Sidnei Weber

Dica rápida – Verificar pastas que ocupam mais espaço

17 de agosto de 2017 sidnei Deixe um comentário

Bom essa dica é bem simples mas muito útil, vamos usar uma combinação de comandos para listar as 5 pastas que mais utilizam espaço no diretório corrente. O bom comando seria esse:

du -Sh | sort -rh | head -5

1	du -Sh \| sort -rh \| head -5

Saida:

2,1G	./log/journal/457f9ec73a36473ab3a70f2a1ebce863
196M	./lib/mysql
189M	./lib/docker/aufs/diff/105ad3b8329fb9264b17543f7d70746b1c330f18523f27cdee5ad3fdff966697/usr/bin
116M	./lib/nvidia
111M	./lib/docker/aufs/diff/105ad3b8329fb9264b17543f7d70746b1c330f18523f27cdee5ad3fdff966697/usr/share/cattle/0e44936b6b56ae4372799b0f48e6e934/WEB-INF/lib

2,1G ./log/journal/457f9ec73a36473ab3a70f2a1ebce863

196M ./lib/mysql

189M ./lib/docker/aufs/diff/105ad3b8329fb9264b17543f7d70746b1c330f18523f27cdee5ad3fdff966697/usr/bin

116M ./lib/nvidia

111M ./lib/docker/aufs/diff/105ad3b8329fb9264b17543f7d70746b1c330f18523f27cdee5ad3fdff966697/usr/share/cattle/0e44936b6b56ae4372799b0f48e6e934/WEB-INF/lib

Explicando:

O comando du faz a verificação do uso das pastas em si;
O comando sort faz a ordenação do maior pro menor;
E o comando head mostra os 5 primeiros, pode ser usado qualquer quantidade.

Se alguém tiver dúvidas quanto as opções usadas, basta digitar o nome do comando –help, que terá todas as informações.

Gerar lista de pacotes instalados no Debian, Ubuntu, etc

22 de junho de 2017 sidnei Deixe um comentário

Para gerar uma lista dos pacotes instalados no sistema, poderemos usar o dpkg para isso. Pode ser muito útil na hora de criar sistemas com a mesma base

Gerando lista de pacotes

sudo dpkg --get-selections > install.list

1	sudo dpkg --get-selections > install.list

Instalando pacotes a partir da lista

sudo dpkg --set-selections < install.list
sudo apt-get -y update
sudo apt-get dselect-upgrade

sudo dpkg --set-selections < install.list

sudo apt-get -y update

sudo apt-get dselect-upgrade

Fonte

Limitando e atualizando limites de memória e CPU no docker

13 de junho de 2017 sidnei Deixe um comentário

Bom hoje vamos seguir com nosso aprendizado em docker, já vimos sobre comandos básicos, iniciar servidor apache, exportar e importar containers e agora a dica é bem simples porém muito útil. Toda vez que subimos um container sem colocar limites nos recursos, o container pode usar todo o recurso da máquina fisica, isso nem sempre é bom, seja por onerar o host ou mesmo para testes da sua aplicação. Então vamos as dicas.

Antes da dica, vamos a outra dica :), com o comando docker stats podemos ver o consumo de nossos containers:

Agora vamos as nossas dicas de hoje.

Limitar memória do container

# Para limitar a 512 MEGAS
docker run -it -m 512M ubuntu /bin/bash
#Para limitar a 1 GIGA
docker run -it -m 1G ubuntu /bin/bash
# Verificando a quantidade de memória
docker inspect [container id] |grep -i mem

# Para limitar a 512 MEGAS

docker run -it -m 512M ubuntu /bin/bash

#Para limitar a 1 GIGA

docker run -it -m 1G ubuntu /bin/bash

# Verificando a quantidade de memória

docker inspect [container id] |grep -i mem

Limitar CPU do container

docker run -it --cpu-shares 1024 ubuntu /bin/bash
docker inspect [container id] |grep -i cpu

1 2	docker run -it --cpu-shares 1024 ubuntu /bin/bash docker inspect [container id] \|grep -i cpu

Atualizar limites de container em execução

Alterando limite de memória

docker update -m 256M [container id]

1	docker update -m 256M [container id]

Atualizar limite CPU

docker update --cpu-shares 512 [container id]

1	docker update --cpu-shares 512 [container id]

Sempre lembrando que para pegar o id do container basta executar docker ps.

Iniciando servidor web PHP e Mysql com Docker

31 de maio de 2017 sidnei Deixe um comentário

De uma maneira muito rápida podemos iniciar um servidor web para testarmos aplicações, páginas, sistemas, etc. Para isso precisaremos de duas ferramentas:

Docker
Docker Compose

Vou levar em consideração de já tenha os mesmos instalados, pois cada sistema tem seu próprio gerenciador de pacotes e não vou especificar isso no momento.

Iniciando

DockerFile

Para iniciar criaremos um Dockerfile, para quem não está muito familiarizado pode ver um post com comandos básico do docker aqui. Usaremos uma imagem base do Docker Hub, a tutum/lamp.

FROM tutum/lamp
MAINTAINER PAAS EMAIL <email@site.com>

1 2	FROM tutum/lamp MAINTAINER PAAS EMAIL <email@site.com>

Docker Compose

Agora na mesma pasta iremos criar o arquivo docker-compose.yml. Com o conteúdo abaixo:

Ps: Lembre de verificar se os caminhos dos arquivos estão corretos em seu sistema, pode variar de linux para linux.

dev:
 
  dockerfile: Dockerfile
  volumes:
    - .:/var/www/html
    - /etc/timezone:/etc/timezone
    - /etc/localtime:/etc/localtime
 
  build: .
  expose:
    - "80"
 
  ports:
    - "80:80"

dev:

dockerfile: Dockerfile

volumes:

- .:/var/www/html

- /etc/timezone:/etc/timezone

- /etc/localtime:/etc/localtime

build: .

expose:

- "80"

ports:

- "80:80"

Subindo a aplicação

Subiremos a aplicação com o seguinte comando:

docker-compose up

1	docker-compose up

Basta acessar seu localhost, ou ip de sua máquina que o servidor estará UP. A pasta onde foi criado os arquivos anteriores será a pasta raíz do servidor web. Ao iniciar será gerado uma saída parecido com a abaixo:

Fonte

Monitoramento via TCP no Nagios

28 de abril de 2017 sidnei Deixe um comentário

Hoje vamos dar seguinte a configuração do Nagios que instalamos um tempo atrás.

Iniciaremos por um dos monitramentos mais simples que é o monitoramento via TCP, caso tennha alguns sites e queira monitorar caso algum deles caia, será muito útil.

Bom a estrutura do Nagios é bem simples mas não mostrarei hoje, para melhorar nos organizarmos vamos criar um arquivo de template próprio, dentro da pasta /usr/local/nagios/etc. Aqui no meu caso crei o arquivo templatesNagios.cfg. Já com o template do servico de monitoramento e templates para monitorar linux, windows e hosts de rede.

### Template do serviço de monitoramento de Rede e ICMP
define service{
	name TemplateService
	active_checks_enabled 1
	notifications_enabled 1
	passive_checks_enabled 0
	retain_status_information 1
	is_volatile 0
	max_check_attempts 3
	check_interval 3
	normal_check_interval 5
	retry_check_interval 5
	check_period 24x7
	notification_interval 0
	notification_period 24x7
	notification_options u,c,r
	register 0
}

#### Template "HOST" Windows
define host{
	name TemplateHostWindows
	max_check_attempts 3
	check_interval 5
	retry_check_interval 5
	active_checks_enabled 1
	passive_checks_enabled 0
	check_period 24x7
	retain_status_information 1
	notification_interval 60 ; tempo de envio de alerta
	notification_period 24x7
	notification_options d,u,r
	register 0
}

### Template "HOST" Linux
define host{
	name TemplateHostLinux
	check_command check-host-alive
	max_check_attempts 3
	check_interval 3
	retry_check_interval 5
	active_checks_enabled 1
	check_period 24x7
	retain_status_information 1
	notification_interval 60
	notification_period 24x7
	notification_options d,u,r
}

### Template "HOST" Rede
define host{
	name TemplateHostRede
	check_command check-host-alive
	max_check_attempts 2
	check_interval 5
	retry_check_interval 5
	active_checks_enabled 1
	check_period 24x7
	retain_status_information 1
	notification_interval 60
	notification_period 24x7
	notification_options d,u,r
}

# 'check_tcp' command definition
define command{
	command_name check_tcpNP
	command_line $USER1$/check_tcp -H $HOSTADDRESS$ -p $ARG1$ -w $ARG2$ -c $ARG3$
}

### Template do serviço de monitoramento de Rede e ICMP

define service{

name TemplateService

active_checks_enabled 1

notifications_enabled 1

passive_checks_enabled 0

retain_status_information 1

is_volatile 0

max_check_attempts 3

check_interval 3

normal_check_interval 5

retry_check_interval 5

check_period 24x7

notification_interval 0

notification_period 24x7

notification_options u,c,r

}

#### Template "HOST" Windows

define host{

name TemplateHostWindows

max_check_attempts 3

check_interval 5

retry_check_interval 5

active_checks_enabled 1

passive_checks_enabled 0

check_period 24x7

retain_status_information 1

notification_interval 60 ; tempo de envio de alerta

notification_period 24x7

notification_options d,u,r

}

### Template "HOST" Linux

define host{

name TemplateHostLinux

check_command check-host-alive

max_check_attempts 3

check_interval 3

retry_check_interval 5

active_checks_enabled 1

check_period 24x7

retain_status_information 1

notification_interval 60

notification_period 24x7

notification_options d,u,r

}

### Template "HOST" Rede

define host{

name TemplateHostRede

check_command check-host-alive

max_check_attempts 2

check_interval 5

retry_check_interval 5

active_checks_enabled 1

check_period 24x7

retain_status_information 1

notification_interval 60

notification_period 24x7

notification_options d,u,r

}

# 'check_tcp' command definition

define command{

command_name check_tcpNP

command_line $USER1$/check_tcp -H $HOSTADDRESS$ -p $ARG1$ -w $ARG2$ -c $ARG3$

}

Feito isso precisamos adicionar nosso arquivo de configuração no arquivo /usr/local/nagios/etc/nagios.cfg

cfg_file=/usr/local/nagios/etc/templatesNagios.cfg

1	cfg_file=/usr/local/nagios/etc/templatesNagios.cfg

Agora dentro da pasta /usr/local/nagios/etc/ criaremos a pasta network, onde adicionaremos todos os nossos hosts para monitoramento via TCP. Criaremos em outro momento uma pasta linux e uma windows, ficando muito mais organizada nossas configurações. Também precisamos adicionar esse caminho no arquivo /usr/local/nagios/etc/nagios.cfg

cfg_dir=/usr/local/nagios/etc/network/

1	cfg_dir=/usr/local/nagios/etc/network/

Dentro da pasta network vamos criar nosso primeiro host para monitorar. Vou criar o arquivo sidneiweber.cfg com o conteúdo abaixo. As opções são auto explicativas, mas comentei para facilitar o entendimento.

define host{
	host_name Site_Sidnei ; Nome que irá aparecer no nagios
	use TemplateHostRede ; Template a ser usado. Configura no nosso templatesNagios.cfg
	alias Site Sidnei Weber ; Um alias
	address www.sidneiweber.com.br ; O endereço
	contact_groups admins ; Grupo que receberá os alertas

}

define service{
	use TemplateService ; Template do serviço
	host_name Site_Sidnei ; Nome do seu servidor
	service_description PING-Disponibilidade ; Descrição do Serviço a ser monitorado para o host
	check_command check_ping!100,20%!200,60% ; Plugin e Parametros
	contact_groups admins

}

define service{
	use TemplateService
	host_name Site_Sidnei ; Nome do seu servidor
	service_description HTTP ; Descrição do Serviço a ser monitorado para o host
	check_command check_tcpNP!80!1!2! ; Plugin e Parametros
	contact_groups admins
}

define host{

host_name Site_Sidnei ; Nome que irá aparecer no nagios

use TemplateHostRede ; Template a ser usado. Configura no nosso templatesNagios.cfg

alias Site Sidnei Weber ; Um alias

address www.sidneiweber.com.br ; O endereço

contact_groups admins ; Grupo que receberá os alertas

}

define service{

use TemplateService ; Template do serviço

host_name Site_Sidnei ; Nome do seu servidor

service_description PING-Disponibilidade ; Descrição do Serviço a ser monitorado para o host

check_command check_ping!100,20%!200,60% ; Plugin e Parametros

contact_groups admins

}

define service{

use TemplateService

host_name Site_Sidnei ; Nome do seu servidor

service_description HTTP ; Descrição do Serviço a ser monitorado para o host

check_command check_tcpNP!80!1!2! ; Plugin e Parametros

contact_groups admins

}

Após essa configuração basta verificar se está tudo configurado sem erros com o comando:

/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg

1	/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg

Se não retornar nenhum erro, basta iniciar o serviço do nagios:

/usr/local/nagios/bin/nagios -d /usr/local/nagios/etc/nagios.cfg

1	/usr/local/nagios/bin/nagios -d /usr/local/nagios/etc/nagios.cfg

Caso o serviço já esteja rodando e precise reiniciar, eu faço da seguinte maneira:

# Matando todos os processos nagios
killall nagios
# Iniciando
/usr/local/nagios/bin/nagios -d /usr/local/nagios/etc/nagios.cfg

# Matando todos os processos nagios

killall nagios

# Iniciando

/usr/local/nagios/bin/nagios -d /usr/local/nagios/etc/nagios.cfg

Pronto, primeiro serviço monitorado, e isso pode ser feito com qualquer site ou serviço de ping, uma monitoração simples, mas não deixa de ser um monitoramento.

Script instalação automatizada Nagios no Debian

26 de abril de 2017 sidnei Deixe um comentário

Script para instalação do Nagios e Nagios plugins no Debian baixando o código fonte. Script está funcional, porém pode vir a melhorar.

Retirado de https://github.com/sidneiweber/meu-canivete-suico/blob/master/nagios/instalar-nagios-debian.sh

#!/bin/bash
# instalar-nagios-debian.sh
# Criado por Sidnei Weber

# Variaveis
VERSAO_NAGIOS=4.2.4
VERSAO_PLUGINS=2.1.4
USUARIO=`whoami`

# Verificar se é root
if [ "$USUARIO" == "root" ]
then
	echo "O poder está em suas mãos!"
else
	echo "Você precisa ter poderes de Super Vaca!"
	exit 0
fi

# Verificar internet
clear
echo "Verificando conexão com internet"
curl www.google.com &> /dev/null
if [ "$?" != "0" ]; then
  echo "Sem conexao. Saindo do instalador"
  exit 0
 else
  echo "Conexao ok. Continuando!"
fi

# Instalação das dependencias
echo "Instalando dependencias"
apt-get install wget build-essential apache2 php-gd libgdchart-gd2-xpm libgdchart-gd2-xpm-dev libapache2-mod-php

# Baixando Nagios
# Nagios core
echo "Baixando pacotes do Nagios"
wget -c https://assets.nagios.com/downloads/nagioscore/releases/nagios-$VERSAO_NAGIOS.tar.gz
# Nagios plugins
wget -c https://nagios-plugins.org/download/nagios-plugins-$VERSAO_PLUGINS.tar.gz
# Extrair pacotes
tar -xzvf https://assets.nagios.com/downloads/nagioscore/releases/nagios-$VERSAO_NAGIOS.tar.gz
# Nagios plugins
tar -xzvf https://nagios-plugins.org/download/nagios-plugins-$VERSAO_PLUGINS.tar.gz

# Adicionar usuario e grupo
useradd nagios
groupadd nagios
usermod -a -G nagios nagios
usermod -a -G nagios www-data

# Compilar Nagios
cd nagios-$VERSAO_NAGIOS
./configure --with-command-group=nagios
make all
make install
make install-init
make install-config
make install-commandmode
make install-webconf

# Reiniciar apache
echo "Reiniciando Apache"
service apache2 restart

# Criar usuario e senha para acessar NAGIOS
echo "Escolha uma senha para o usuário nagiosadmin."
htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin

# Compilar plugins
cd ..
cd nagios-plugins-$VERSAO_PLUGINS
./configure --with-nagios-user=nagios --with-nagios-group=nagios
make
make install

# Habilitar CGI no apache
cp -r /etc/apache2/mods-available/cgi.load /etc/apache2/mods-enable/
service apache2 reload

# Verificar configuracao
/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg

# Iniciar instancia
/usr/local/nagios/bin/nagios -d /usr/local/nagios/etc/nagios.cfg

#!/bin/bash

# instalar-nagios-debian.sh

# Criado por Sidnei Weber

# Variaveis

VERSAO_NAGIOS=4.2.4

VERSAO_PLUGINS=2.1.4

USUARIO=`whoami`

# Verificar se é root

if [ "$USUARIO" == "root" ]

then

echo "O poder está em suas mãos!"

else

echo "Você precisa ter poderes de Super Vaca!"

exit 0

# Verificar internet

clear

echo "Verificando conexão com internet"

curl www.google.com &> /dev/null

if [ "$?" != "0" ]; then

echo "Sem conexao. Saindo do instalador"

exit 0

else

echo "Conexao ok. Continuando!"

# Instalação das dependencias

echo "Instalando dependencias"

apt-get install wget build-essential apache2 php-gd libgdchart-gd2-xpm libgdchart-gd2-xpm-dev libapache2-mod-php

# Baixando Nagios

# Nagios core

echo "Baixando pacotes do Nagios"

wget -c https://assets.nagios.com/downloads/nagioscore/releases/nagios-$VERSAO_NAGIOS.tar.gz

# Nagios plugins

wget -c https://nagios-plugins.org/download/nagios-plugins-$VERSAO_PLUGINS.tar.gz

# Extrair pacotes

tar -xzvf https://assets.nagios.com/downloads/nagioscore/releases/nagios-$VERSAO_NAGIOS.tar.gz

# Nagios plugins

tar -xzvf https://nagios-plugins.org/download/nagios-plugins-$VERSAO_PLUGINS.tar.gz

# Adicionar usuario e grupo

useradd nagios

groupadd nagios

usermod -a -G nagios nagios

usermod -a -G nagios www-data

# Compilar Nagios

cd nagios-$VERSAO_NAGIOS

./configure --with-command-group=nagios

make all

make install

make install-init

make install-config

make install-commandmode

make install-webconf

# Reiniciar apache

echo "Reiniciando Apache"

service apache2 restart

# Criar usuario e senha para acessar NAGIOS

echo "Escolha uma senha para o usuário nagiosadmin."

htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin

# Compilar plugins

cd ..

cd nagios-plugins-$VERSAO_PLUGINS

./configure --with-nagios-user=nagios --with-nagios-group=nagios

make

make install

# Habilitar CGI no apache

cp -r /etc/apache2/mods-available/cgi.load /etc/apache2/mods-enable/

service apache2 reload

# Verificar configuracao

/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg

# Iniciar instancia

/usr/local/nagios/bin/nagios -d /usr/local/nagios/etc/nagios.cfg

Emmi Linux – Uma distribuição pequena e leve

24 de março de 2017 sidnei Deixe um comentário

Hoje vou falar um pouco sobre essa distribuição que conheci e acabei me envolvendo no projeto: Emmi Linux. Bom segue palavras do próprio autor do projeto, Jefferson Rocha:

Assim como Debian todas versões serão LTS, com suporte ativo por 5 anos.

Leve, um computador de 1 GB de ram vai rodar muito bem a Emmi, então aquele computador de 2007 vai ser ressucitado e vai ter um novo folego!
O tamanho da iso é muito importante para nós, com apenas 700 mb, o que para as distros de hoje é dificil achar uma iso com este tamanho.

Ambiente totalmente moderno e leve com XFCE.
Não vamos de maneira alguma empurrar pacotes pré instalados, a distribuição vem com a base e alguns utilitarios, o resto o usuário pode moldar como querer do seu jeito, esse é o foco da distro, ou seja sabe aquela porrada de programas muitas vezes que não usamos nem uma parte que vem junto com algumas distribuições? na Emmi não vem.
Boot e poweroff, incrivelmente rápido.

Assim como Debian não incentivamos os usuários a instalar pacotes fora do repositorio, ppa? muito menos.
Pacotes que não tem no Debian nos vamos testar, empacotar e disponibilizar em nosso repositorio. (não temos ainda um repositorio proprio, mas está nos planos já.)

Agora falando em facilidade para usuários novos e leigos, a distribuição tem tudo para ser até mais fácil que o Linux mint, o plano é esse.

Bom de resto é testando para você ver.

Basicamente é isso, nossa proposta é diferente, com tempo tudo se acerta.

Emmi Linux

Realmente o sistema está muito bonito e fluído, vale a pena testar. Em breve postarei um review sobre a distro com mais detalhes.

Link para site: Emmi Linux

Knock SSH – Adicionando uma camada extra de segurança no servidor

21 de março de 201721 de março de 2017 sidnei Deixe um comentário

Hoje vamos falar do Knock, uma ferramenta muito interessante para quem precisar acessar seus servidores remotamente. Bom o que o Knock faz, ele adiciona essa camada a mais da seguinte forma, por exemplo se acessamos nosso servidor pela porta 22 do ssh ela deveria estar liberada. Porém com Knock ela pode estar bloqueada, você acertando uma sequência específica de portas ele irá liberar a porta 22, e somente se acertar a sequencia definida.

No servidor

Precisamos instalar somente um pacote em nosso servidor:

apt-get install knockd

1	apt-get install knockd

O arquivo de configuração fica no /etc/knockd.conf. Eis a configuração padrão que veio no Debian.

Eu alterei para a configuração ficar como no exemplo abaixo, sempre colocando a regra de ACCEPT na primeira linha, pois caso tenha sido bloqueada e seja adiciona no final do arquivo a regra não funcionará.

[options]
        UseSyslog

[openSSH]
        sequence    = 7000,8000,9000
        seq_timeout = 5
        command     = /sbin/iptables -I INPUT 1 -s %IP% -p tcp --dport 22 -j ACCEPT
        tcpflags    = syn

[closeSSH]
        sequence    = 9000,8000,7000
        seq_timeout = 5
        command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
        tcpflags    = syn

[options]

UseSyslog

[openSSH]

sequence = 7000,8000,9000

seq_timeout = 5

command = /sbin/iptables -I INPUT 1 -s %IP% -p tcp --dport 22 -j ACCEPT

tcpflags = syn

[closeSSH]

sequence = 9000,8000,7000

seq_timeout = 5

command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

tcpflags = syn

Após editaremos o arquivo /etc/default/knockd para especificar nossa placa de rede:

START_KNOCKD=1
KNOCKD_OPTS="-i enp0s3"

1 2	START_KNOCKD=1 KNOCKD_OPTS="-i enp0s3"

Feito a configuração reiniciaremos o serviço:

/etc/init.d/knockd restart

1	/etc/init.d/knockd restart

Caso não tenha a porta 22 fechada, vamos fecha-lá. Lembrando que isso deve estar no script firewall do seu servidor.

iptables -A INPUT -p tcp --dport 22 -j DROP

1	iptables -A INPUT -p tcp --dport 22 -j DROP

No cliente

No cliente instalaremos o mesmo utilitário, porém sem precisar fazer as configurações feitas anteriormente.

aptitude install knockd

1	aptitude install knockd

Agora vamos bater nas portas em sequência conforme configurado no nosso servidor (7000, 8000, 9000)

knock 10.0.0.106 7000:tcp 8000:tcp 9000:tcp

1	knock 10.0.0.106 7000:tcp 8000:tcp 9000:tcp

Com as batidas corretamente executadas, podemos verificar o log do nosso servidor e veremos que o foi passado por 3 estágios e após os mesmos estarem corretos, nosso porta 22 foi liberada pelo firewall

Mar 21 15:49:21 server knockd: starting up, listening on enp0s3
Mar 21 15:49:26 server knockd: 10.0.0.103: openSSH: Stage 1
Mar 21 15:49:26 server knockd: 10.0.0.103: openSSH: Stage 2
Mar 21 15:49:26 server knockd: 10.0.0.103: openSSH: Stage 3
Mar 21 15:49:26 server knockd: 10.0.0.103: openSSH: OPEN SESAME
Mar 21 15:49:26 server knockd: openSSH: running command: /sbin/iptables -I INPUT 1 -s 10.0.0.103 -p tcp --dport 22 -j ACCEPT

Mar 21 15:49:21 server knockd: starting up, listening on enp0s3

Mar 21 15:49:26 server knockd: 10.0.0.103: openSSH: Stage 1

Mar 21 15:49:26 server knockd: 10.0.0.103: openSSH: Stage 2

Mar 21 15:49:26 server knockd: 10.0.0.103: openSSH: Stage 3

Mar 21 15:49:26 server knockd: 10.0.0.103: openSSH: OPEN SESAME

Mar 21 15:49:26 server knockd: openSSH: running command: /sbin/iptables -I INPUT 1 -s 10.0.0.103 -p tcp --dport 22 -j ACCEPT

E assim podemos conectar normalmente sem bloqueio nenhum.

root@black:/home/sidnei# ssh sidnei@10.0.0.106
sidnei@10.0.0.106's password:

1 2	root@black:/home/sidnei# ssh sidnei@10.0.0.106 sidnei@10.0.0.106's password:

Fechando a porta

Depois de fazer tudo que era necessário podemos fechar a porta novamente, acertando a sequência de fechamento que também é incluida no nosso arquivo de configuração do servidor.

knock 10.0.0.106 9000:tcp 8000:tcp 7000:tcp

1	knock 10.0.0.106 9000:tcp 8000:tcp 7000:tcp

E a porta será fechada novamente conforme o log nos informa:

Mar 21 15:58:27 server knockd: 10.0.0.103: closeSSH: Stage 1
Mar 21 15:58:27 server knockd: 10.0.0.103: closeSSH: Stage 2
Mar 21 15:58:27 server knockd: 10.0.0.103: closeSSH: Stage 3
Mar 21 15:58:27 server knockd: 10.0.0.103: closeSSH: OPEN SESAME
Mar 21 15:58:27 server knockd: closeSSH: running command: /sbin/iptables -D INPUT -s 10.0.0.103 -p tcp --dport 22 -j ACCEPT

Mar 21 15:58:27 server knockd: 10.0.0.103: closeSSH: Stage 1

Mar 21 15:58:27 server knockd: 10.0.0.103: closeSSH: Stage 2

Mar 21 15:58:27 server knockd: 10.0.0.103: closeSSH: Stage 3

Mar 21 15:58:27 server knockd: 10.0.0.103: closeSSH: OPEN SESAME

Mar 21 15:58:27 server knockd: closeSSH: running command: /sbin/iptables -D INPUT -s 10.0.0.103 -p tcp --dport 22 -j ACCEPT

E era isso, acredito que seja uma camada bem interessante para nossos servidores e o mais importante, não colocando portas padrões na configuração, será muito mais dificil acertar a sequência para poder liberar o ssh.

Fonte

Um forte abraço

Instalando servidor DHCP

6 de março de 20176 de março de 2017 sidnei Deixe um comentário

Definição:

Resumidamente, o DHCP opera da seguinte forma:

Um cliente envia um pacote UDP em broadcast (destinado a todas as máquinas) com uma requisição DHCP (para a porta 67);
Os servidores DHCP que capturarem este pacote irão responder (se o cliente se enquadrar numa série de critérios — ver abaixo) para a porta 68 do Host solicitante com um pacote com configurações onde constará, pelo menos, um endereço IP, uma máscara de rede e outros dados opcionais, como o gateway, servidores de DNS, etc…

Fonte: Wikipedia

Esse seria o desenho dos envios de pacotes de um cliente para um servidor DHCP.

Instalação:

Iremos fazer a instalação do nosso servidor no Debian. Para tal operação iremos instalar o pacote isc-dhcp-server, que substituiu o pacote dhcp-server3.

apt-get install isc-dhcp-server

1	apt-get install isc-dhcp-server

Configurando:

Primeiramente editaremos o arquivo: /etc/default/isc-dhcp-server e colocaremos a placa de rede interna na configuração:

# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACESv4="enp0s8"

# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?

# Separate multiple interfaces with spaces, e.g. "eth0 eth1".

INTERFACESv4="enp0s8"

A configuração básica para o funcionamento é tão simples quanto a instalação. Editaremos o arquivo /etc/dhcp/dhcpd.conf. Acrescentaremos as opções básicas para o funcionamento.

subnet 10.0.0.0 netmask 255.255.255.0 {
        range 10.0.0.100 10.0.0.120;
        option routers 10.0.0.1;
        option domain-name-servers 8.8.8.8;
        option broadcast-address 10.0.0.255;
}

subnet 10.0.0.0 netmask 255.255.255.0 {

range 10.0.0.100 10.0.0.120;

option routers 10.0.0.1;

option domain-name-servers 8.8.8.8;

option broadcast-address 10.0.0.255;

}

Explicando:

Subnet: Iniciaremos uma sub-rede para ceder IP’s.
Range: A faixa de IP’s que será distribuida.
Option Routers: Configura a rota padrão.
Option domain-name-servers: Configura os servidores DNS.Option broadcast-address: Indica o fim da sub-rede.

Alguns outros parâmetros básicos que já vem no arquivo por padrão:

Option domain-name: domínio.

Default-lease-time: Tempo que o servidor verifica se o IP ainda está em uso.

Max-lease-time: Tempo máximo de um IP.

Agora é só salvar o arquivo que editamos e reiniciar o serviço:

/etc/init.d/isc-dhcp-server restart

1	/etc/init.d/isc-dhcp-server restart

Pronto teremos um servidor DHCP dando IP para a nossa rede. Ainda temos algumas opções criar duas redes distintas dentro do mesmo servidor, atrelar IP’s ao Mac Address, negar máquinas que não estejam cadastradas no servidor DHCP, enfim, inúmeros recursos que estudaremos mais adiante.

Obrigado e até a próxima.

Introdução Firewall Iptables – Começando

15 de fevereiro de 201715 de fevereiro de 2017 sidnei Deixe um comentário

Firewall Iptables

Conceito de Firewall:

O firewall é usado basicamente como um meio de proteção. Dividindo a rede que se pretende deixar segura da rede não segura.
Geralmente um firewall é instalado na borta da rede, sendo a entrada e saida dos pacotes da mesma, fazendo a leitura de cada pacote e fazendo o controle do que pode passar para rede interna, ou dando o redirecinamento correto, servindo de filtro.

O iptables é a ferramenta de firewall a nivel de pacotes do linux desde o kernel 2.4 substituindo o ipchains.
Ele se baseia nas regras e parametros passados para fazer a filtragem dos pacotes, ou seja, compara as regras com os pacotes.

Para termos uma segurança maior, incluindo um controle de navegação na rede interna, uma dupla muito usada e que combina muito bem, é a dupla Iptables + Squid. Squid é um proxy de navegação, mas essa solução falaremos em outra oportunidade

Tabelas:

Tabelas são os locais usados para armazenar as chains e conjunto de regras com uma determinada característica em comum. As tabelas podem ser referenciadas com a opção -t tabela e existem basicamente 4 tabelas disponíveis no iptables:
Tabela FILTER: possui cadeias INPUT, OUTPUT, FORWARD
Tabela NAT: possui cadeias PREROUTING, OUTPUT, POSTROUTING
Tabela MANGLE: cadeias PREROUTING, OUTPUT, POSTROUTING, INPUT, FORWARD
Tabela RAW: cadeias PREROUTING, OUTPUT

O que são chains?

As Chains são locais onde as regras do firewall definidas pelo usuário são armazenadas para operação do firewall.

INPUT: aplica regra aos pacotes que chegam ao servidor

OUTPUT: aplica regras aos pacotes de rede originados e que partem do servidor

FORWARD: aplica regras aos pacotes de rede roteados atraves do servidor (para outro servidor ou outra interface do mesmo servidor)

PREROUTING: altera pacotes de rede na hora que chegam e antes do roteamento

POSTROUTING: altera pacotes de rede após o roteamento. Usado para SNAT

Politicas, ações (targets):

ACCEPT: pacote permitido
DROP: descartar pacote
QUEUE: enviar o pacote ao userspace (codigo fora do kernel)
RETURN: descontinuar o processamento do pacote e aplicar a regra padrao a ele
REJECT: Descarta o pacote e envia feedback ao remetente
DNAT: Reescreve endereço de destino (NAT)
SNAT: Reescreve endereço de origem (NAT)
LOG: coloca no log informações sobre o pacte

Estrutura do comando:

Comando principal:

iptables subcomando chain parametro1 valor1 parametron valorn ação

Subcomandos:

-A cadeia – anexa a regra ao final da cadeia
-L [cadeia] lista as regras da cadeia, ou todas caso a cadeia nao seja especificada
-F [cadeia] apaga todas as regras na cadeia
-N cadeia – Lista todas as regras na cadeia
-P cadeia politica – configura a regra padrão da cadeia
-D cadeia linha – apaga uma regra em um posição na cadeia
-X [cadeia] excluiu uma cadeia vazia
-I cadeia linha – insere uma regra em uma posição na cadeia
-Z zera os contadores para todas as cadeias

Parametros, alguns:

-t tabela (filter é a padrao)
-j ação
-p protocolo (especifica o protocolo, icmp, tcp, udp, all)
-s IP (IP de origem do pacote)
-d IP (IP de destino do pacte)
-i interface (nome da interface de rede de entrada do pacote)
-o interface (nome da interface de rede de saida do pacote)
–sport portas (Portas de origem)
–dport portas (Portas de destino)
–syn (identifica nova requisição de conexao)
–icmp-type (tipo de mensagem icmp)

Checagem de estado dos pacotes (state match):

-m state –state OPCAO
NEW cria uma nova conexao
ESTABLISHED pacote que pertence a uma conexao existente
RELATED pacote relacionado mas que nao faz parte de uma conexao existente
INVALID pacote nao pode ser identificado (ex. falta memoria, erro ICMP de conexao nao conhecida)

Extensões:

Extensao TCP
–tcp-flags (ALL, SYN, ACK, FIN, etc)
–source-port ou –sport
–destination-port ou –dport

Extensao UDP
Mesmas opções do TCP

Extensao ICMP
–icmp-type

Outras extensoes
-m limit quando usado em LOG serve para limitar o numero de pacotes escritos durante um certo ponto
–limit valor

Arquivos de logs criados pelo iptables:

Todo tráfego que for registrado pelo iptables é registrado por padrão no arquivo /var/log/kern.log.

Exemplos:

Exibir todas as regras:

iptables -L -n -v

1	iptables -L -n -v

Verificar regras (padrão filter –line-numbers (Exibe linhas))

iptables -L
iptables -S (lista comandos do iptables)

1 2	iptables -L iptables -S (lista comandos do iptables)

Verificar regras tabela nat

iptables -t nat -L

1	iptables -t nat -L

Criando uma regra, DROP em tudo que vai pra porta 123

iptabels -A INPUT -p tcp --dport 123 -j DROP

1	iptabels -A INPUT -p tcp --dport 123 -j DROP

Inserindo uma regra, -I por padrao insere a regra no final
# indicando a linha ja a regra para a posição referente

iptables -I INPUT 1 -p tcp --sport 321 --dport 123 -J ACCEPT

1	iptables -I INPUT 1 -p tcp --sport 321 --dport 123 -J ACCEPT

Substituindo uma regra, parametro -R
# Substitui a regra 1 (no caso do nosso exemplo)

iptables -R INPUT 1 -p tcp --sport 321 --dport 123 -J ACCEPT

1	iptables -R INPUT 1 -p tcp --sport 321 --dport 123 -J ACCEPT

Deletar regra, parametro -D
# remove linha 1

iptables -D INPUT 1

1	iptables -D INPUT 1

# apagar usando sintaxe, usar mesmo sintaxe com parametro -D

iptables -D INPUT -p tcp --dport 80 -j ACCEPT

1	iptables -D INPUT -p tcp --dport 80 -j ACCEPT

Bloquear porta específica
Sainte:

iptables -A OUTPUT -p tcp --dport xxx -j DROP

1	iptables -A OUTPUT -p tcp --dport xxx -j DROP

Entrante:

iptables -A INPUT -p tcp --dport xxx -j ACCEPT

1	iptables -A INPUT -p tcp --dport xxx -j ACCEPT

Ou múltiplas portas:

iptables -A INPUT  -p tcp -m multiport --dports 22,80,443 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sports 22,80,443 -j ACCEPT

1 2	iptables -A INPUT -p tcp -m multiport --dports 22,80,443 -j ACCEPT iptables -A OUTPUT -p tcp -m multiport --sports 22,80,443 -j ACCEPT

Manter registros de Log’s de pacotes bloqueados:

iptables -A INPUT -i eth0 -j LOG --log-prefix "Quantidade pacotes bloqueados:"
iptables -A INPUT -p tcp -dport 21 -j LOG -log-prefix “Serviço: ftp”

1 2	iptables -A INPUT -i eth0 -j LOG --log-prefix "Quantidade pacotes bloqueados:" iptables -A INPUT -p tcp -dport 21 -j LOG -log-prefix “Serviço: ftp”

Os log’s são salvos em /var/log/messages.

Compartilhar internet, parametro ip_forward precisa ser 1, geralemte altera-se no arquivo “/proc/sys/net/ipv4/ip_forward”. Lembrando que a mudança não é permanente, a cada reinicialização deve-se alterar o parâmetro novamente ou quando criar um sript de firewall incluir o comando para alterar o arquivo com o cat.

iptables -A INPUT -m state --state RELATED.ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED.ESTABLISHED -j ACCEPT

1 2	iptables -A INPUT -m state --state RELATED.ESTABLISHED -j ACCEPT iptables -A FORWARD -m state --state RELATED.ESTABLISHED -j ACCEPT

Ip Masquarade

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

1	iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Encaminhamento de portas (Ip forwarding)
Tentando acessar pela interface wan

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.10.10:80
iptables -A FORWARD -p tcp -d 192.168.10.10 --dport 80 -j ACCPET

1 2	iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.10.10:80 iptables -A FORWARD -p tcp -d 192.168.10.10 --dport 80 -j ACCPET

Reject
Descarta pacote e envia um retorno a quem enviou o pacote.

iptables -A INPUT -s 192.168.10.2 -j REJECT --reject-with icmp-net-unreachable
iptables -A INPUT -s 192.168.10.2 -j REJECT --reject-with icmp-host-unreachable
iptables -A INPUT -s 192.168.10.2 -j REJECT --reject-with icmp-proto-unreachable

iptables -A INPUT -s 192.168.10.2 -j REJECT --reject-with icmp-net-unreachable

iptables -A INPUT -s 192.168.10.2 -j REJECT --reject-with icmp-host-unreachable

iptables -A INPUT -s 192.168.10.2 -j REJECT --reject-with icmp-proto-unreachable

entre outras opções do –reject-with

Criar chain

iptables -t filter -N [chain]

1	iptables -t filter -N [chain]

Limpar regras

iptables -t filter -F [CHAIN]

1	iptables -t filter -F [CHAIN]

remover Chain criada pelo usuario, parametro -X
zerar contador, parametro -Z

Alterar regra padrão, o ideal INPUT ser drop por padrão

iptables -P INPUT DROP

1	iptables -P INPUT DROP

Liberar servidor web

iptables -A INPUT -m state --state new -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state new -p tcp --dport 443 -j ACCEPT

1 2	iptables -A INPUT -m state --state new -p tcp --dport 80 -j ACCEPT iptables -A INPUT -m state --state new -p tcp --dport 443 -j ACCEPT

Liberar host especifico

iptabels -A INPUT -s 192.168.1.20 -j ACCEPT

1	iptabels -A INPUT -s 192.168.1.20 -j ACCEPT

Liberar ping (resposta liberada se output esta ACCEPT tbm)

 iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

1	iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Liberar respostas de ping para outras maquinas

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

1	iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

Proteção contra Syn-flood:

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

1	iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Port scanner suspeito:

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

1	iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping da morte:

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

1	iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Salvando e restaurando as regras:

iptables-save > arquivo
iptables-restore < arquivo

1 2	iptables-save > arquivo iptables-restore < arquivo