Mensagens de erro na tela do console

Mensagens de erro na tela do console

Para acabar com as mensagens de erro na tela, o primeiro lugar a checar ? /etc/init.d/klogd. Defina KLOGD=”-c 3″ nesse script e execute /etc/init.d/klogd restart. Um m?todo alternativo ? executar dmesg -n3.

Aqui os n?veis de erro significam :

* 0: KERN_EMERG, o sistema est? inutiliz?vel
* 1: KERN_ALERT, uma a??o deve ser tomada imediatamente
* 2: KERN_CRIT, condi??es cr?ticas
* 3: KERN_ERR, condi??es de erro
* 4: KERN_WARNING, condi??es de aviso
* 5: KERN_NOTICE, normal mas em condi??es significantes
* 6: KERN_INFO, informativo
* 7: KERN_DEBUG, mensagens em n?vel de depura??o

Posted in Sem categoria

Logout autom?tico do root

Logout autom?tico do root

Muitas vezes deixamos o terminal aberto com o root logado durante a madrugada para fazer uma atualiza??o e com isso, no meio da noite, a tarefa acaba e o root continua logado, sem necessidade. Saiba que isso tem solu??o com apenas um comando simples:

# echo TMOUT=300 >> ~/.bashrc

Esse exemplo coloca um timeout de 10 minutos, na vari?vel o valor deve estar em segundos. Caso voc? j? tenha colocado, mas queira alterar o tempo, n?o use o comando citado, use um editor de texto como o gedit, kedit ou vim.

Ao come?ar a escrever essa dica, vi que j? havia sido postada pelo meu amigo JuNiOx, mas ele n?o mencionou o .bashrc, pois ? onde precisa estar a vari?vel:

* Timeout para terminais

A informa??o tamb?m obtive de outra fonte.

Lembrem-se, n?o usem o login do root em v?o, sen?o seus sistemas v?o ser t?o vulner?veis quanto o sistema da M$. Existem diversas formas seguras de rodar programas que teoricamente s? o root teria acesso.

Posted in Sem categoria

Servi?os On-Line testam seguran?a de firewall

? claro que os testes n?o s?o baseados em exemplos de ataques mas pelo menos o alertam de falhas simples que possam estar ocorrendo em seu firewall

Nestes dois links abaixo voc? poder? verificar superficialmente a seguran?a de seu firewall com ferramentas que fazer scanner de porta fingerprint em pilhas TCP entre outros testes:

Leia mais em: http://www.hackerwatch.org/probe/

http://www.dslreports.com/scan/

http://www.dslreports.com/scan/

Posted in Sem categoria

Configurando mais de um IP por placa de rede

Configurando os IPs

Bem, quero ir direto ao assunto e deixo que voc?s usem sua imagina??o para ir al?m.

Quero que a partir desse artigo voc?s possam criar seus pr?prios scripts para configurar qualquer tipo de servi?o e n?o s? uma rede.

Para configurar um IP, tenho que ter uma m?quina Linux e uma placa de rede. Suponhamos que a placa de rede ? uma SIS900 (on-board). Teremos que carregar seu modulo no Kernel:

# modprobe sis900

Agora basta apenas atribuir um IP ? ela para estarmos na rede.
Sintaxe:
ifconfig eth0 Classe/Mascara

Exemplo:

# ifconfig eth0 192.168.0.1/24
ou
# ifconfig eth0 10.0.0.1/8

Isso resolveria, mas ter?amos que sempre que ligar a m?quina colocar esse comando em um arquivo de inicializa??o.

Para resolver isso nos derivados de RedHat, podemos criar o arquivo /etc/sysconfig/network-scripts/ifcfg-eth0 ou /etc/sysconfig/network-scripts/ifcfg-eth1. O arquivo deve conter o seguinte conte?do:

DEVICE=”eth0″
ONBOOT=”yes”
IPADDR=”192.168.0.1″
NETMASK=”255.255.255.0″
HOSTNAME=wolverine
DOMAIN=servidor.com.br

Onde:

* DEVICE = Dispositivo onde se encontra sua rede (no Linux, a primeira placa de rede ? eth0, a segunda eth1 e assim por diante.
* ONBOOT = se ser? iniciado junto com o sistema.
* IPADDR = ip da m?quina.
* NETMASK = classe de rede.
* HOSTNAME = nome do computador.
* DOMAIN = nome do dom?nio.

Pronto, temos uma placa de rede com IP configurado.

No Linux existe a oportunidade de se criar rede virtual, ao inv?s de eu ter 3 placas de rede em meu servidor, posso ter apenas uma fazendo o servi?o de 3.

Exemplo: Tenho um servidor compartilhando a internet e arquivos para um escrit?rio onde temos tr?s departamentos, mas que nenhum possa enxergar o outro.

Poder?amos fazer o seguinte, divido as classes de rede assim:

192.168.0.2 -> 192.168.0.25
192.168.1.2 -> 192.168.1.25
10.0.0.2 -> 10.0.0.25

Para subir estes endere?os na placa eth0 do servidor, faremos o seguinte:

# ifconfig eth0 192.168.0.1/24
# ifconfig eth0:0 192.168.1.1/24
# ifconfig eth0:1 10.0.0.1/8

Posso ter quantas redes virtuais numa placa de rede eu quiser. Exemplo:

eth0:0 192.168.0.1/24
eth0:1 192.168.1.1/24
eth0:2 192.168.2.1/24
eth0:3 192.168.3.1/24
eth0:4 192.168.4.1/24
eth0:5 192.168.5.1/24

E ter?amos uma rede onde ningu?m enxerga ningu?m, mas todos enxergam o servidor. O processo que nos permite configurar v?rios endere?os IPs numa ?nica placa de rede ? denominado de IP Alias.

Posted in Sem categoria

Limitando banda com CBQ

O CBQ ? uma ferramenta para limita??o de banda que pode ser adotada para fazer controle de acesso e tamb?m balanceamento de carga.
Abaixo estarei demonstrando um exemplo de configura??o do CBQ

No diret?rio /etc/sysconfig/cbq/ ficam as regras de limita??o (classes).

O arquivo de regra funciona assim:

1. cada arquivo ? uma regra;
2. o nome do arquivo segue o padr?o cbq-XXXX.nomedaregra (cbq-0002.fulano), onde XXXX ? o numero da regra simples, eu associo XXX ao n?mero do ip do cliente, este n?mero tem obrigatoriamente 4 d?gitos, tem que ser 0002 ou maior e pode ser Hexadecimal;

Onde: “nomedaregra” ? um nome na qual voc? possa associar a regra eu utilizo o login dos usu?rios.

Arquivo de exemplo cbq-0002.fulano_in64k:

DEVICE=eth0,10Mbit,1Mbit
RATE=64K
WEIGHT=6Kbit
PRIO=5
RULE=192.168.0.2
BOUNDED=yes
ISOLATED=yes

Arquivo de exemplo cbq-0002.fulano_out64k:

DEVICE=eth1,10Mbit,1Mbit
RATE=64K
WEIGHT=6Kbit
PRIO=5
RULE=192.168.0.2,
BOUNDED=yes
ISOLATED=yes

Onde:

DEVICE=”nome da interface que vai para o cliente”,”banda”,”banda/10″
RATE=”velocidade”
WEITH=”velocidade/10″
PRIO=”prioridade (5 ? um valor excelente)”
RULE=”ip ou rede a ser controlado”

Exemplos :

192.168.0.2 controla o ip
192.168.0.0/24 controla a rede
192.168.0.2:80 controla o ip utilizando a porta 80
192.168.0.0/24:80

Qualquer destas op??es seguidos de “,” ex. 192.168.0.2, controla o tr?fego de sa?da da sua rede (upload), sendo importante lembrar que todo tr?fego de sa?da deve ser controlado na interface oposta do cliente.

BOUNDED=yes/no se setado para yes o usu?rio estar? limitado mesmo que o link esteja com folga.

ISOLATED=yes/no se setado para yes indica que o cliente n?o poder? emprestar banda pra ningu?m.

Apesar de n?o utilizar, vou comentar sobre a op??o TIME. Esta op??o serve para limitar o acesso em hor?rios predeterminados.

Exemplo:

TIME=”hora inicial”-“hora final”;”velocidade”/”velocidade/10″

Exemplo pr?tico:

TIME=18:00-06:00;256Kbit/25Kbit

Op??es do Kernel necess?rias para o funcionamento do CBQ:

Code Matury Level Options —>
[*] Prompt for development and/or incomplete code/drivers

Networking Options —>
< *> Packet socket
[*] Routing Messages
< *> Unix domain sockets
[*] TCP/IP networking
[*] IP advanced router
[*] IP Policy routing
[*] IP equal cost multipath
[*] IP use TOS value as route key
[*] IP verbose route monitoring
[*] IP large routing tables
[*] IP fast network address translation
[*] optimize as houte not host

QoS and/or fair queueing —>
[*] QoS and/or fair queueing
CBQ packet sheduler
CSZ packet sheduler
The simplest PRIO pseudosheduler
RED queue
SFQ queue
TEQL queue
TBF queue
[*] QoS support
[*] Rate estimator
[*] Packet classifier API
Routing table based classifier
Firewall based classifier
U32 classifier
Special RSVP classifier
Special RSVP classifier for IPv6
[*] Ingress traffic policing

OBS: o RedHat 7.1 por default j? vem preparado para o CBQ.

Posted in Sem categoria

Usando autentica??o RSA/DSA – chave p?blica/privada

Este m?todo de autentica??o utiliza o par de chaves p?blica (que ser? distribu?do nas m?quinas que voc? conecta) e outra privada (que ficar? em seu diret?rio pessoal) para autentica??o. A encripta??o e decripta??o s?o feitas usando chaves separadas e n?o ? poss?vel conseguir a chave de decripta??o usando a chave de encripta??o. ? poss?vel inclusive gerar uma chave sem senha para efetuar o logon em um sistema ou execu??o de comandos remotos (este esquema ? um pouco mais seguro que os arquivos ~/.rhosts e ~/.shosts).

Siga os seguintes passos para se autenticar usando RSA 1 – usada na vers?o 1 do ssh:

Gere um par de chaves p?blica/privada usando o comando:
ssh-keygen

Um par de chaves RSA vers?o 1 ser? gerado com o tamanho de 1024 bits por padr?o, garantindo uma boa seguran?a/performance, e salvas no diret?rio ~/.ssh com o nome identity e identity.pub. Para alterar o tamanho da chave use a op??o -b tamanho. Depois de gerar a chave, o ssh-keygen pedir? uma frase-senha (? recomend?vel ter um tamanho maior que 10 caracteres e podem ser inclu?dos espa?os). Se n?o quiser digitar uma senha para acesso ao sistema remoto, tecle quando perguntado. Mude as permiss?es do diret?rio ~/.ssh para 750.

A op??o -f especifica o diret?rio e nome das chaves. A chave p?blica ter? a extens?o .pub adicionada ao nome especificado.

ATEN??O Nunca distribua sua chave privada, nem armazene-a em servidores de acesso p?blicos ou outros m?todos que permitem outros terem acesso a ela. Se precisar de uma c?pia de seguran?a, fa?a em disquetes e guarde-a em um lugar seguro.

Instale a chave p?blica no servidor remoto que deseja se conectar, por exemplo, www.sshserver.org:
ssh-copy-id -i ~/.ssh/identity gleydson@www.servidorssh.org

A fun??o do utilit?rio acima ? entrar no sistema remoto e adicionar a chave p?blica local ~/.ssh/identity.pub no arquivo /home/gleydson/.ssh/authorized_keys do sistema remoto www.sshserver.org. O mesmo processo poder? ser feito manualmente usando os m?todos tradicionais (ssh/scp). Caso o arquivo remoto /home/gleydson/.ssh/authorized_keys n?o existe, ele ser? criado. Seu formato ? id?ntico ao ~/.ssh/know_hosts e cont?m uma chave p?blica por linha.

Agora utilize o ssh para entrar no sistema remoto usando o m?todo de chave p?blica/privada. Entre com a senha que usou para gerar o par de chaves p?blico/privado (ele entrar? diretamente caso n?o tenha digitado uma senha).
Para autenticar em uma vers?o 2 do ssh (usando chave RSA 2 ou DSA):

Gere um par de chaves p?blica/privada usando o comando:
ssh-keygen -t rsa -f ~/.ssh/id_rsa

ou

ssh-keygen -t dsa -f ~/.ssh/id_rsa

Um par de chaves RSA 2/DSA ser? gerado. Para alterar o tamanho da chave use a op??o -b tamanho. Depois de gerar a chave, o ssh-keygen pedir? uma frase-senha (? recomend?vel ter um tamanho maior que 10 caracteres e podem ser inclu?dos espa?os). Se n?o quiser digitar uma senha para acesso ao sistema remoto, tecle quando perguntado. Mude as permiss?es do diret?rio ~/.ssh para 750.

ATEN??O Nunca distribua sua chave privada, nem armazene-a em servidores de acesso p?blicos ou outros m?todos que permitem outros terem acesso a ela. Se precisar de uma c?pia de seguran?a, fa?a em disquetes e guarde-a em um lugar seguro.

Instale a chave p?blica no servidor remoto que deseja se conectar copiando o arquivo com:
scp ~/.ssh/id_rsa.pub usuario@servidorremoto:~/.ssh/authorized_keys2
ou
scp ~/.ssh/id_dsa.pub usuario@servidorremoto:~/.ssh/authorized_keys2
(caso tenha gerado a chave com a op??o -t dsa)

Caso o arquivo remoto /home/gleydson/.ssh/authorized_keys2 n?o existe, ele ser? criado. Seu formato ? id?ntico ao ~/.ssh/know_hosts2 e cont?m uma chave p?blica por linha.

Agora utilize o ssh para entrar no sistema remoto usando o m?todo de chave p?blica/privada. Entre com a senha que usou para gerar o par de chaves p?blico/privado (ele entrar? diretamente caso n?o tenha digitado uma senha).
OBS: Dever? ser levado em considera??o a possibilidade de acesso f?sico ao seu diret?rio pessoal, qualquer um que tenha posse de sua chave privada poder? ter acesso ao sistema remoto. O tipo de chave criada por padr?o ? a rsa1 (compat?vel com as vers?es 1 e 2 do ssh). A op??o -t [chave] poder? ser usada (ao gerar a chave) para selecionar o m?todo de criptografia:

rsa1 – Cria uma chave rsa compat?vel com a vers?o 1 e 2 do ssh (esta ? a padr?o).
rsa – Cria uma chave rsa compat?vel somente com a vers?o 2 do ssh.
dsa – Cria uma chave dsa compat?vel somente com a vers?o 2 do ssh.
Para trocar a senha utilize o comando: ssh-keygen -p -t tipo_chave -f ~/.ssh/identity – ser? pedida sua senha antiga e a nova senha (no mesmo estilo do passwd). Opcionalmente voc? pode utilizar a sintaxe: ssh-keygen -p -f ~/.ssh/identity -P senha_antiga -N senha_nova, que troca a senha em um ?nico comando (?til para ser usado em scripts junto com a op??o -q para evitar a exibi??o de mensagens de sa?da do ssh-keygen).

Posted in Sem categoria