DHCP Server

O aplicativo do servidor DHCP (protocolo de configuração dinâmica do host) permite

que os hosts em uma rede solicitem e recebam endereços IP. Este serviço elimina a
necessidade de configurar manualmente novos hosts que se conectam à sua rede.

Instalação
Se o seu sistema não tiver esse aplicativo disponível, você poderá instalá-lo pelo
Marketplace.

Menu
Você pode encontrar esse recurso no sistema de menus no seguinte local:

 Rede/Infraestrutura/Servidor DHCP

Configuraçao
Configurações globais

Autoritativo

A menos que você esteja executando mais de um DHCP em sua rede, ative o modo
Autoritativo. Quando isso estiver ativado, as solicitações DHCP em concessões
desconhecidas de hosts desconhecidos não serão ignoradas. Este será o caso quando
um laptop estrangeiro estiver conectado à sua rede.

Nome do domínio

O servidor pode configurar automaticamente o nome de domínio da Internet padrão

para sistemas que usam o DHCP em sua rede. Você pode usar seu próprio domínio da
Internet (por exemplo: example.com) ou simplesmente criar um (por exemplo: lan).
Exemplo:

 Um sistema desktop na sua rede local possui uma scooter de nome do

sistema e usa o DHCP.
 O nome de domínio especificado no servidor DHCP é example.com.
 Na inicialização, o sistema de desktop anexa exemplo.com ao nome do
sistema. Seu hostname completo se tornaria scooter.example.com

Sub-redes
Em uma instalação típica, o servidor DHCP é configurado em todas as interfaces da
LAN. Para adicionar / editar as configurações de DHCP para uma interface de rede
específica, clique no botão adicionar / editar apropriado.
Rede

O número da rede é detectado automaticamente pelo sistema.

Gateway

Isso deve ser definido automaticamente para o IP da interface. Isso está correto se o ClearOS
for o gateway da Internet, mas se o ClearOS for apenas o servidor DHCP com outro dispositivo
na LAN como o gateway, isso deve apontar para o IP do outro dispositivo.

Intervalos de IP

Mantenha um intervalo de endereços IP disponíveis para sistemas e serviços que

exigem endereços estáticos. Por exemplo, um servidor VPN PPTP e alguns tipos de
impressoras de rede exigem endereços IP estáticos.

Em uma rede local típica, os primeiros 99 endereços IP são reservados para endereços
estáticos, enquanto os endereços restantes, de 100 a 254, são reservados para os
sistemas que usam o servidor DHCP. Ajuste essas configurações para atender às suas
necessidades e à sua rede.

Você nunca deve usar o primeiro e o último endereço na sua sub-rede. Em

uma sub-rede / 24 (netmask = 255.255.255.0), isso significa que você não
pode usar o endereço que termina em .0 e .255.

Servidores DNS

O servidor pode configurar automaticamente as configurações de DNS para sistemas

usando o DHCP em sua rede. Por padrão, o endereço IP do servidor DNS no sistema
ClearOS é usado. Você deve alterar essa configuração se quiser usar um servidor DNS
alternativo.

Servidor WINS

Se você tiver um servidor WINS (Serviço de Cadastramento na Internet) do Microsoft

Windows em sua rede, poderá fornecer o endereço IP a todos os computadores
Windows em sua rede. Isso permitirá que os sistemas Windows acessem recursos por
meio do Windows Networking. Você pode inserir o endereço IP da LAN do seu sistema
ClearOS aqui se tiver ativado o servidor WINS no Windows Networking (Samba) em
seu sistema.

Servidor TFTP
Se você tiver um servidor TFTP em sua rede, poderá especificar o endereço IP em sua
configuração DHCP. Entre outros usos, o TFTP é comumente usado por telefones VoIP.

Servidor NTP

Se você tiver um servidor NTP (time) em sua rede, poderá especificar o endereço IP na
sua configuração DHCP. Embora a maioria dos sistemas de desktop modernos já esteja
configurada com um servidor de horário, alguns dispositivos e aplicativos exigem um
servidor NTP local disponível.

Servidor SIP

Se você tiver um servidor SIP em sua rede, poderá especificar o endereço IP em sua
configuração DHCP. Isso configura um registro de tipo 120 no servidor DHCP.

WPAD

Esta é a URL onde encontrar o arquivo wpad.dat se você estiver usando a Descoberta
Automática de Proxy da Web. deve estar no formato
http://myserver.mydomain.com/wpad.dat ou http:
//my_wpad_server_IP_address/wpad.dat. Se você usar um FQDN, ele deverá retornar
ao endereço IP do servidor, que pode ser mapeado no aplicativo do servidor DNS.

É melhor usar o formulário de endereço IP em um

ambiente Multi-LAN para evitar um problema no arquivo
DNS / hosts
Locações

Uma lista de sistemas que usam ativamente o servidor DHCP é mostrada na tabela
Leases Ativos. Se você gostaria de fazer uma concessão de DHCP para um determinado
sistema permanente, você pode clicar no botão Editar apropriado nesta lista e alterar a
concessão para Estático. Você pode adicionar manualmente as concessões estáticas
antes que elas se conectem ao sistema usando o botão Adicionar.
As concessões estáticas contam como ativas e aparecem na tabela Leases, estejam elas
atualmente conectadas ou não.

Você pode alterar o IP de uma concessão, mas isso não afeta a

estação de trabalho do cliente até que a estação de trabalho
renove a concessão.

Adicionando outras opções do servidor DHCP

Se você quiser adicionar outras opções de DHCP, como um registro 176 para os
telefones Avaya, poderá criar um arquivo /etc/dnsmasq.d/any_name e nele colocar
algo como:

dhcp-option = enp5s0,120,172.17.2.1
Você precisará verificar os manuais do seu dispositivo para a linha relevante

Problemas comuns

 Você deve ter apenas um (1) servidor DHCP por rede.

 Ativar o servidor DHCP na sua conexão com a Internet é… não é uma boa ideia.
Nem você deve fazê-lo em qualquer interface com Type = DCHP nas
configurações de IP.

Servidor DNS
O servidor DNS local faz duas coisas para sua rede ClearOS:

 Associa endereços IP locais a nomes de host

 Ele fornece um serviço DNS de cache para sua rede local

Instalaçao
Se o seu sistema não tiver esse aplicativo disponível, você poderá instalá-lo pelo
Marketplace.

Menu
Você pode encontrar esse recurso no sistema de menus no seguinte local:

Rede | Infraestrutura | Servidor DNS

Configuraçao
Um host é definido como qualquer sistema com um endereço IP - desktop, laptop,
impressora, dispositivo de mídia, etc. Cada host pode ter um nome de host, junto com
qualquer número de aliases. Por exemplo, você pode adicionar um nome de host para
um servidor de arquivos em sua rede com as seguintes configurações:

 Endereço IP: 192.168.1.10

 Nome do host: fileserver.example.com

Depois de adicionar o nome do host, você terá a oportunidade de adicionar outros

aliases (ou nomes de host) para o host fornecido. Se estivéssemos usando o servidor
de arquivos como um servidor de backup, poderíamos adicionar backup.example.com
à lista de aliases.

Dicas e truques
Aliases

Você deve ter notado que um alias padrão é adicionado sempre que você adiciona um
nome de host. Por exemplo, adicionar o hostname fileserver.example.com também
adicionará o servidor de arquivos alias padrão. Esse alias pode ser usado como um
atalho na sua rede. Como? Se você usar o servidor DHCP do ClearOS, poderá
especificar um nome de domínio padrão. Permanecendo com nosso exemplo, nosso
nome de domínio padrão deve ser definido como example.com. Qualquer sistema que
use DHCP pode acessar outros sistemas na rede usando o alias (servidor de arquivos)
em vez do nome de host completo (fileserver.example.com).

Resolução de DNS específica da interface

Pode haver casos em que você deseja que o servidor DNS distribua um endereço IP
diferente, dependendo da interface da qual a consulta foi recebida. Por exemplo, se
você tiver uma LAN com um endereço IP de 192.168.10.1 e uma HotLAN com
endereços IP de 192.168.20.1 e tiver um servidor da Web em execução no ClearOS e
desejar acessá-lo a partir da LAN e da HotLAN, você Gostaria que
server.mydomain.com retornasse 192.168.10.1 da sub-rede LAN e 192.168.20.1 da
sub-rede HotLAN, pois as duas sub-redes estão isoladas uma da outra. Este seria o caso
se você estivesse tentando descobrir automaticamente um arquivo wpad.dat de
ambas as LANs. Isto pode ser feito. Nas configurações de adição do servidor DNS:

192.168.10.1 myserver.mydomain.com

192.168.20.1 myserver.mydomain.com

Então, em /etc/dnsmasq.d, crie um arquivo (pode ser chamado qualquer coisa) e

adicione uma linha:

Consultas de localização

Salve o arquivo e reinicie o dnsmasq com um:

Systemctl restart
dnsmasq.service
Agora, o servidor DNS, se tiver a opção, distribuirá endereços IP específicos da LAN. Se
não houver escolha, por exemplo, se o servidor DNS tiver apenas uma entrada, o IP da
entrada única será distribuído em todas as LANs.

Servidor NTP
NTP é o protocolo de horário da rede. Este módulo é extremamente importante para
gerenciar o tempo no seu servidor. É importante que o seu servidor execute a hora
correta, porque alguns protocolos que exigem que o tempo de interação seja
relativamente o mesmo, a fim de conduzir adequadamente as transações.

Se você não tiver o aplicativo NTP, o ClearOS tentará sincronizar seu tempo com o
horário da Internet uma vez por dia. Com o aplicativo, ele tentará sincronizar a cada 17
minutos.

O aplicativo também permite que o ClearOS funcione como uma fonte de tempo para
sua LAN

Configuraçao

Não há opções configuráveis para este aplicativo, apenas um Iniciar /

Parar
Por padrão, a configuração do servidor de horário é definida para usar as seguintes
fontes de tempo fornecidas pelo ClearCenter:

 time1.clearsdn.com
 time2.clearsdn.com
 time3.clearsdn.com
 time4.clearsdn.com

Mudando os servidores de tempo

Se você gostaria de mudar os servidores de tempo, você precisará modificar as
seguintes linhas em /etc/ntp.conf:

Servidor time1.clearsdn.com

Servidor time2.clearsdn.com

Servidor time3.clearsdn.com

Servidor time4.clearsdn.com

Em seguida, reinicie o serviço de tempo.

Systemctl restart ntpd.service

Ou com o Start / Stop

ClearOS como um servidor NTP

Se você quiser que o ClearOS atue no servidor de horário da sua rede, você pode
definir a opção NTP no servidor DHCP para apontar para sua rede local do ClearOS. Ao
mesmo tempo, você poderá configurar seu dispositivo diretamente para usar o
ClearOS.

Servidor RADIUS
O aplicativo do servidor RADIUS fornece um gancho em seu sistema de contas ClearOS
para clientes RADIUS. Este aplicativo pode ser usado para permitir que dispositivos
externos se autentiquem em relação ao ClearOS:

 Pontos de acesso sem fio

 Dispositivos NAS
 Aparelhos de terceiros
 Qualquer outro sistema pronto para o RADIUS

Instalaçao
Se o seu sistema não tiver esse aplicativo disponível, você poderá instalá-lo pelo
Marketplace.

Menu
Você pode encontrar esse recurso no sistema de menus no seguinte local:

Rede | Infraestrutura | Servidor RADIUS

Configuraçao
Depois de instalar o servidor RADIUS, você pode adicionar configurações de acesso do
cliente. Quando falamos do cliente, estamos falando de um sistema remoto que usa o
servidor RADIUS. Por exemplo, se você estiver configurando o RADIUS para acesso sem
fio, o ponto de acesso sem fio é o cliente RADIUS, não sua estação de trabalho que usa
o wireless.

Certificados
Embora haja uma pasta / etc / raddb / clearos-certs / contendo certificados, eles não
são usados atualmente. Os certificados em uso estão em / etc / raddb / certs /.
Quando radius é instalado, os certificados iniciais de bootstrap são criados com uma
validade de 60 dias. O Windows 10 se oporá a uma mensagem “ERRO: Alerta de TLS:
fatal: acesso negado” quando expirarem. Para regenerá-los, em primeiro lugar, se
desejar, altere todos os campos-chave que você deseja que contenham dados
significativos em seus certificados, como o organizationName, editando
/etc/raddb/certs/ca.cnf e /etc/raddb/certs/server.cnf (e /etc/raddb/certs/client.cnf se
você quiser certificados de cliente). Você provavelmente deseja alterar os default_days
(período de validade do certificado) para algo maior que 60 dias. Em seguida, gere os
certificados com um:

Cd / etc / raddb / certs

rm -f * .pem * .der * .csr * .crt * .key * .p12 serial

* index.txt *

faça tudo

systemctl restart radiusd.service

Clientes
Todos os dispositivos no seu sistema que usam o RADIUS devem ter as configurações
do cliente configuradas no ClearOS. A seguir, descreve cada parâmetro em detalhes.

Endereço de IP
Esse é o endereço IP do host ou o nome do host do sistema remoto, por exemplo, seu
ponto de acesso sem fio.

Apelido
O apelido é apenas uma palavra simples para descrever a configuração do cliente, por
exemplo, wireless_ap.

Senha
Este é o segredo compartilhado entre o servidor e o cliente. Por razões de segurança,
você não deve usar a mesma senha de outras contas administrativas (mysql, root, etc).

Estação de trabalho de domínio do Windows 10

Neste ponto, você já deve ter ingressado em sua estação de trabalho do Windows 10
no domínio do Windows Networking (Samba).
Vá para 'Painel de Controle'> 'Rede e Internet'> 'Centro de Rede e Compartilhamento'.

Clique em "Configurar uma nova conexão ou rede".

Selecione "Conectar manualmente a uma rede sem fio" e clique em "Avançar".

Digite o SSID da rede sem fio no campo 'Nome da rede'.

Selecione "WPA2-Enterprise" no menu suspenso de "Tipo de segurança".

Você pode optar por ativar ou desativar os parâmetros "Iniciar esta conexão
automaticamente" e "Conectar mesmo se a rede não estiver transmitindo".

Clique em 'Next'.
Clique em "Alterar configurações de conexão".

Clique na guia "Segurança".

Verifique se 'Microsoft: Protected EAP (PEAP) está selecionado em' Escolher um
método de autenticação de rede '.

Você pode optar por ativar ou desativar o parâmetro "Lembrar minhas credenciais
para esta conexão sempre que eu estou conectado".

Clique em 'Configurações'.

Desmarque "Verificar a identidade do servidor validando o certificado" se você não

tiver um certificado instalado via Active Directory. (Caso contrário, você receberá um
aviso perguntando se deseja se conectar à rede.)
https://clearos.com/dokuwiki2/lib/exe/fetch.php?media=content:en_us:7_radius_win
dows10_config_08.png

Clique em "OK" para retornar à caixa de diálogo "Propriedades da rede sem fio".

Clique em "Configurações avançadas".

https://clearos.com/dokuwiki2/lib/exe/fetch.php?media=content:en_us:7_radius_win
dows10_config_09.png

"Especificar modo de autenticação:".

Clique em "OK" para retornar à caixa de diálogo "Propriedades da rede sem fio".

Clique em "OK" na caixa de diálogo "Propriedades da rede sem fio".

Servidor SSH
O módulo SSH Server permite a configuração do serviço Secure Shell Daemon no
ClearOS.

Instalaçao

Se o seu sistema não tiver esse aplicativo disponível, você poderá instalá-
lo pelo Marketplace.

Menu
Você pode encontrar esse recurso no sistema de menus no seguinte local:

Rede | Infraestrutura | Servidor SSH

Configuraçao
Você pode personalizar a porta, se a autenticação de senha para acesso SSH é
permitida, se a raiz tem ou não permissão para efetuar logon e se permite o
encaminhamento de TCP.

Desabilitando o login root

A conta root é a mais procurada e a mais comum para tentar hackear. Desabilitar o
login raiz permite que você faça o login como usuário comum, mas requer que esses
usuários alternem o usuário (su) ou usem escallation de privilégios (sudo) para todos
os comandos do sistema. Esta é considerada a melhor prática e é altamente
recomendável.

Você pode fornecer aos usuários acesso SSH usando o aplicativo Shell Extension.

Porta
Mudar a porta é uma boa ideia, porque os hackers saberão experimentar a porta 22
para SSH e é tipicamente o primeiro lugar que eles tentam. Se você alterar a porta,
certifique-se de selecionar uma porta que não esteja em uso por outro protocolo no
sistema. (Intervalo válido teoricamente varia de 0 a 65535)

Autenticação de Senha
Ao desativar a autenticação por senha, você diz ao seu sistema que usará a
autenticação baseada em chave. Isso geralmente é considerado uma autenticação
mais forte que as senhas.

Encaminhamento TCP
O TCP Forwarding permite que você use o SSH como um gateway para outros tipos de
tráfego de rede. É uma quase-VPN e pode fazer com que o tráfego local pareça local
para a máquina anexar via SSH. Se você não estiver usando isso, desative-o.
Protegendo o SSH
Se você puder evitá-lo, é melhor não abrir o acesso externo ao SSH. Se você precisar de
acesso externo, considere se seria melhor usar o OpenVPN para conectar-se ao
ClearOS, pois você pode se conectar ao SSH como se estivesse conectado à LAN do
ClearOS.

Se você abrir o SSH para acesso externo a partir da Internet, consulte o SSH
Protegendo no ClearOS - Guia de Melhores Práticas e instale o aplicativo Detector de
Ataques. Além disso, considere o uso dos aplicativos Detecção de intrusão e Prevenção
de intrusões.

Uma senha forte é obrigatória!

Links

 Protegendo o SSH no ClearOS - Guia de Melhores Práticas

 Configurando a autenticação baseada em chave para o SSH
 sudo vs su