret'rio HO?2
e"$- &o(on ome R TTF2TF7 Tpro$i&e
E6emp&o de uma con$i(ura)@o do smb#con$ como P*'
P(&oba&Q
netios name W ma(linu"
<or+group W lpi
server string W &eian Sama Server
domain master W #es
preferred master W #es
domain logons W #es
os level W AUU
logon path W IIH7IHUIprofile
logon drive W H-
logon home W IIH7IHU Iprofile
logon script W logon$cmd
ParSmetros da se)@o Pnet&o(onQ
Pnet&o(onQ % Compartilhamento para (ue esta3es Vindo<s identifi(uem o servidor como P&C
Pnet&o(onQ
comment W =ogin
path W 0var0li0sama0netlogon
read onl# W #es
'ontas de m8:uina
Inc&uir o usu8rio root no samba
pass<d ,a root
Inc&uir conta para esta)@o (conta de ma:uina) necess8ria apenas :uando Samba a(e como P*'
useradd ,s 0in0false ,d 0dev0null <in"p,UAX , Cria a conta Uni" para a m!(uina
pass1d % Cria a conta Uni"
%s "bin"$a&se % 7o tera um shell valido por no ser tratar de uma conta de usu!rio
%d "dev"nu&& % 7o ter! um diret'rio valido por no ser tratar de uma conta de usu!rio
1in6p%0>U , 7ome da ma(uina) origatoriamente contas de ma(uinas devem terminar com X
7
O&o:uear conta da ma:uina com a op)@o %&
pass<d ,l <in"p,UAX
Inc&uir a conta da ma:uina no samba
smpass<d ,m ,a <in"p,UA
Scripts de &o(on
7a seo Pnet&o(onQ criar o script indicado em pat R "var"&ib"samba"net&o(on
O script de logon mapear! o home do usu!rio para a unidade h- na estao Vindo<s
e6emp&o de um ar:uivo &o(on#cmd
7et US2 H- 0HO?2
Samba como servidor Wins (Servidor de nome 2etOI=S)
Para ativar o Sama com servidor Vins use o parFmetro <ins support W #es em sm$conf
"etc"samba"&mosts % ?apeamento de .P e nomes das ma(uinas
e"$- >N2#>L8#>#> ma:&inu6
>N2#>L8#>#2 1in6p%0>
nmb&ooCup % Comando usado para investigar o servio Vins
e"$- nmb&ooCup %O >N2#>L8#>#2?? Vma:&inu6V
nmb&ooCup % Comando usado para investigar o servio Vins
%O >N2#>L8#>#2?? % 2specifica para (ual endereo de roadcast a solicitao deve ser enviada
Vma:&inu6V % 7ome da ma(uina
%W domJnio % 2specifica um dom*nio de grupo diferente do indicado em sm$conf
smbstatus % Comando usado para inspeo) lista a utilizao atual dos compartilhamentos
smbstatus %p % =ista os processo ativos do Sama
smbstatus %S % =ista os compartilhamentos sendo utilizados
smbstatus %u usu8rio % ?ostra apenas informa3es referentes ao usu!rio especificado
'&iente Samba
smbc&ient % Comando usado para verificar os compartilhamentos dispon*veis
smbc&ient %3 TTma:&inu6 %7 teste % @erifica compartilhamentos dispon*veis da ma(uina ma(linu" usando o
usu!rio teste para se autenticar
4ontar comparti&amento do samba no 3inu6
mount ,t smfs ,o usernameWteste)pass<ordWAGQRSL 00ma(linu"0teste 0mnt0sama
mount ,t smfs ,o usernameWteste)pass<ordWAGQRSL 00AKG$ALM$A$GU0teste 0mnt0sama
mount % Comando usado para montar$
,t smfs % Sistema de ar(uivos do tipo smfs$
,o usernameWteste)pass<ordWAGQRSL % 7ome do usu!rio e senha$
00AKG$ALM$A$AGU0teste % Computador e compartilhamento remoto
0mnt0sama % Ponto de montagem na ma(uina local$
Para montar no fsta use a opo credentia&sRnome5do5ar:uivo com o seguinte Conte6do
username W teste
pass<ord W AGQRSL
'on$i(urar um servidor 2/S
8
2/S 2et1orC /i&e S+stem % Sistema de ar(uivo de rede (ue permite montar compartilhamentos remotos
como se fossem dispositivos locais$
"etc"init#d"portmap % &aemon usado para montar dispositivos remotos$
=utros daemons necess8rios para servir comparti&amentos por meio de 2/S
rpc#n$sd % &ispara os eventos controlados pelo modulo 7;S do +ernel$
rpc#mountd % Desponde as solicita3es de montagem$
rpc#r:uotad % Controla as (uotas do compartilhamento$
rpc#&ocCd % Controle de trava para o 7;S$
rpc#statd % 7otificao de reinicio para o 7;S$
"etc"init#d"n$s ou "etc"init#d"n$s%Cerne&%server % &aemon do nfs$ Use start) stop ou restart$
*e$inindo comparti&amento
"etc"e6ports % Ar(uivo usado para definir os compartilhamento e lista de controle de acesso$
e"$- "mnt"&vm >N2#>L8#>#0"2K(ro) >N2#>L8#>#>2(r1Wno5root5s:uad)
"mnt"&vm % &iret'rio a ser compartilhado
>N2#>L8#>#0"2K(ro) % Clientes da rede AKG$ALM$A$U0GR permisso de leitura no compartilhamento
>N2#>L8#>#>2(r1Wno5root5s:uad) % O host AKG$ALM$A$AG permisso de escrita no compartilhamento
ro % Apenas leitura$
r1 % =eitura e escrita$
no5root5s:uad % Permite (ue o usu!rio remoto root monte o compartilhamento$
e6port$s %a % Ativa os compartilhamentos configurados em 0etc0e"ports
e6port$s %ua % &esativa os compartilhamentos
Acesso ao comparti&amento
mount ,t nfs AKG$ALM$A$G-0mnt0lvm 0mnt0remoto
mount % Comando usado para montar$
%t n$s % Tipo de sistema de ar(uivos /7;S1$
>N2#>L8#>#2:"mnt"&vm % .P e compartilhamento do computador remoto$
"mnt"remoto % Ponto de montagem no computador local$
so1mount % Usado para verificar (uais so os compartilhamentos disponiilizados no servidor
e"$- so1mount %e >N2#>L8#>#2
=p)es-
so1mount %e IP % 2"ie (uais compartilhamentos disponiilizados no servidor$
so1mount %a IP % ?ostra o host e o diret'rio montado por ele$
so1mount %a IP % ?ostra os diret'rios montados por clientes$
n$sstat % 7a ma(uina cliente mostra estat*sticas de uso dos compartilhamentos 7;S do servidor$
e"$- n$sstat %m
rpcin$o % 2"ie um relat'rio de informa3es DPC de um determinado host$
e"$- rpcin$o %p >N2#>L8#>#>
9
T'P1rappers
Controle de acesso estaelecido atrav8s dos ar(uivos 0etc0hosts$allo< e 0etc0hosts0den#
"etc"osts#a&&o1 % Cont8m as regras para os hosts (ue podero acessar a ma(uina local
e"$- A33: >N2#>L8#>#X EY'EPT >N2#>L8#>#20
"etc"osts#den+ % Cont8m as regras para os hosts (ue no podero acessar a ma(uina local
e"$- A33: A33
Tpico 2>0 Administra)@o dos c&ientes de redes
Oteno autom!tica de .P a partir do &HCP;
Autenticao por PA?;
Cliente =&AP$
'on$i(ura)@o *!'P
*!'P *inamic !ost 'on$i(uration Protoco& % &istriui endereos .P para as esta3es mediantes a regras
pr8,estaelecidas
'on$i(ura)@o do Servidor
"etc"dcp"dcpd#con$ % Principal ar(uivo de configurao do servidor &HCP
"etc"dcp;"dcpd#con$ % Principal ar(uivo de configurao do servidor &HCP /&eian1
E6emp&o de um ar:uivo dcpd#con$
default,lease,time LUU;
ma",lease,time YGUU;
option domain,name >empresa$com$r>;
option domain,name,servers AKG$ALM$A$AU;
sunet AKG$ALM$A$U netmas+ GSS$GSS$GSS$U Z
range AKG$ALM$A$SU AKG$ALM$A$AUU;
option routers AKG$ALM$A$AU;
[
host fulano Z
hard<are ethernet UM-UU-GY-CY-AR-S;;
fi"ed,address AKG$ALM$A$LQ;
[
host teste Z
hard<are ethernet UM-UU-GY-AA-BR-2B;
fi"ed,address AKG$ALM$A$LY;
[
*escri)@o:
de$au&t%&ease%time L00 % &etermina em segundos o intervalo de checagem de .P$
ma6%&ease%time M200 % Per*odo m!"imo em segundos de alocao de .P$
option domain%name % \ual dom*nio transmitido para os clientes$
option domain%name%servers % \ual servidor de nomes o cliente poder! utilizar em resolv$conf$
subnet >N2#>L8#>#0 netmasC 2??#2??#2??#0 % &efine a rede e mascara$
ran(e >N2#>L8#>#?0 >N2#>L8#>#>00 % .ntervalo de .P dispon*veis para a rede$
option routers >N2#>L8#>#>0 % &efine a rota padro para os clientes$
1
=utras op)es:
ost $u&ano % 7ome do hos/ma(uina1
ard1are eternet 08:00:2M:'M:>K:?/ % ?ac address do host$
/i6ed%address >N2#>L8#>#L; % .P fi"o para o host$
Ooot via rede
'ompatibi&idade com esta)es *isC&ess#
Oootp (Oootstrap) % Carregamento remoto do sistema operacional
E6emp&o:
host fulano Z
hard<are ethernet UM-UU-GY-CY-AR-S;;
fi"ed,address AKG$ALM$A$LQ;
filename Cvmlinuz$fulanoE;
server,name Cempresa$com$rE;
[
=utra $orma de iniciar o servidor *!'P
dcpd %&$ "etc"dcpd#&eases et0
dcpd; %&$ "var"&ib"dcp;"dcpd#&eases et0 (*ebian)
dcpd#&eases % Ar(uivo (ue armazena o anco de dados de aluguel do cliente &HCP) contendo datas do
aluguel e os endereos ?AC da placa de interface de rede$
Servidor *!'P centra&iGado $ora da rede do c&iente
dcre&a+ (A(ente *!'P ,e&a+) % Permite o revezamento de pedidos &HCP e BOOTP de uma su,rede sem
um servidor &HCP$
e"$- dcre&a+ %i et0 empresa#com#br
*escri)@o:
dcre&a+ % Comando$
%i et0 % .nterface (ue o dhcrela# aguardar! por re(uisi3es de .P$
empresa#com#br % &om*nio
3o(s
tai&$ %$ "var"&o("daemon#&o( % Comando para verificar em tempo real) distriui3es de .P aos clientes
Autentica)@o por PA4
PA4 (P&u((ab&e Autentication 4odu&es) % ?ecanismo (ue oferece uma camada de astrao para
autenticao de usu!rios$
Pro(ramas ou servi)os :ue uti&iGa autentica)@o possui uma con$i(ura)@o no PA4
"etc"pam#con$ % Ar(uivo (ue centraliza todas as configura3es de cada programa ou servio$
"etc"pam#d % &iret'rio com ar(uivos individuais contendo as configura3es de cada programa ou servio$
Sinta"e interna dos ar(uivos individuais contendo as configura3es-
Tipo 'ontro&e 4du&o Ar(umentos
e"emplo do ar(uivo 0etc0pam$d0gdm
1
session optiona& pam5(nome5Ce+rin(#so auto5start
session % /Tipo1 &efine o tipo de autenticao usado para o m'dulo$
optiona& % /Controle1 2specifica o (ue fazer dependendo da resposta do m'dulo$
pam5(nome5Ce+rin(#so % /?'dulo1 \ual m'dulo utilizar$
auto5start % /Argumentos1 Depresenta os argumentos passados para o m'dulo$
Tipos de autentica)@o PA4
account % @erifica se o usu!rio pode acessar o servio) se a senha no espirou etc$
aut % &etermina a autenticidade do usu!rio via senha)pode utilizar outros meios) como iometria$
pass1ord % ?ecanismo da alterao da autenticao /provavelmente a senha1$
session % Procedimentos antes e depois (ue o usu!rio for autenticado$ 2"$- restrio de servio
'ontro&es do PA4
re:uisite % Autenticao 8 imediatamente negada) no caso de negativa do m'dulo$
re:uired % Autenticao recusa no caso de negativa do m'dulo) mas consultara outros m'dulos para o servio
antes de negar completamente a autenticao$
su$$icient % Se a autenticao para este m'dulo for em sucedida) a autenticao ser! confirmada mesmo (ue
os m'dulos anteriores tenham negado$
optiona& % A aprovao ou negao far! diferena se for o 6nico do tipo para o servio$
"usr"&ib"securit+ ou "&ib"securit+ % &iret'rio de locao dos m'dulos$
*i$eren)as entre as con$i(ura)es:
7o ar(uivo "etc"pam#d"&o(in
aut re:uisite pam5securett+#so
7o ar(uivo "etc"pam#con$
&o(in aut re:uisite pam5securett+#so
E6emp&os de mdu&os e ar:uivos de con$i(ura)es:
pam5motd#so (mdu&o) % &etermina a e"iio do ar(uivo "etc"motd ap's um login em sucedido
pam5&imits#so (mdu&o) % &etermina os limites de utilizao de recursos para usu!rios definidos em
"etc"securit+"&imits#con$
PA4 e 3*AP
pam5&dap#so % ?'dulo usado na configurao do PA? para utilizar autenticao) uscando as informa3es
num diret'rio =&AP
E6emp&o do ar:uivo "etc"pam#d"&o(in para :ue o &o(in $a)a autentica)@o via 3*AP
auth sufficient pamPldap$so
auth re(uired pamPuni"$so tr#PfirstPpass
accountsufficient pamPldap$so
accountre(uired pamPuni"$so
7so de c&iente 3*AP
3*AP (3i(t1ei(t *irector+ Access Protoco&) % Protocolo utilizado para pes(uisar e modificar servios de
diret'rios numa rede TCP0.P$
1
*iretrio % Con4unto de informa3es /classes de o4etos1 com atriutos e propriedades organizadas de forma
hier!r(uica e l'gica$
s&apd % &aemon servidor do Open=&AP$
"etc"&dap"s&apd#con$ % Principal ar(uivo de configurao dividido em trTs se3es- gloal) funcionamento interno
/ac+end1 e configurao de anco de dados$
'on$i(ura)es b8sicas
include 0etc0ldap0schema0core$schema
include 0etc0ldap0schema0cosine$schema
include 0etc0ldap0schema0nis$schema
include 0etc0ldap0schema0inetorgperson$schema
Incorpora os padres de es:uemas e de$ini)es de c&asses de obZetos
pidfile 0var0run0slapd0slapd$pid
Ar:uivo com o PI* do processo servidor (s&apd)
argsfile 0var0run0slapd0slapd$args
Ar:uivo contendo ar(umentos passados ao daemon
ac+end d
*e$ine :ua& ser8 o sistema de armaGenamento de dados#
dataase d
Inicio da se)@o do banco de dados
suffi" >dcWempresa)dcWcom)dcWr>
= su$i6o base para o diretrio no banco de dados
rootdn >cnWadmin)dcWempresa)dcWcom)dcWr>
*e$ine o super%usu8rio (admin) para o banco de dados de$inido
rootp< ZSSHA[LlVPLVigQ@;z]4Ta&2g]^gh7BOcd=\r
Sena do super%usu8rio (comando s&appass1d)
director# >0var0li0ldap>
*iretrio onde ser@o armaGenados os ar:uivos do banco de dados
inde" o4ectClass e(
*e$ini)@o da inde6a)@o# 'on$i(ura)es b8sicas para um diretrio 3*AP#
'onectando ao diretrio
s&aptest % Comando usado para testar as configura3es em 0etc0ldap0slapd$conf
"etc"init#d"s&apd start % .nicia o daemon do =&AP
&dapsearc % Dealiza pes(uisa simples na ase de dados do =&AP
e"$- &dapsearc %6 %b VV %s base V(obZectc&assRX)V namin('onte6ts
Ar:uivos 3*I/
3*I/ (3*AP *ta Intercan(e /ormat) % Tipo de ar(uivo usado para .nsero de dados em um diret'rio =&AP$
E6emp&o de um ar:uivo 3*I/ (e6emp&o#&di$)
1
dn- dcWempresa) dcWcom) dcWr
o4ectClass- domain
dc- empresa
Si(&as uti&iGadas em ar:uivos &di$
dn: distinguished7ame
o: organization7ame
c: countr#
cn: common7ame
sn: surname
Para incluir os dados do ar(uivo e"emplo$ldif no diret'rio =&AP
&dapadd %$ e6emp&o#&di$ %6 %W %* VcnRadminWdcRempresaWdcRcomWdcRbrV
Para pes(uisar os dados do ar(uivo no diret'rio =&AP
&dapsearc %6 %b VdcRempresaWdcRcomWdcRbrV V(obZectc&assRX)V
3*AP 'omandos de (rupos e usu8rios
&dapadd(roup % Adiciona um grupo$ 2"$- ldapaddgroup 9nomePdoPgrupo: _gid`
&dapadduser % Adiciona um usu!rio$ 2"$- ldapadduser 9nomePdoPusu!rio: 9nomePdoPgrupoIgid: _uid`
&dapadduserto(roup % .nclui um usu!rio num grupo$ 2"$- ldapaddusertogroup 9nomePdoPusu!rioIuid:
9nomePdoPgrupoIgid:
&dapaddmacine % Cria uma conta de ma(uina$ 2"$- ldapaddmachine 9nomeX: 9nomePdoPgrupoIgid: _uid`
&dapde&ete(roup % Demove um grupo
&dapde&eteuser % Demove um usu!rio
&dapde&eteuser$rom(roup % 2"clui um usu!rio de um grupo$ 2"$- ldapdeleteuserfromgroup 9usu!rio:
9nomePdoPgrupoIgid:
&dappass1d % Altera a senha de um item no diret'rio =&AP
Tpico 2>> Servi)os de e%mai&
Configurao !sica de servidor de email;
;iltros do Procmail;
Servios POP e .?AP$
S4TP (Simp&e 4ai& Trans$er Protoco&) % Protocolo utilizado para envio de mensagem de email$
4TA (4ai& Trans$er A(ent) % Agente de transporte de email /servidor de email1 respons!vel em enviar as
mensagens /S?TP1$
4*A (4ai& *e&iver+ A(ent) % Agente entregador de email respons!vel em entregar as mensagens nas cai"as
postais dos usu!rios$
4TA % Postfi") Sendmail) (mail e 2"im$
4*A % Courier) &ovecot /Pop ou .?AP1
Sendmai&
"etc"mai& % &iret'rio (ue contem os ar(uivos de configurao do Sendmail$
Ar:uivos de con$i(ura)@o:
"etc"mai&"access % Ar(uivo utilizado para verificar e lierar /ou no1 emails cu4o destino 8 a ma(uina local$
Usado tam8m para (ue o servidor local possa ser utilizado como servidor de email por outras ma(uinas
/rela#1$
re&a+ % 2ncaminhamento a partir de origem e"terna$
A)es do ar:uivo access:
=<- Aceita o email para a entrega local;
1
,E3A[- Aceita o email para encaminhamento por meio deste servidor;
,E\E'T- De4eita o envio do email;
*IS'A,*- &escarta e email sem gerar mensagem de erro$ Ao v!lida apenas para nomes de dom*nio ou
endereos de email$
Ap's configurar o "etc"mai&"access gere o ar(uivo de mapa in!rio-
maCemap as "etc"mai&"access#db A "etc"mai&"access
maCemap % =T as configura3es a partir de entrada padro e gera o ar(uivo utilizado pelo Sendmail$
"etc"mai&"&oca&%ost%names % &efine (uais nomes sero aceitos para a m!(uina local$
"etc"mai&"virtusertab&e % ?apeia mensagens receidas por outras contas ou dom*nios$
Ap's configurar o "etc"mai&"virtusertab&e gere o ar(uivo de mapa in!rio-
maCemap as "etc"mai&"virtusertab&e#db B "etc"mai&"virtusertab&e
"etc"mai&"(enericstab&e % Deescreve o endereo para emails enviados$
Ap's configurar o "etc"mai&"(enericstab&e gere o ar(uivo de mapa in!rio-
maCemap as "etc"mai&"(enericstab&e #db B "etc"mai&"(enericstab&e
"etc"mai&"(enericsdomain % .nforma ao Sendmail (uais endereos so considerados locais$
"etc"mai&"mai&ertab&e % Dedireciona email vindo de fora) uma alternativa ao virtusertale$
"etc"mai&"domaintab&e % ?apeamento entre dom*nios$
Ap's configurar o "etc"mai&"domaintab&e gere o ar(uivo in!rio-
maCemap as "etc"mai&"domaintab&e #db B "etc"mai&"domaintab&e
"etc"mai&"a&iases % Dedireciona emails enviando para as contas locais especificadas$
Ap's configurar o "etc"mai&"a&iases gere o ar(uivo in!rio-
maCemap as "etc"mai&"a&iases #db B "etc"mai&" a&iases
"etc"mai&"sendmai&#c$ % Principal ar(uivo de configurao do Sendmail$
"usr"sare"sendmai&"c$"c$" % &iret'rio (ue contem ar(uivos e"emplos de configurao /$mc1 do Sendmail$
Usando um ar(uivo $mc /e"$- con$i(#mc1 poder! ser gerado o ar(uivo de configurao do Sendmail atrav8s do
comando mR$
e"$- mK con$i(#mc B "etc"mai&"sendmai&#c$
Para reiniciar o Sendmail para utilizar as novas configura3es use o comando Ci&&a&& %!7P sendmai&
Post$i6
"etc"post$i6 % &iret'rio (ue contem os ar(uivos de configurao do Postfi"$
"etc"post$i6"main#c$ % Principal ar(uivo de configurao do Postfi"$
Principais op3es do main#c$-
m+ori(in % &etermina o dom*nio (ue aparecera nos email enviado deste servidor
1
e"$- m+ori(in R Um+ostname
m+destination , 2specifica para (uais dom*nios as mensagens receidas devem ser entregues localmente e
no enviadas para outro servidor$
e"$- m+destination R Um+ostnameW &oca&ost#Um+domainW &oca&ost
m+net1orCs % 2specifica em (ual surede o servidor aceitara emails enviados de clientes
e"$- m+net1orCs R >N2#>L8#>00#0"2K >2M#0#0#0"8
m+net1orCs5st+&e % Usado no lugar de m#net<or+s) define o padro para aceitar email
e"$- m+net1orCs5st+&e R subnet % Todas as ma(uinas da su,rede local$
m+net1orCs5st+&e R ost % Apenas da ma(uina local$
m+net1orCs5st+&e R c&ass % Clientes dentro da classe .P do servidor$
re&a+5domains % &efine para (uais dom*nios ser! feito rela# de emails receidos$
e"$- re&a+5domains R Um+destination
re&a+ost % &efine (ual servidor se encarregara de entregar o email da internet$
e"$- re&a+ost R Psmtp#(mai&#comQ:?8M
"etc"post$i6"master#c$ % Ar(uivo de configurao (ue determina (uais comandos e como devem ser
e"ecutados
"etc"post$i6"virtua& % &efine dom*nios virtuais como os (uais o Postfi" deve atuar como servidor$
E6im
"etc"e6im % &iret'rio (ue contem os ar(uivos de configurao do 2"im$
"etc"e6im"e6im#con$ % Principal ar(uivo de configurao do 2"im$
Qmai&
"var":mai&"contro& % &iret'rio (ue contem os ar(uivos de configurao do (mail$
"etc":mai& % =in+ sim'lico pra o diret'rio 0var0(mail0control
Aspectos comuns
"etc"a&iases % Ar(uivo usado parar criar alias /apelidos1 de contas de email para contas de usu!rios
e"$- postmaster: root
Ao chegar um email para postmasterOempresa$com$r ser! redirecionado para o usu!rio root
"var"spoo&"mai& ou "var"mai& % &iret'rios para armazenar mensagens locais
"var"&o("mai&"X % &iret'rios para armazenar logs
Administra)@o da entre(a &oca& de e%mai&
procmai& % ?&A /?ail &eliver# Agent1 tradicional do =inu"$ Um ?&A 8 respons!vel por classificar e distriuir os
emails entre os usu!rios do sistema$
Principais componentes do Procmai&
"etc"procmai&rc % Ar(uivo de configurao do procmail$
]"#procmai&rc % Ar(uivo (ue pode conter filtros espec*ficos de cada usu!rio$
"usr"bin"procmai& % Programa (ue processa as mensagens$
'riando /i&tros#
Um filtro pode ser criado diretamente no ar(uivo ]"#procmai&rc ou criado no diret'rio a0$procmail$
1
Estrutura de um $i&tro:
Inicio- ?arcador determinando comeo de regra indicado por -U
'ondi)@o- Uma ou mais e"press3es regulares (ue funcionaro como crit8rios
A)@o- O destino dado a mensagem
E6emp&o:
-U
J b;rom$JfulanoO$J
estagi!rio
Pegar! todas as mensagens (ue se en(uadrem na e"presso regular /remetentes1 contendo o termo fulanoO
e as colocar! no diret'rio estagi!rio dentro da pasta de emails do usu!rio /a0?ail1
E6emp&o indicando o ar:uivo de trava &ocC%$i&e no inicio do $i&tro:
-U-
J b;rom$JfulanoO$J
estagi!rio
/-U-1 2vita (ue o ar(uivo onde as mensagens sero gravadas se4a aerto para gravao ao mesmo tempo
E6emp&o redirecionando mensa(em $i&trada para outro endere)o de emai&
-U
J bSu4ect$Jlinu"$J
c admOempresa$com$r
E6emp&o de$inindo mais de uma a)@o no $i&tro uti&iGando caves:
-U
J bSu4ect$Jlinu"$J
Z
-U c
c admOempresa$com$r
-U
d gzip :: linu"$gz
[
*escri)@o:
:0 % ?arcador determinando comeo de regra
X ^SubZect#X&inu6#X % 2"presso linu" no campo assunto
_ % .nicia a definio de mais de uma ao
:0 c % Caractere c indica (ue a mensagem deve ser copiada para a pr'"ima ao
` adm0empresa#com#br % Dedireciona as mensagens para o email$
:0 % ?arcador determinando comeo de regra
a (Gip BB &inu6#(G % Adiciona a mensagem no ar(uivo linu"$gz por meio de um Pipe
b % ;echa definio de mais de uma ao
Administrar entre(a de e%mai& remoto
I4AP (Internet 4essa(e Access Protoco&) % Protocolo para receimento de mensagens (ue utiliza tam8m
cone"o segura /SS=1$
1
P=P (Post =$$ice Protoco&) % Semelhante ao .?AP) mas com uma implementao mais simples$
Servidor 'ourier
Servidor S4TP % Postfi"
Servidor I4AP"P=P % Courier
"etc"courier % &iret'rio (ue contem os ar(uivos de configurao do Courier$
"etc"courier"imapd % Ar(uivo de defini3es para o daemon imapd$ &efinio de .P e porta de cone"o so
especificadas logo no inicio do ar(uivo$
e"$- A**,ESSR>N2#>L8#>#>00 % Se no for definido um 6nico .P o servidor .?AP aceitar! cone"3es de todas
as interfaces de redes ativas$
e"$- I4AP5'!E'<5A335/=3*E,SR(0 ou > ) , Se ativado checas novas mensagens de email para pastas fora
da pasta .7BOe
e"$- I4AP5E2!A2'E*I*3ER(0 ou >) % Se ativado altera3es aparecem no cliente no momento (ue ocorrem
no servidor$
"etc"courier"pop;d % Ar(uivo de defini3es para o daemon popQd$
e"$- P=P;*STA,TR[ES % &etermina a e"ecuo do servidor POP na inicializao do Courier
Servidor *ovecot
Uma alternativa para servidor I4AP"P=P) seu funcionamento 8 asicamente o mesmo do 'ourier
"etc"dovecot % &iret'rio (ue contem os ar(uivos de configurao do &ovecot$
"etc"dovecot"dovecot#con$ % Principal ar(uivo de configurao do &ovecot$
4ctodo de autentica)@o usando PA4
"etc"pam#d"dovecot
auth re(uired pamPuni"$so
accountre(uired pamPuni"$so
=p)es do ar:uivo de con$i(ura)@o "etc"dovecot"dovecot#con$
mai&5&ocation % &efine o local de armazenamento das mensagens
e"$- mai&5&ocation R mai&dir:]"4ai&dir
mbo65read5&ocCs e mbo651rite5&ocCs % &efini3es (ue evita falhas de leitura e escrita nas cai"as de
mensagens
e"$- mbo65read5&ocCs R $cnt&
mbo651rite5&ocCs R dot&ocC $cnt&
$cnt&- Use esta opo se poss*vel$ Traalha com o 7;S tam8m se loc+d 8 usado$
$&ocC- no pode e"istir em todos os sistemas$ 7o funciona com o 7;S$
&ocC$- no pode e"istir em todos os sistemas$ 7o funciona com o 7;S$
mai&5privi&e(ed5(roup % 2m caso de utilizao do diret'rio 0var0mail para as cai"as de entrada
e"$- mai&5privi&e(ed5(roup R mai&
mbo65dirt+5s+ncs % Para oter melhor performance
e"$- mbo65dirt+5s+ncs R +es
Tpico 2>2 Se(uran)a do Sistema
1
Doteadores) ;ire<alls e 7AT;
Proteo de Servidores ;TP;
Utilizao do OpenSSH;
tcpP<rappers e outras ferramentas de segurana$
'&asses de endere)os
'ate(oria > % 2ndereos (ue no precisam ter acesso a outros endereos em redes e"ternas ou na internet$
'ate(oria 2 , 2ndereos (ue precisam ter acesso a alguns servios e"ternos /email) ftp) <<<1 u(e podem ser
mediados via gate<a#$
'ate(oria ; % 2ndereos (ue necessitam de conectividade direta com a internet$
2ndereos das categorias A e G so chamados de privados$
2ndereos da categoria Q so chamados de p6licos$
'&asse privada de endere)amento IP
;ai"a ?ascara de rede 7otao areviada
AU$U$U$U at8 AU$GSS$GSS$GSS GSS$U$U$U AU$U$U$U0M
AYG$AL$U$U at8 AYG$QA$GSS$GSS GSS$GRU$U$U AYG$AL$U$U0AG
AKG$ALM$U$U at8 AKG$ALM$GSS$GSS GSS$GSS$GSS$U AKG$ALM$U$U0AL
,otas
route % Comando para mane4o de rotas
route %n % 2"ie a taela de rotas no roteador
Adicionar uma rota manualmente por meio da interface ethA
e"$- route add %net >N2#>L8#>#0 netmasC 2??#2??#2??#0 dev et>
Adicionar uma rota padro
e"$- route add de$au&t (1 >N2#>L8#>#>
Adicionar uma rota padro usando forma e"tensa
e"$- route add %net 0#0#0#0 netmasC 0#0#0#0 (1 >N2#>L8#>#>
2AT 2et1orC Address Trans&ation
O 7AT permite (ue um host da rede privada comuni(ue,se com hosts da rede pulica /.nternet1$ Para ativa o
7at no sistema 8 usado o comando iptales$
Iptab&es % Despons!vel por definir regras para o transito de pacotes .P controlado pelo +ernel$
tabe&as , Transito de pacotes .P divido em categorias
cains % linhas da taela (ue podem receer diversas regras
Tabe&as do iptab&es
$i&ter % Taela padro (ue cont8m as chains emutidas .7PUT) ;ODVAD& e OUTPUT$
I2P7T % Para pacotes (ue chegam ao host local$
/=,WA,* % Para pacotes sendo roteados pelo host local$
=7TP7T % Para pacotes gerados no host local e destino e"terno$
nat % Para pacotes (ue criam novas cone"3es /tradu3es e redirecionamento1) cont8m as chains emutidas
1
PD2DOUT.75) OUTPUT e POSTDOUT.75
P,E,=7TI29 % Para alterar pacotes receidos antes do roteamento$
P=ST,=7TI29 % Para alterar pacotes (uando eles esto prestes a sair$
man(&e % Para altera3es espec*ficas de pacotes) cont8m as chains emutidas .7PUT) OUTPUT)
PD2DOUT.75) ;ODVAD& e POSTDOUT.75$
Ar(umentos%comandos dentro de uma cain:
%A- Adiciona uma regra na chain$
%I- .nserir regra numa posio dentro da chain$
%,- Sustituir regra na chain$
%*- Apagar chain$
%2- Criar chain personalizada$
%Y- Apagar chain vazia$
%P- &efinir pol*tica para uma chain emutida$
%3- =istar as regras em uma chain$
%/- Apagar todas as regras em uma chain$
%d- ]erar os contadores de pacotes em todas as regras de uma chain$
,e(ras de $i&tra(em padr@o e destinos para a maioria das cains:
%s endere)o Ou %%source endere)o % 2ndereo de origem do pacote$ Pode ser nome de rede) host) .P de
rede0mascara ou um endereo .P$
e"$- %s >N2#>L8#2#0"2K
%d endere)o Ou %%destination endere)o % 2ndereo de destino do pacote$ Pode ser nome de rede) host) .P de
rede0mascara ou um endereo .P$
e"$- %d >N2#>L8#2#0"2K
%p protoco&o Ou %%protoco& protoco&o % &efine o protocolo$ Pode ser tcp) udp) icmp ou all$
e"$- %p tcp
%i inter$ace Ou %%in%inter$ace inter$ace % .nterface atrav8s da (ual o pacote chegou$
e"$- %i et0
%o inter$ace Ou %%out%inter$ace inter$ace % .nterface atrav8s da (ual o pacote ser! enviado$
e"$- %o et0
%Z a)@o Ou %%Zump a)@o % Targets /a3es1 para os pacotes interceptados$ Targets comuns para o fire<all so
ACC2PT /Permite a passagem normal do pacote1 e &DOP /&escarta o pacote1$
e"$- %Z A''EPT
%m mdu&o Ou %%matc mdu&o % Usa m'dulo estendido Cm'duloE$ Um muito usado para o fire<all 8 o m'dulo
state$
%%state estado % Permite determinar (ual a relao de um pacote com as cone"3es e"istentes$
estados-

I2HA3I* % O estado no pode ser determinado$
ESTAO3IS!E* % O pacote pertence a uma cone"o ativa$
2EW % .ndica (ue o pacote inicia uma nova cone"o$
,E3ATE* % O pacote inicia outra cone"o porem relacionadas a uma cone"o e"istente$
Para criar uma re(ra de 2AT:
2
iptales ,t nat ,A POSTDOUT.75 ,s AKG$ALM$G$U0GR ,o ethU ,4 S7AT %to,source GUA$SG$SU$AA
&escrio-
%t nat % &etermina (ue a taela 7AT se4a utilizada$
%A P=ST,=7TI29 % .ncluir a regra na corrente POSTDOUT.75
%s >N2#>L8#2#0"2K % &etermina (ue a regra aplica,se a pacotes originados na rede privada$
%o et0 % &etermina (ue a regra aplica,se a pacotes cu4o destino se4a a interface ethU$
%Z S2AT % &etermina a ao /,41 a ser e"ecutada para o pacote (ue se en(uadrar na regras estaelecidas$
S7AT /source 7AT1 &etermina (ue o .P de origem do pacote enviado se4a informado com a opo ,,to,source
GUA$SG$SU$AA /.P do roteador1$
'on$i(urando roteamento com o IPTab&es (4as:ueradin()

iptales ,t nat ,A POSTDOUT.75 ,o ethU ,4 ?AS\U2DA&2
Para permitir 7AT) al8m de definir a regra na taela de tr!fego 8 necess!rio alterar o Conte6do do ar(uivo
"proc"s+s"net"ipvK"ip5$or1ard para A /true1
e"$- eco e>e B "proc"s+s"net"ipvK"ip5$or1ard
,edirecionamentos
2"emplo- Todas as cone"3es destinadas a porta MU /http1 se4am redirecionadas pra um host da rede privada$
.ptales ,t nat ,A PD2DOUT.75 ,p tcp ,,dport MU ,4 &7AT ,,to,destination AKG$ALM$G$G-MU
&escrio-
%t nat % &etermina (ue a taela 7AT se4a utilizada$
%A P,E,=7TI29 % ?anipula os pacotes na medida em (ue entram na taela$
%p tcp % 2specifica o protocolo para a pr'"ima opo$
%%dport 80 % &etermina a porta (ue ser redirecionada$
%Z *2AT % .ndica (ue se trata de uma traduo para outro .P de destino$
%%to%destination >N2#>L8#2#2:80 % .P de destino
2"emplo para redirecionar pedidos de cone"o na porta GGUUU do roteador para o login via OpenSSH em uma
interface da rede interna$
Iptab&es %t nat %A P,E,=7TI29 %p tcp %%dport 22000 %Z *2AT %%to%destination >N2#>L8#2#2:22
2"emplo para apenas redirecionar uma porta do roteador para outra porta no pr'prio roteador$ Todas as
suscita3es para a porta MU sero redirecionadas para a porta MUMU$
Iptab&es %t nat %A P,E,=7TI29 %p tcp %%dport 80 %Z ,E*I,E'T %%to%port 8080
O&o:ueando ata:ues
Apagar todas as regras da taela filter
e"$- iptab&es %t $i&ter %/
=ierar todos os pacotes gerados localmente
e"$- iptab&es %t $i&ter %A I2P7T %i &o %Z A''EPT
=ierar para entrar pela interface ethU somente os pacotes pertencentes /2STAB=.SH2&1 ou relacionados
/D2=AT2&1 a uma cone"o e"istente$
2
e"$- iptab&es %t $i&ter %A I2P7T %m state state ESTAO3IS!E*W,E3ATE* %Z A''EPT
2staelecer pol*tica de descartar todos os pacotes na chain .7PUT da taela filters
e"$- iptab&es %t $i&ter %P I2P7T *,=P
@erificar novas regras
e"$- iptab&es %3
=ierar o acesso e"terno a porta MU
e"$- iptab&es %A I2P7T %p tcp %%dport 80 %Z A''EPT
=ierar o acesso e"terno a porta GG para acesso administrativo
e"$- iptab&es %A I2P7T %p tcp %%dport 22 %Z A''EPT
Se(uran)a
*oS (*enia& o$ Service) % Ata(ue (ue consiste em fazer um numero alt*ssimo de solicita3es a um servidor) de
forma (ue este no se4a capaz de responder a todos e torne,se inacess*vel$
Para evitar esse tipo de ata(ue 8 necess!rio ativar os recursos de verificao de endereo de origem (IP
spoo$in( Ips $orZados) e proteo T'P S[2 'ooCie$
s#sctl ,< net$ipvR$conf$all$rpPfilterWA
s#sctl ,< net$ipvR$tcpPs#ncoo+iesWA

Sa&vamento de re(ras
iptab&es%save % =ista as configura3es ativas do iptales$ 2"ie as configura3es atuais na sa*da padro /tela
do terminal1
iptab&es%save B "etc"iptab&es#con$ % Salva as regras redirecionando a sa*da para um ar(uivo$
ptab&es%restore % Destaura as configura3es gravadas no ar(uivo
iptab&es%restore A "etc"iptab&es#con$ % Destaura as configura3es gravadas para a entrada padro do
comando $
.ncluir o comando em um script de inicializao como 0etc0rc$local ou 0etc0rc$d0rc$local$
Se(uran)a de servidores /TP
vs$tpd (Her+ Secure /TP daemon) % Servidor ;TP desenvolvido com enfo(ue na segurana$
"etc"vs$tpd#con$ % Principal ar(uivo de configurao do servidor ;TP$
"etc"init#d"vs$tpd % &aemon do servidor ;TP$
"ome"$tp ou "var"$tp % &iret'rio ase para o ;TP$
Op3es do ar(uivo "etc"vs$tpd#con$
&istenR[ES % Caso o vsftpd no for utilizado atrav8s do inetd ou "inetd$
=p)es para cone6es anfnimas
anon+mous5enab&eR[ES % Permitir ;TP anfnimo$
1rite5enab&eR[ES % Permitir escrita com comando ;TP$
anon5up&oad5enab&eR[ES % Para permitir (ue o usu!rio anfnimo possa carregar ar(uivos$
croot5&oca&5userR[ES % Permite restringir os usu!rios locais para seus diret'rios$
croot5&oca&5userR[ES % ?ostra ao usu!rio com login e senha o pr'prio diret'rio e 0home0ftp para usu!rio
anfnimos$
Crie o diret'rio "ome"$tp"incomin( para usu!rios anfnimos possam copiar ar(uivos para o servidor$ Configure
2
o diret'rio para usu!rio ftp e grupo ftp$
2"$- mCdir "ome"$tp"incomin(
co1n $tp:$tp "ome"$tp"incomin(
&oca&5enab&eR[ES , Permiti login de usu!rios cadastrados no sistema$
croot5&ist5enab&eR[ES % Ativa a lista de usu!rios locais sem chroot$
croot5&ist5$i&eR"etc"vs$tpd#croot5&ist , 2specifica uma lista de usu!rios locais (ue no tero chroot para
seus diret'rios pessoais$
Se&& se(uro (SS!)
=penSS! % ;erramenta padro para acesso remoto
"etc"ss"ssd5con$i( , Principal ar(uivo de configurao do servidor SSH$
AZustes do Servidor =penSS!
Op3es do ar(uivo "etc"ss"ssd5con$i(
Permit,oot3o(in +es % Blo(ueia o acesso direto ao usu!rio root) criando uma segunda camada de segurana$
Protoco& 2 % Protocolo do tipo G mais seguro$
I(nore,osts +es % .gnora uma modalidade de lierao de acesso) onde os endereos presentes nos
ar(uivos a0$rhosts e a0$shosts podem entrar sem fornecer senha$
Y>>/or1ardin( +es % Permite (ue as 4anelas de programas se4am aertas atrav8s de cone"o SSH
'&iente =penSS!
ss % Comando usado para cliente ssh se conectar em um servidor$
"etc"ss"ss5con$i( , Ar(uivo de configurao do cliente SSH$
e"$- ss usu8rio0>N2#>L8#>#>
ss % Comando usado pelo cliente
$u&ano % 7ome do usu!rio presente no servidor
>N2#>L8#>#> % .P do servidor
'aves cripto(r8$icas
&etermina a confiailidade e o m8todo de criptografia usada numa cone"o segura$
'aves do computador
/ormato 'ave Privada 'ave PDb&ica
DSA 0etc0ssh0sshPhostPrsaP+e# 0etc0ssh0sshPhostPrsaP+e#$pu
&SA 0etc0ssh0sshPhostPdsaP+e# 0etc0ssh0sshPhostPdsaP+e#$pu
]"#ss"Cno1n5osts , Armazena a chave p6lica de cone"o do computador remoto) (ue garante a
confiailidade entre o dois$
2
Para (ue a chave passe a valer para todos os usu!rios) o conte6do do ar(uivo a0$ssh0+no<nPhosts deve ser
inclu*do no ar(uivo "etc"ss5Cno1n5osts
Autentica)@o por cave
ss%Ce+(en % Comando usado para criar as chaves /pulica e privada1$
"root"#ss"autoriGed5Ce+s % Ar(uivo na ma(uina de destino (ue guarda o Conte6do da chave pulica
Tipos de $ormatos
&SA /*igital Signature Algorithm1 % Criptografia de AUGR its$
DSA /,ivest) Shamir and Adleman1 % Criptografia de RUKL its$
e"$- ss%Ce+(en %t das %b >02K
ss%Ce+(en %t rsa %b K0NL
7m tamano maior em bits torna ainda mais di$Jci& a :uebra da cripto(ra$ia#
'aves do usu8rio
/ormato 'ave Privada 'ave PDb&ica
DSA a0$ssh0idPrsa a0$ssh0idPrsa$pu
&SA a0$ssh0idPdsa a0$ssh0idPdsa$pu
2"emplo- 2nviar o conte6do da chave p6lica para o computador de destino$
cat ]"#ss"id5dsa#pub a ss usu8rio0>N2#>L8#>#> -cat BB ]"#ss"autoriGed5Ce+s.
Outro 2"emplo- 2nviar o conte6do da chave p6lica para o computador de destino$
ss%cop+%id usu8rio0>N2#>L8#>#> % Copia o ar(uivo idPrsa$pu para a ma(uina remota$
ss%cop+%id % Comando usado para copiar chave pulica para um computador remoto
ss%cop+%id %i outro5ar:uivo#pub usu8rio0>N2#>L8#>#> % Copia outro ar(uivo de chave pulica para a
ma(uina remota$
ss%a(ent % Agente de autenticao) sua funo 8 armazenar a chave privada para autenticao via chave
p6lica /&SA ou DSA1$
ss%add , Adiciona chaves de autenticao &SA ou DSA ao programa de autenticao$
TDneis cripto(ra$ados
Criar um t6nel SSH entre a porta SKUU /@7C1 do computador local at8 a porta SKUU /@7C1 do computador
remoto
ss %$23 ?N00:&oca&ost:?N00 usu8rio0>N2#>L8#>#>
$ % .ndica (ue o comando deve ser e"ecutado em segundo plano
2 % &etermina (ue no deva ser aerta uma sesso do shell na ma(uina remota
3 % .ndica (ual porta ser usada
2o c&iente
vncvie1er &oca&ost:0
e remoto via Ssh
2"ecutar um programa na ma(uina remota via SSH
e"$- ss %Y usu8rio0>N2#>L8#>#> -Hirtua&Oo6.
T'P Wrappers
Controla o acesso por hosts na rede
"etc"osts#a&&o1 , Cont8m regras descrevendo (ue hosts tem permisso de acessar um servio em sua
2
m!(uina$
e"$- A==- AKG$ALM$A$J 2eC2PT AKG$ALM$A$GU
"etc"osts#den+ , Cont8m regras descrevendo (ue hosts no tem permisso de acessar um servio em sua
m!(uina$
e"$- A==- A==
Para servidores disparados por meio do daemon inetd 8 necess!rio forar a utilizao de TCPP<rappers$
Op3es do ar(uivo 0etc"inetd#con$
service name % 7ome do servio valido em 0etc0services
e"$- te&net
socCet t+pe % stream se TCP e dgram se U&P$
e"$- stream
protoco& % Protocolo v!lido em 0etc0protocols) como tcp e udp
e"$- tcp
1ait"no1ait % Se o inetd deve ou no esperar o programa servidor retornar para aceitar cone"3es para o
mesmo$
e"$- no1ait
user#(roup % Doda o program servidor com o usu!rio e grupo especificado
e"$- te&netd
server pro(ram % Caminho do programa para e"ecutar (uando um pedido e"istir no respectivo soc+et$
e"$- "usr"sbin"tcpd
server pro(ram ar(uments % \uando o tcpd 8 usado para controlar os pedidos) neste campo devera constar o
caminho para o programa (ue 8 de fato o servidor do servio$
e"$- "usr"sbin"in#te&netd
2"emplo do servidor telnet no ar(uivo 0etc0inetd$conf
te&net stream tcp no1ait te&netd "usr"sbin"tcpd "usr"sbin"in#te&netd
"var"run"inetd#pid % P.& do daemon inetd
Super,servidor einetd
"etc"6inetd#con$ % Ar(uivo de configurao do einetd
"etc"6inetd#d % &iret'rio (ue guarda ar(uivos para cada servio$
2"emplo de um servio
nome do servio
Z
disale W #es0no
soc+etPt#pe W stream)dgram)ra<)rdm ou se(pac+et
protocol W Protocolo v!lido em 0etc0protocols
<ait W #es0no
user W Usu!rio de inicio do servidor
group W 5rupo de inicio do servidor
server W Caminho para o programa servidor do servio solicitado
noPaccess W AKG$ALM$A$U
onl#Pfrom W U$U$U$U
2

[
Tare$as de se(uran)a
A lista internacional Bugtra( da Securit# ;ocus) C2DT e C.AC 8 uma ferramenta de vital importFncia
(ue emite oletins de segurana$
Ou(tra:- <<<$securit#focus$com0archive0A
'E,T- <<<$cert$org
'IA'- <<<$ciac$org
*etec)@o de Intrusos
&astb % 2"ies tentativas de logins (ue no lotaram com T"ito$
I*S (Intrusion *etection S+stem) % ;erramentas espec*ficas (ue pode lo(uear cone"3es (ue apresentam
algum comportamento suspeito
Pro(ramas
/ai&2ban % Analisa ar(uivos de logs e lo(ueia endereos .P com muitas tentativas de acesso mal,sucedidas$
Snort % Analisa protocolos e uscas por padr3es espec*ficos) deteco (ue v!rios ata(ues e varreduras como
estouros de pilhas) ata(ues por C5.) analise por S?B) entre outros$
=penHAS % Possui uma estrutura aseada em cliente0servidor$ O componente principal 8 um servidor com um
con4unto de testes de vulnerailidade conhecido com 7@Ts derivado do 7essus$
2HTs (2et1orC Hu&nerabi&it+ Test) .dentificar prolemas nos sistemas remotos e em aplicativos$
Tpico 2>; So&u)@o de prob&emas
Deviso do t'picos anteriores;
.dentificao de falhas do sistema;
.dentificao de falhas de programas$
Identi$icar est8(ios de boot e consertar carre(adores de boot
Etapas da inicia&iGa)@o:
A % Carregamento do +ernel pelo =ilo ou 5ru
G % .nicializao do +ernel
Q % .dentificao de configurao do hard<are
R % &isparo de daemons
Prob&emas no carre(ador de boot
Demoo do +ernel) defeito no sistema de ar(uivos) entre outros$ O processo de oot do =ilo acontece
em dois est!gios) o primeiro estagio consiste num 6nico setor carregado pelo Bios$ O segundo estagio carrega
o =ilo multi,setor$
Interpreta)@o de erros (cdi(o e6adecima&) no se(undo esta(io:
00- 7enhum erro identificado
2
0>- Comando de disco invalido
02- .ndicador de endereo no encontrado
0;- &isco protegido contra gravao
0K- Setor no encontrado
0L- &is(uete removido
08- &?A overrun
0A- Setor defeituoso
0O- Trilha defeituosa
20- ;alha no controlador
K0- ;alha no rastreio /B.OS1 ou Cilindro : AUGAQ /=.=O1
NN- gndice de setor invalido para o segundo estagio /=.=O1
NA- AusTncia de assinatura para o carregador de segundo estagio
AA- &river no pronto
//- ;alha geral
=utros erros
3I3g- O carregador de segundo estagio foi carregado num endereo incorreto
3I3%- A taela de +ernels est! corrompida
So&u)@o (era& de prob&emas
/a&as de <erne&
Checar logs em "var"&o( e usar o comando dmes( para diagnostico de prolemas de hard<are
/a&as de ard1are
&spci , lista componentes conectados no arramento pci
&spci %s endere)o do dispositivo %v , =ista com detalhes o dispositivo pci
e"$- lspci ,s UU-AA$U ,v
&susb , lista componentes conectados no arramento us
&susb %v %d I* do dispositivo %v , =ista com detalhes o dispositivo us
e"$- lsus ,v ,d AdL-UUUA
4du&os
.ncluir m'dulo com o comando modprobe nome5do5modu&o e checar a documentao do +ernel em
0usr"src"&inu6"*ocumentation) para verificar o nome do modulo para o dispositivo em (uesto$
/a&as em pro(ramas
strace % Comando capaz de rastrear todas as chamadas de sistema feitas por um programa$
strace p1d % O strace e"ecuta o comando especificado e faz o rastreamento de suas chamadas de sistema$
strace p1d %o ar:uivo % O strace e"ecuta o comando especificado e as informa3es de rastreamento sero
enviadas para o ar(uivo especificado) ao inv8s do terminal ou console$
strace %p PI* % ;az o rastreamento de um processo em e"ecuo com o P.& informado
&trace % Comando (ue intercepta e mostra todas as chamadas (ue um programa faz para iliotecas
dinFmicas$
&trace p1d % O ltrace e"ecuta o comando especificado e faz o rastreamento de suas chamadas para iliotecas
dinFmicas$$
Uma camada de sistema 8 um m8todo usado pelo processo para re(uisitar um servio do sistema
operacional) ou mais especificamente do +ernel$
&so$ % Usado para investigar (uem ou (uais processos esto utilizando um determinado ar(uivo
2
&so$ %p PI* % =istar todos os ar(uivos aertos por um determinado processo$
&so$ %u usu8rio % =istar todos os ar(uivos aertos por um determinado processo disparado por um usu!rio$
&so$ "dev"sda2 % =istar todos os ar(uivos aertos por processos (ue esto utilizando um determinado ar(uivo$
Prob&emas em recursos do sistema
Hari8veis de ambiente
"etc"pro$i&e % &efine as vari!veis gloais para o sistema
]"#basrc % &efine as vari!veis para um usu!rio especifico
PAT! &efine a lista de diret'rios nos (uais programas re(uisitados sero procurados$
e"$- eco UPAT!
"usr"&oca&"sbin:"usr"&oca&"bin:"usr"sbin:"usr"bin:"sbin:"bin
3A29 % .dioma padro do sistema) usado pelo amiente gr!fico$
e"$- eco U3A29
pt5O,#7T/%8
E*IT=, % \ual editor de te"to padro usado no console
e"$- eco UE*IT=,
nano
PA9E, % O paginador usado no console) como less ou more
e"$- eco UPA9E,
&ess
env 2"ie as vari!veis de amiente e seus conte6dos
3*53IO,A,[5PAT! % @ari!vel de amiente usada por e"portar iliotecas para uso do ld$so
e"$ e6port 3*53IO,A,[5PAT!Rcamino5da5bib&ioteca
"etc"&d#so#con$ , Ar(uivo com localizao para as iliotecas de sistema
&dcon$i( , Comando usado para (ue as altera3es no ar(uivo 0etc0ld$so$conf atualizem "etc"&d#so#cace
=p)es do <erne&
s+sct& % Comando usado para editar op3es do +ernel sem precisar reiniciar o sistema$ Outra forma 8 modificar
diretamente os ar(uivos so o diret'rio 0proc0s#s$
s+sct& % a % ?ostra todas as op3es do comando s#sctl$
s+sct& %1 net#ipvK#ip5$or1ardR> % &etermina se o sistema deve agir como um roteador de pacotes .P$
A opo %1 deve se usada para fazer a alterao) caso contrario ser! mantido o valor atual$
"etc"s+sct&#con$ % Ar(uivo de configurao do s#sctl para incluir altera3es para ser carregadas no oot$
e"$- N Uncomment the ne"t line to enale pac+et for<arding for .PvR
net#ipvK#ip5$or1ardR>
Prob&emas em con$i(ura)es de ambiente
vip1 , 2dita diretamente o ar(uivo 0 etc0pass<d) e evita (ue o ar(uivo se4a alterado por outro comando ou outro
usu!rio durante a edio$
vip1 %s , 2dita diretamente o ar(uivo 0 etc0shado<$
vi(r , 2dita diretamente o ar(uivo 0 etc0group) e evita (ue o ar(uivo se4a alterado por outro comando ou outro
usu!rio durante a edio$
vi(r %s , 2dita diretamente o ar(uivo 0 etc0gshado<
2
7su8rio com contas b&o:ueadas
` no inicio da linha do ar(uivo 0etc0pass<d
e"$- `teste-XAX?&7TgfBvXP0t;HgA\fU#$HBTtro=\U-AUUA-AUUA-Teste)))-0home0teste-0in0ash
=u
shell padro apontar para "bin"$a&se
e"$- teste-XAX?&7TgfBvXP0t;HgA\fU#$HBTtro=\U-AUUA-AUUA-Teste)))-0home0teste-"bin"$a&se
=utras con$i(ura)es de &o(in
"etc"&o(in#de$s % Ar(uivo de configurao para valores padro para validade de contas e numero m!"imo de
tentativas de login$
e"$- N ?a" time in seconds for login % Tempo m!"imo de espera para o usu!rio digitar a senha
3=9I25TI4E=7T >0
Aphndice no P*/ em ane6o com todos os pesos e obZetivos das provas 20> e 202
2

Guia de Estudo LPI 202

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Guia de Estudo LPI 202

Загружено:

Авторское право:

Доступные форматы

Guia de Estudo LPI 201-202

Tpico 208 Web Services (Questes da Prova 202)

Вам также может понравиться