Bom turma, essa aula é o que tenho menos material, pois não consegui muitas coisas relacionadas, então ai vai o que eu tenho e conforme o dia vai rolando, vou lançando mais coisas.
Linux revisão
Aula 01
Particionamento: Para instalação do Linux necessita-se de duas partições físicas no disco, uma conterá o Linux e seus aplicativos e o segundo a memória Virtual.
Ponto de Montagem: É o local de acesso a uma partição ou um dispositivo
Estrutura de Diretórios:
\bin: Contém os arquivos binários
\boot: Contém os arquivos necessários para inicializar o sistema
\dev: Dispositivos e periféricos
\etc: Contém arquivos e diretórios de configuração
\home: Arquivos e diretórios de usuários
\lib: Bibliotecas compartilhadas
\mnt: Ponto de montagem temporário
\proc: Sistemas de arquivos do Kernel
\root: Diretório de super-usuário
\sbin: Programas para controle e administração do sistema
\temp: Armazenamento de arquivos temporários
\usr: Contém a maior parte dos programas
\var: Arquivos que são gravados com frequência pelo sistema
Aula 04 – Utilitário Webmin
Serviços do webmin:
Backups automatizados
Administração de usuários
Logs de Ações
Agendamentos de tarefas
Servidores (SSH, Proxy)
Iptables
Aula 05 – NFS Sistema de compartilhamento de arquivos em rede
Para habilitar o NFS basta inserir a linhas no arquivo # vi /etc/exports
/dados/backup 192.168.1.2(rw,async)
(async) o NFS trabalha de forma assíncrona, ou seja, sem precisar esperar uma resposta do cliente a cada pacote enviado, isto torna a transferência de arquivo mais rápida.
Se você quer que o usuário remoto tenha privilégios de root, insira no final da linha: no_root_squash
# exportfs
Com esse comando o arquivo /etc/exports será lido e o kernel será atualizado com as mudanças realizadas.
NFS Cliente
Na máquina-cliente, abrir um terminal e digitar:
# mkdir /backup
Em seguida, montar o diretório usando o comando mount com o parâmetro -t nfs.
# mount -t nfs 192.168.1.1:/dados/backup /backup
Se é um compartilhando que você precisa acessar frequentemente, é recomendado que você configure no arquivo /etc/fstab para que o sistema se encarregue de montá-lo durante o processo de boot do sistema.
# vi /etc/fstab
192.168.1.1:/dados/backup /backup nfs auto,exec 0 0
192.168.1.1:/dados/backup - endereço do servidor NFS;
/backup é o diretório local do cliente;
nfs especifica o sistema de arquivo;
auto faz com que o compartilhamento seja montando durante o boot do sistema;
exec permite executar programas dentro do diretório compartilhado.
Aula 06 – Configuração de DNS Bind
Protocolo responsável pela conversão de endereço de internet em endereço IP
Arquivo HOSTS (/etc/hosts) responsável pela resolução de nomes,
A (address) - Armazena o endereço IP associado a um nome.
NS (Name Server) - Indica um servidor de nome autorizado para um domínio.
SOA (Start of Authority) - Contém propriedades Básicas do domínio e da zona do domínio.
PTR (Pointer) - Contém o nome real do host a que o IP pertence.
MX (Mail Exchanger) - Especifica um servidor de e-mail para a zona.
CNAME - Especifica nomes alternativos.
Aula 07 – Instalação de apache Bind
Crie uma nova zona no bind
Crie os records A com endereçamento do servidor apache
Crie um virtual Host:
Acesse o arquivo /etc/apache2/listen.conf
2) Adicione (ou altere) a linha
NameVirtualHost 192.168.0.197:80
-> Conforme o IP do seu Apache
Apache - Arquivos de Configuração
diretório: /etc/apache ou /etc/apache2 Arquivo: httpd.conf ou apache2.conf
Allow: Lista os hosts que possuem permissão para acessar os diretórios
Deny: Lista os hosts que não possuem permissão para acessar os diretórios
Existem virtuais Hosts Baseados em nome e Virtuais Hosts Baseados em IP
Aula 08 – Utilização do IPTABLES
Filtros por pacotes: O firewall faz a leitura dos cabeçalhos dos pacotes e de acordo com as regras decide se este passam(accept)ou não (Drop/Reject)
A configuração do firewall pode ser perdida com um reboot é preciso cria um script por exemplo, iptables-save e incorporar a inicialização do sistema.
Regra de Chamadas – Firewall Chains: Input, Output e Forward
Manipulando Chains:
Manipulando Regra dentro da Chain:
Aula 10 – Instalação do Squid
Proxy Transparente: Esse recurso é muito útil para evitar que seus usuários "burlem" o proxy removendo as configurações do browser. Eles serão obrigados a passar pelo proxy, mesmo que as máquinas não estejam configuradas para tal.
Algumas pessoas desejam trabalhar ao mesmo tempo com autenticação e proxy transparente. Isso é possível de ser feito com uma interação entre o firewall e um cgi, ou algo do gênero.
Mesmo que alguém tente desabilitar o proxy manualmente nas configurações do navegador, ele continuará sendo usado. Basta usar o endereço IP do servidor rodando o proxy como gateway da rede
Autenticando usuários
ncsa_auth: O ncsa_auth é a alternativa mais simples. Ele está disponível junto com o squid e pode ser implementado rapidamente. É a solução ideal para pequenas e média instalações e redes com arquitetura de grupo de trabalho.
smb_auth: O smb_auth é uma ótima opção para quem tem uma rede um pouco maior ou trabalha com ambientes Windows Client/Server. Devido a sua integração com o PDC, facilita muito a vida do administrador.
Nota: É necessário que o samba esteja instalado na máquina do Squid para utilizar essa opção. Ele não precisa estar configurado ou ativado.
Proxy versus Nat
Compartilhamento via Nat o servidor apenas repassam as requisições recebidas e computadores acessam a internet sem restrições, no caso do proxy ele analisa todo o tráfego analisando o que pode e que não pode passar.
Para ativar o proxy transparente, rode o comando abaixo. Ele direciona as requisições recebidas na porta 80 para o Squid:
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Aula 11 – Utilizando o samba como PDC
É possível configurar o samba como um controlador de primário de domínio , inclusive para estações Windows, desta forma um usuário cadastrado no samba pode acessar qualquer máquina configurada.
Para o correto funcionamento a seção global deve conter as linhas “domain master = yes” , “domain logon = yes” e “logon script = netlogon.bat”
É necessário criar também um compartilhamento netlogon, que conterá os script de login.
Cadastrando usuários no Samba:
# adduser joao
# smbpasswd -a joao
É importante criar também a pasta "profile.pds" onde o cliente Windows
armazenará as informações de seção cada vez que o usuário faz logon:
É preciso criar um conta sem senha, onde o nome da conta será o mesmo nome da máquina.
Por último, é necessário criar o arquivo "/var/samba/netlogon/netlogon.bat", um script que é lido e executado pelos clientes ao fazer logon. É neste arquivo que são definidas todas as diretivas.
Aula 11 – Prática de OpenVPN
Configuração Lan-to-Lan
Há três famílias principais de execuções de VPN utilizado em larga escala hoje: SSL, IPSec, e PPTP. OpenVPN é um SSL VPN e portanto não é compatível com IPSec, L2TP, ou PPTP
Biblioteca LZO: oferece suporte a compactação de dados para otimizar a VPN.
1> Acesse o diretório /etc/openvpn
2> Crie uma chave de criptográfia
#openvpn --genkey --secret /etc/opnevpn/vpnkey
3> Crie um arquivo de configuração
# touch /etc/openvpn/matriz.conf
4> Usar como interface o driver TUN
#dev tun
5> 10.0.0.1 ip que será assumido na matriz
10.0.0.2 ip remoto, ou seja, ip da filial
ifconfig 10.0.0.1 10.0.0.2
6> Entra no diretório onde se encontram osarquivos de configuração
cd /etc/openvpn
7> Indica que esse túnel possui uma chave decriptografia
secret vpnkey
8> OpenVPN usa a porta 5000/UDP por padrão. Cada túnel do OpenVPN deve usar uma porta diferente. O padrão é a porta 5000
port 5000
9> Usuário que rodará o daemon doOpenVPN
user nobody
10> Grupo que rodará o daemon doOpenVPN
group nobody
11> Usa a biblioteca lzo
comp-lzo
12> Envia um ping via UDP para a parte remota a cada 15 segundos para mantera conexão de pé em firewall statefull Muito ecomendado, mesmo se você não usa um firewall baseado em statefull.
ping 15
Caso o usuário ou grupo “nobody” não exista é preciso criar
# echo 1 > /proc/sys/net/ipv4/ip_forward
# route add -net 192.168.100.0/24 gw 10.0.0.2
Aula 12 – Servidor de DHCP
O arquivo de configuração é o dhcpd.conf. No Debian o caminho completo para ele é: /etc/dhcp3/dhcpd.conf e no Mandrake é apenas /etc/dhcpd.conf
default-lease-time: Controla o tempo de renovação dos endereços IP O "600" indica que o servidor verifica a cada dez minutos se as estações ainda estão ativas.
max-lease-time: Determina o tempo máximo que uma estação pode usar um determinado endereço IP.
range: Determina a faixa de endereços IP que será usada pelo servidor.
option routers: Vai o endereço do default gateway da rede.
option domain-name-servers: Contém os servidores DNS que serão usados pelas estações.
***************************************************
Linux revisão
Aula 01
Particionamento: Para instalação do Linux necessita-se de duas partições físicas no disco, uma conterá o Linux e seus aplicativos e o segundo a memória Virtual.
Ponto de Montagem: É o local de acesso a uma partição ou um dispositivo
Estrutura de Diretórios:
\bin: Contém os arquivos binários
\boot: Contém os arquivos necessários para inicializar o sistema
\dev: Dispositivos e periféricos
\etc: Contém arquivos e diretórios de configuração
\home: Arquivos e diretórios de usuários
\lib: Bibliotecas compartilhadas
\mnt: Ponto de montagem temporário
\proc: Sistemas de arquivos do Kernel
\root: Diretório de super-usuário
\sbin: Programas para controle e administração do sistema
\temp: Armazenamento de arquivos temporários
\usr: Contém a maior parte dos programas
\var: Arquivos que são gravados com frequência pelo sistema
Aula 04 – Utilitário Webmin
Serviços do webmin:
Backups automatizados
Administração de usuários
Logs de Ações
Agendamentos de tarefas
Servidores (SSH, Proxy)
Iptables
Aula 05 – NFS Sistema de compartilhamento de arquivos em rede
Para habilitar o NFS basta inserir a linhas no arquivo # vi /etc/exports
/dados/backup 192.168.1.2(rw,async)
(async) o NFS trabalha de forma assíncrona, ou seja, sem precisar esperar uma resposta do cliente a cada pacote enviado, isto torna a transferência de arquivo mais rápida.
Se você quer que o usuário remoto tenha privilégios de root, insira no final da linha: no_root_squash
# exportfs
Com esse comando o arquivo /etc/exports será lido e o kernel será atualizado com as mudanças realizadas.
NFS Cliente
Na máquina-cliente, abrir um terminal e digitar:
# mkdir /backup
Em seguida, montar o diretório usando o comando mount com o parâmetro -t nfs.
# mount -t nfs 192.168.1.1:/dados/backup /backup
Se é um compartilhando que você precisa acessar frequentemente, é recomendado que você configure no arquivo /etc/fstab para que o sistema se encarregue de montá-lo durante o processo de boot do sistema.
# vi /etc/fstab
192.168.1.1:/dados/backup /backup nfs auto,exec 0 0
192.168.1.1:/dados/backup - endereço do servidor NFS;
/backup é o diretório local do cliente;
nfs especifica o sistema de arquivo;
auto faz com que o compartilhamento seja montando durante o boot do sistema;
exec permite executar programas dentro do diretório compartilhado.
Aula 06 – Configuração de DNS Bind
Protocolo responsável pela conversão de endereço de internet em endereço IP
Arquivo HOSTS (/etc/hosts) responsável pela resolução de nomes,
A (address) - Armazena o endereço IP associado a um nome.
NS (Name Server) - Indica um servidor de nome autorizado para um domínio.
SOA (Start of Authority) - Contém propriedades Básicas do domínio e da zona do domínio.
PTR (Pointer) - Contém o nome real do host a que o IP pertence.
MX (Mail Exchanger) - Especifica um servidor de e-mail para a zona.
CNAME - Especifica nomes alternativos.
Aula 07 – Instalação de apache Bind
Crie uma nova zona no bind
Crie os records A com endereçamento do servidor apache
Crie um virtual Host:
Acesse o arquivo /etc/apache2/listen.conf
2) Adicione (ou altere) a linha
NameVirtualHost 192.168.0.197:80
-> Conforme o IP do seu Apache
Apache - Arquivos de Configuração
diretório: /etc/apache ou /etc/apache2 Arquivo: httpd.conf ou apache2.conf
Allow: Lista os hosts que possuem permissão para acessar os diretórios
Deny: Lista os hosts que não possuem permissão para acessar os diretórios
Existem virtuais Hosts Baseados em nome e Virtuais Hosts Baseados em IP
Aula 08 – Utilização do IPTABLES
Filtros por pacotes: O firewall faz a leitura dos cabeçalhos dos pacotes e de acordo com as regras decide se este passam(accept)ou não (Drop/Reject)
A configuração do firewall pode ser perdida com um reboot é preciso cria um script por exemplo, iptables-save e incorporar a inicialização do sistema.
Regra de Chamadas – Firewall Chains: Input, Output e Forward
Manipulando Chains:
Manipulando Regra dentro da Chain:
Aula 10 – Instalação do Squid
Proxy Transparente: Esse recurso é muito útil para evitar que seus usuários "burlem" o proxy removendo as configurações do browser. Eles serão obrigados a passar pelo proxy, mesmo que as máquinas não estejam configuradas para tal.
Algumas pessoas desejam trabalhar ao mesmo tempo com autenticação e proxy transparente. Isso é possível de ser feito com uma interação entre o firewall e um cgi, ou algo do gênero.
Mesmo que alguém tente desabilitar o proxy manualmente nas configurações do navegador, ele continuará sendo usado. Basta usar o endereço IP do servidor rodando o proxy como gateway da rede
Autenticando usuários
ncsa_auth: O ncsa_auth é a alternativa mais simples. Ele está disponível junto com o squid e pode ser implementado rapidamente. É a solução ideal para pequenas e média instalações e redes com arquitetura de grupo de trabalho.
smb_auth: O smb_auth é uma ótima opção para quem tem uma rede um pouco maior ou trabalha com ambientes Windows Client/Server. Devido a sua integração com o PDC, facilita muito a vida do administrador.
Nota: É necessário que o samba esteja instalado na máquina do Squid para utilizar essa opção. Ele não precisa estar configurado ou ativado.
Proxy versus Nat
Compartilhamento via Nat o servidor apenas repassam as requisições recebidas e computadores acessam a internet sem restrições, no caso do proxy ele analisa todo o tráfego analisando o que pode e que não pode passar.
Para ativar o proxy transparente, rode o comando abaixo. Ele direciona as requisições recebidas na porta 80 para o Squid:
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Aula 11 – Utilizando o samba como PDC
É possível configurar o samba como um controlador de primário de domínio , inclusive para estações Windows, desta forma um usuário cadastrado no samba pode acessar qualquer máquina configurada.
Para o correto funcionamento a seção global deve conter as linhas “domain master = yes” , “domain logon = yes” e “logon script = netlogon.bat”
É necessário criar também um compartilhamento netlogon, que conterá os script de login.
Cadastrando usuários no Samba:
# adduser joao
# smbpasswd -a joao
É importante criar também a pasta "profile.pds" onde o cliente Windows
armazenará as informações de seção cada vez que o usuário faz logon:
É preciso criar um conta sem senha, onde o nome da conta será o mesmo nome da máquina.
Por último, é necessário criar o arquivo "/var/samba/netlogon/netlogon.bat", um script que é lido e executado pelos clientes ao fazer logon. É neste arquivo que são definidas todas as diretivas.
Aula 11 – Prática de OpenVPN
Configuração Lan-to-Lan
Há três famílias principais de execuções de VPN utilizado em larga escala hoje: SSL, IPSec, e PPTP. OpenVPN é um SSL VPN e portanto não é compatível com IPSec, L2TP, ou PPTP
Biblioteca LZO: oferece suporte a compactação de dados para otimizar a VPN.
1> Acesse o diretório /etc/openvpn
2> Crie uma chave de criptográfia
#openvpn --genkey --secret /etc/opnevpn/vpnkey
3> Crie um arquivo de configuração
# touch /etc/openvpn/matriz.conf
4> Usar como interface o driver TUN
#dev tun
5> 10.0.0.1 ip que será assumido na matriz
10.0.0.2 ip remoto, ou seja, ip da filial
ifconfig 10.0.0.1 10.0.0.2
6> Entra no diretório onde se encontram osarquivos de configuração
cd /etc/openvpn
7> Indica que esse túnel possui uma chave decriptografia
secret vpnkey
8> OpenVPN usa a porta 5000/UDP por padrão. Cada túnel do OpenVPN deve usar uma porta diferente. O padrão é a porta 5000
port 5000
9> Usuário que rodará o daemon doOpenVPN
user nobody
10> Grupo que rodará o daemon doOpenVPN
group nobody
11> Usa a biblioteca lzo
comp-lzo
12> Envia um ping via UDP para a parte remota a cada 15 segundos para mantera conexão de pé em firewall statefull Muito ecomendado, mesmo se você não usa um firewall baseado em statefull.
ping 15
Caso o usuário ou grupo “nobody” não exista é preciso criar
# echo 1 > /proc/sys/net/ipv4/ip_forward
# route add -net 192.168.100.0/24 gw 10.0.0.2
Aula 12 – Servidor de DHCP
O arquivo de configuração é o dhcpd.conf. No Debian o caminho completo para ele é: /etc/dhcp3/dhcpd.conf e no Mandrake é apenas /etc/dhcpd.conf
default-lease-time: Controla o tempo de renovação dos endereços IP O "600" indica que o servidor verifica a cada dez minutos se as estações ainda estão ativas.
max-lease-time: Determina o tempo máximo que uma estação pode usar um determinado endereço IP.
range: Determina a faixa de endereços IP que será usada pelo servidor.
option routers: Vai o endereço do default gateway da rede.
option domain-name-servers: Contém os servidores DNS que serão usados pelas estações.