VirtualBox: Reduzindo imagens VDI

As imagens VDI são dinamicamente expansíveis. Isto é legal, porque é possível criar um arquivo pequeno que vai crescendo a medida que o disco da máquina virtual precisa armazenar mais arquivos. Mas se depois de um tempo você liberar espaço no “disco virtual”, o arquivo VDI não é reduzido.

Para resolver isto, é preciso seguir as seguintes etapas:

1) Zerar os setores não utilizados no sistema de arquivos virtual do arquivo VDI. Se o sistema convidado for Linux, você provavelmente vai encontrar uma solução com o dd. No meu caso, o sistema virtual era o Windows XP, então utilizei o aplicativo ccleaner que, além de remover arquivos desnecessários, possui a opção (em avançado) de preencher com zero o espaço livre.

2) Rode o seguinte programa (na máquina hospedeira):

Aqui consegui reduzir de 5 para 3,8GB o meu arquivo.

Fonte: http://www.vivaolinux.com.br/dica/VirtualBox-Reduzindo-imagens-VDI

Atualizar Openfire

Uma dúvida muito constante dos usuários Openfire é como fazer para atualizarem seu servidor para uma versão mais recente.

Segue então um pequeno howto (adaptado do orginal da Ignite Realtime):

* Pare o Openfire
* Faça um backup do diretório de instalação do Openfire (isso é preciso porque ao abrir o novo .tar.gz ou .zip os dados serão sobreescritos). No meu caso, que mantenho o openfire no /opt, um simples mv /opt/openfire /opt/openfire.old já resolve.
* Backupeie o banco de dados (se você usar o DB interno, isso já foi feito no passo anterior). Se você usa MySQL, por exemplo, um simples mysqldump da base já resolve.
* Abra o .tar.gz ou .zip (isso irá criar um novo diretório openfire, se você moveu o anterior, como eu costumo fazer)
* Copie o diretório conf do backup para a nova instalação.
* Se você usar o DB interno, copie o diretório embedded-db do backup para a nova instalação.
* Copie o diretório enterprise do backup para a nova instalação (se ele existir)
* Copie o diretório plugins do backup para a nova instalação, exceto por _plugins/admin_ (esse passo eu dispenso, e sempre instalo os plugins novamente, já que as configurações e dados dos mesmos estão no DB)
* Copie os arquivos modificados localizados em resources/security do backup para a nova instalação.
* Inicie o Openfire.
*

Voilà. Seu servidor está atualizado e no ar novamente.

FONTE: http://mundoopensource.blogspot.com/2008/08/openfire-como-atualizar-o-servidor-para.html

Esconder versão dos serviços de rede

Escondendo a versão dos serviços que estão rodando em seu servidor para aumentar a segurança Pessoal.

Importante para a segurança de um servidor é esconder a versão de seus serviços para que o invasor não fique procurando uma falha de segurança para aquela versão específica do daemon.

Então vamos ocultar alguns serviços mais utilizados:

Proftpd
=======
Basta adicionar a seguinte linha no proftpd.conf:

ServerIdent on “”

A linha acima informa a versão do serviço como sendo “”, isso quer dizer que será em branco.

Para validar é necessário reiniciar o Proftpd.

SSH
===
Já esse é necessário baixar o fonte do site oficial www.openssh.com/ e compilar : D

Após descompactar, terá um arquivo chamado version.h. Altere o conteúdo da seguinte linha:

#define SSH_VERSION “”

Depois é só compilar normalmente com ./configure, make e make install.

Obs.: O ssh escuta por padrão na porta 22. É altamente recomendável alterar essa porta para qualquer outra porta.

Apache
======
O Apache, assim como o Proftpd, basta apenas acrescentar uma opção em seu conf conforme a linha baixo:

ServerTokens Prod
=================

Necessário reiniciar o serviço também.

Para testar se as versões dos daemons estão ocultadas, use o nmap para verificar conforme o exemplo:

# nmap localhost -sV

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2008-03-05 09:46 BRT
Interesting ports on localhost (127.0.0.1):
(The 1658 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
21/tcp open ftp?
8080/tcp open http Apache httpd
Nmap run completed — 1 IP address (1 host up) scanned in 100.332 seconds

Porque o ssh não apareceu quando utilizados o nmap para varrer as portas da máquina?

Porque foi alterada para uma porta que não está na lista que o nmap utiliza que está em /usr/share/nmap/nmap-services.

Alguns outros programas identificam o tipo de serviço em qualquer porta que seja, mas não saberá a versão do serviço. Um outro programa que pode ser usado é o Nessus para esse tipo de verificação.

Acesso negado – Squid

ACESSO NEGADO: A página não pode ser exibida
<!–BODY{background-color:#ffffff;font-family:verdana,sans-serif}PRE{font-family:sans-serif}–>

ACESSO NEGADO

A página não pode ser exibida


Você não tem permissão para acessar esta URL:
%U
O Servidor de Controle do Nome da Sua Empresa negou a sua requisição,
pois este site infringe regras da Política de Segurança da Informação ou não foi solicitado pelo seu superior.
Em caso de dúvidas entre em contato com o Departamento de Tecnologia da Informação-DTI
E-mail: Seu E-mail.
Ramal: Seu Ramal.

acesso_negado_squid

Apache restrito httpd.conf

# Diretório Restrito

Options Indexes FollowSymLinks Includes
AllowOverride AuthConfig

#Autenticao
AuthName “Acesso ao SARG”
AuthType Basic
AuthBasicProvider “ldap”
AuthLDAPURL “ldap://201.7.197.39:389/dc=topazio,dc=com?uid?sub”
authzldapauthoritative Off
#AuthUserfile /etc/apache2/apache_passwd
require user sweber
#AuthUserfile /etc/apache2/apache_passwd
#require valid-user

Order allow,deny
Allow from all

# Diretorio Install

Options Indexes FollowSymLinks Includes
AllowOverride AuthConfig

AuthName “Acesso ao INSTALL”
AuthType Basic
AuthBasicProvider “ldap”
AuthLDAPURL “ldap://201.7.197.39:389/dc=topazio,dc=com?uid?sub”
authzldapauthoritative Off
#AuthUserfile /etc/apache2/apache_passwd
require user sweber

Order allow,deny
Allow from all

Parâmetros de Inicialização

linux apm=off acpi=off noapic nolapic nopcmcia noapci nosmp pnpbios=off nomce – Se quiser pode substituir
o correspondente por algum destes aqui: (apm=power-off ou noapm) (pci=noacpi) (apci=off ou pci=noapci)

APM – Advanced Power Management: Esse comando de inicialização do x86 desativa o Gerenciador Avançado de Energia. É útil porque algumas BIOS têm erros no gerenciamento de energia e tendem a travar
ACPI – Advanced Configuration and Power Interface: Desliga o recurso, responsável pela configuração e gerenciamento de energia no computador. É usado em notebooks e desktops para, por exemplo, colocar o computador em estado de hibernação. Algumas placas simplesmente têm uma implementação furada da ACPI ou precisam de configuração especial pra funcionar corretamente. Outras placas, por outro lado, precisam do parâmetro acpi=force porque têm problemas se o ACPI não estiver ativado.
APIC – Advanced Programmable Interrupt Controller: É um controlador de interrupções integrado no processador. Esse comando de inicialização do x86 diz ao kernel para não utilizar o chip APIC. Pode ser útil para algumas placas-mãe com um APIC danificado (como o Abit BP6) ou com um BIOS cheio de erros. Sistemas baseados nos chips nForce3 da NVIDIA (como o ASUS SK8N) foram conhecidos por caírem durante a detecção do IDE no momento da inicialização ou por apresentarem outros problemas de interrupção.
PCMCIA – Esse comando ignora qualquer controlador PCMCIA no sistema, que geralmente são de notebook/laptop pelo que sei
NOSMP – Desativa o suporte da placa mãe a multi-processamento e hyperthreading. Algumas placas sequer têm um segundo processador, mas são esquizofrênicas, acreditam que têm e reclamam bem alto se você não concordar com
elas.
PNPBIOS=OFF – Desliga o recurso plug-and-play do barramento ISA. Isso resolve nos casos em que a placa-mãe acha que é uma boa idéia reservar um monte de interrupções para dispositivos não existentes ou interrupções que
deveriam ficar com dispositivos on-board no barramento PCI.