Universidade Tuiuti do Paraná – UTP - Gerds - Universidade Tuiuti ...

Universidade Tuiuti do Paraná – UTPFaculdade de Ciências Exatas e de TecnologiaCursos de ComputaçãoGrupo de Estudos de Redes de Computadores e Sistemas DistribuídosProfessores:Marcelo Soares FariasRoberto Néia AmaralCuritiba, 2008

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXDepois de algum tempo trabalhando ele enviou para a lista de discussão comp.os.minix aseguinte mensagem:“...Você sente saudades dos bons dias do minix-1.1, quando os homens eramhomens e escreviam seus próprios device drivers? Você está sem um bomprojeto e morrendo de vontade de colocar as mãos num sistema operacionalque você possa modificar de acordo com as suas necessidades? Você achafrustrante quando tudo funciona bem no Minix? Sem mais noites em claro parafazer com que um programa funcione? Então esta mensagem pode serexatamente para você. :-)Como mencionei há um mês, estou trabalhando em uma versão livre de umsistema operacional similar ao Minix para computadores AT-386. Elefinalmente alcançou o estágio onde possa ser utilizado ( ou não, dependendodo que você deseja), e eu estou disposto a colocar os fontes disponíveis paraampla distribuição. Ele está apenas na versão 0.02, mas eu tenho executadonele sem problemas programas como bash, gcc, gnu-make, gnu-sed, compress,etc. ...”No dia 5 de outubro de 1991 Linus Torvalds anunciou sua primeira versão oficial do Linux. Desdeentão muitos programadores espalhados pelo mundo têm respondido o seu chamado e contribuído parafazer do Linux o que ele é hoje.Projeto GNUNo início da década de 80, com a crescente popularização do Unix e com as licenças de softwarecada vez mais rígidas, que proibiam a cópia do software, Richard Stallman sentia a necessidadecrescente de soluções de softwares que fossem livres para serem usadas e distribuídas livremente.Ele aspirava por ferramentas como compiladores, editores de textos, utilitários que pudessem serusados em várias máquinas sem que se tivesse que pagar licenças para cada uma delas.Tal frustração resultou na criação do Projeto GNU (GNU is Not Unix) em 1984 e na Free SoftwareFoundation, cujo propósito é criar versões com código livre destas ferramentas .As novas ferramentas desenvolvidas pelo projeto GNU precisavam de um meio que as tornassepermanentemente livres, criou-se então a GPL (GNU Public License), também chamada de “copyleft”(brincadeira em relação à palavra copyrigth).Os programas criados sob a GPL podem ser vendidos, porém qualquer código derivado de códigoGPL, estará automaticamente incluído nesta licença.Geralmente as pessoas confundem o termo “livre” (free) com gatuíto. De acordo com Stallman,Free Software é uma questão de liberdade e não de preço. Software livre, refere-se à liberdade dosusuários de executar, copiar, distribuir, alterar e melhorar o software. Stallman ainda vai mais além,“Mais precisamente, refere-se a quatro tipos de liberdades para os usuários de software:Roberto Amaral – Marcelo Farias Página 317/10/2011

comunidade.Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXLiberdade de executar o programa com qualquer propósito;Liberdade para estudar como ele funciona e adaptá-lo às suas necessidades;Liberdade para redistribuir cópias;Liberdade para melhorar o programa e divulgar as suas melhorias, de forma a beneficiar toda aA GPL regulamenta as liberdades centrais, definindo as condições da cópia distribuição emodificação dos programas. Embora qualquer pessoa possa modificar uma cópia do programa, éobrigatório que:alterados.Exista um aviso, em destaque, em cada arquivo modificado, de que os dados originais foramExista um aviso de que o trabalho distribuído ou publicado deriva totalmente ou em parte doprograma original.Caso o programa seja executado de forma interativa, no início de sua execução deve serapresentada a informação de copyright e de ausências de garantias. Em qualquer caso a licença nãopoderá ser alterada e o usuário sempre deverá ter acesso à mesma, na íntegra. Na distribuição de umsoftware livre no formato de código objeto ou executável, é necessário que esteja disponível o códigofonte. Não é permitida a utilização de partes de um código GPL em um programa proprietário. Oprograma final passará a ser automaticamente GPL.Embora mais popular, a licença GPL não é a única usada no desenvolvimento do Free Software.Bruce Perens, outro aficcionado por software livre formalizou o termo Open Source para se referira qualquer programa que seja registrado sob os critérios do documento Open Source Initiative. Existemoutros tipos de licença Open Source, como:Artistic Licence (Usada pelo criador do PERL, Larry Wall)Apache LicenceGNU Library LicenceAlgumas são muito restritivas a comercialização. Como a GNU, outras são mais liberais como aApache License e a GNU Library License que estabelece um meio termo permitindo que o código GNUpossa ser utilizado comercialmente desde que o seja na forma de biblioteca.Quem é o LinuxO linux pode ser considerado o kernel de um sistemas operacionais livres popular, sendo umsistema do tipo Unix este implementa o padrão POSIX. O Linux é hoje em dia um sistema operacionalcom todas as características do Unix, com uma implantação invejável e em constante evolução e dedomínio público. Normalmente é distribuído em diferentes "releases" que nada mais são do que umnúcleo (recompilável) acompanhado de programas, utilitários, ferramentas, documentação, etc.O Linux é uma versão do sistema operacional Unix, o qual foi anunciado pela primeira vez emnovembro de 1991, desenvolvido por Linus Torvald, 23 anos, estudante de Ciência da computação naUniversidade de Helsinki, Finlândia. Torvald preparou o sistema para rodar em computadores comprocessador Intel de 386 em diante.Roberto Amaral – Marcelo Farias Página 417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXNomenclatura dos Disco em Linux/dev/hda à HD na interface primária mestre/dev/hdb à HD na interface primária escravo/dev/hdc à HD na interface secundária mestre/dev/hdd à HD na interface secundária escravo/dev/sda à SCSI primeiro canal/dev/sdb à SCSI segundo canal/dev/sdc à SCSI terceiro canal/dev/fda à Pendrive na primeira USBCaminhosUm caminho de diretório especifica uma seqüência de diretórios a percorrer para chegar a algumponto na árvore. Todo diretório possui referências (.) e (..).(.) Referencia o diretório corrente(..) Referencia o diretório raiz.(/) é utilizado como delimitador de caminhos.PartiçõesPartições são espaços em disco utilizado como contêiner para os sistemas de arquivos. Exemplo:/dev/hda1 à partição primária de um hd principal/dev/hda2 à partição secundária de hd principalObs: Cada hd pode possuir até 16 partições.Partições PrimáriasContêm o sistema de arquivos e é obrigatóriaPode existir até 4 partições (hda1, hda2, hda3 e hda4)Uma desta deve ser marcada como ativa para o bootPartições EstendidasSão variações da primáriaSó pode existir uma partição EstendidaPor padrão, hda1 é primária e hda2 é secundáriaPartições Lógicas – Trabalham em conjunto com as partições estendidasPodem existir até 11 partiçõesSempre numeradas a partir da 5Exemplo/dev/hda1Roberto Amaral – Marcelo Farias Página 617/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosSistema de Boot / ShutdownCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXO Linux possui dois sistemas de booot – LILO e o GRUB, os quais são responsáveis pelogerenciamento da carga do Sistema Operacional. O LILO e o GRUB, são responsáveis por passar ao Sistemaoperacional, informações de Hardware, esta informação estão em arquivos de configuração.seguindo:Pode ocorrer que o GRUB ou LILO passem informações ao Kernel, através de linha de comando,• Nome_da_imagem_do_kernel parâmetro ou Nome_da_imagem_do_kernel parametro=valor• Exemplo à “#Linux root=/dev/hda6”O Kernel do Linux é modular, permitindo que módulos (ou seja Drivers) possam ser compilados naimagem do Kernel ou carregados somente quando necessário. Em /etc/modules.conf estão as informaçõesenviadas ao Kernel.Durante o boot o Linux executa diversos processos em uma ordem programada chamada de “nívelde execução” ou RunLevel.Utilizando o comando init, pode-se indicar ao Sistema Operacional, qual nível deseja executar.RunlevelDescrição0 Desligamento elegante e rápido do Sistema1 Manutenção do sistema – Monousuário2 Modo multiusuário com compartilhamento desativado3 Modo multiusuário, sem interface gráfica4 Não utilizado5 Modo multiusuário completo6 Reboot do sistemaQuando o Linux inicia, uma série de arquivo são executados apartir do diretório /etc/rc.d• rc.sysinit à fstab (semelhantes)• rc.local à Arquivo usado para carga do sistema, montado pelo administrador• /etc/init.d/ à Diversos scripts para carga do sistema.Roberto Amaral – Marcelo Farias Página 817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXOs níveis de serviços são definidos nos diretório /etc/rc.d. Neste diretório encontra-se o que seráexecutado em cada um dos níveis de serviços. O arquivo /etc/inittab, define o Runlevel padrão.Comandos de boot e Shutdownshutdown [opções] horário [mensagem]• Usado para desligar ou reiniciar a máquina. Opções:-r à Reinicia o sistema-h à Paraliza o sistema-k à Manda mensagem de desligamento-f à Carga rápida no sistema-F à Força a checagem do disco quando inicializarExemplos• #shutdown –r now• #shotdown –r 06:00 “Haverá troca de hardware”• #shodown –h 10Roberto Amaral – Marcelo Farias Página 917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXComandos de manipulação de Sistema de Arquivosfdisk – Utilitário para criar, listar, alterar e apagar partições de disco. Opções:-a à Marca ou desmarca a partição ativa-d à Apaga uma partição. Após deve escolher o número da partição.-n à Adiciona uma partição-p à Mostra a tabela de partiçõesmkfs – Formata a partição criada pelo fdisk. Opções:-c à Verifica a existência de bad blocks-L nome à Configura o nome do dispositivo-n nome à Configura o nome do dispositivo para o MSDOS-q à Trabalha com o mínimo de saída de vídeo-v à Trabalha com o máximo de saídamkswap – Prepara para que seja utilizado como área de memória virtual. Exemplo:#mkswap /dev/hda6df – Mostra a capacidade utilizada de um sistema de arquivos. Opções:-h Mostra informações de forma amigável-i Mostra o número de inodes restantes no disco, ao invés de espaço em discodu – Fornece um lista detalhada sobre a utilização do disco.-a à Mostra todos os arquivos-c à Mostra um total no final da listagem-h à Mostra informações de forma amigável-s à Mostra um sumário do diretório-S à Exclui os subdiretórios da contagemfsck – Checa e corrige erros no sistema de arquivos. Opções-A à Checa todos os discos especificados em /etc/fstab-t à Especifica o tipo de sistema a ser verificadoUsando ext2 pode-se ter as seguintes opções-c à checa os blocos defeituosos-f à Força a checagem-p à Repara automaticamenteRoberto Amaral – Marcelo Farias Página 1017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídos-y à Não perguntas aos usuáriosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXwhich – Localiza um comando no disco. Exemplo:$which httpdfind – Localiza uma expressão recursivamente. Exemplos:$find / -name bash à localiza bash no disco$find / -iname teste à localiza desconsiderando maiúscula e minúsculas$find / -lname apache à localiza links simbólicos$find /home –ctime 30 à Arquivos alterados no 30 dias$find / -used 10 à Acessados nos últimos 10 diasExemplo:locate – Busca arquivos e diretórios em um banco de dados criado com o comando updatedb.$locate passwdupdatedb – Atualiza a bade de dados com o caminho e nome dos arquivos e diretórios do sistemade arquivos. A base de dados fica em /var/lib/slocate/slocate.dbpwd – Informa nome do diretório correntecd - Navega entre diretórios. Após o cd é sempre requerido o espaço (cd /home). SintaxeSimplificaçõesAbreviaçãoSignificado. (ponto) Diretório atual.. (doispontos)Diretório anterior~ (til) Diretório home do usuário/ (barra) Diretório Raiz- (hifem) Útimo diretórioEm brancoSó o comando cd, vai ao diretóriorootls à lista arquivooOpçãSignificado-l Lista os arquivos em formato detalhado-a Lista todos os arquivos incluindo ocultosRoberto Amaral – Marcelo Farias Página 1117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX-r Na ordem alfabética reversa-h Informa o tamanho de forma legível-R Lista subdiretórioscp - Cópia de arquivos e diretórios. Exemplos:$ cp arquivo1 arquivo2$ cp /etc/passwd .$ cp –r ~aluno /rootOpçõesSignificados-i Modo interativo-v Mostra o que está sendo copiado-r Recursivamente-p Preserva os atributos do arquivo-d Preserva os links ao copiar os arquivos-f Força a cópiamv – Move ou renomeia arquivos. Opções:-f à Força a movimentação dos arquivos-i à Pergunta ao usuário antes de moverExemplo$ mv arq1 arq2 à renomeia arquivo$ mv arq1 /tmp à move o arquivorm – Remove arquivos. Opções:-f à Força remoção sem perguntar-R à Remove um diretório e seu conteúdoExemplo$rm arquivo à remove arquivo$rm –Rf documentos à remove o diretório e seu conteúdowhatis – Procura no banco de dados whatis por uma palavra.Exemplo$apropos fscapropos – Procura no banco de dados whatis por partes de uma palavra.Roberto Amaral – Marcelo Farias Página 1217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídosmkdir - Cria diretório. Opções:CURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX-p à cria um diretório “pai” e “filho”-m à cria diretório e já atribui permissõesExemplos$mkdir –p doc/cartas à Cria pai e filho, se pai não existir$mkdir –m 777 doc/mod à Cria mod, com atributo 777rmdir à Remove diretórios do sistema. Opções:-f à Força a operação-r à Remove recursivamentetouch – muda a data e hora de acesso e/ou modificação de um arquivo.Opções:-a à Muda a data e a hora de acesso para a atual-m à Muda a data e a hora de modificação para atual-t datahora à Muda a data e hora para a definida.Exemplos$touch –t 200712031300 arqtee à Recebe dados de uma entrada, grava em arquivo e envia para um saída. Opção:-a à adiciona no final do arquivo ao invés de sobrescreverExemplo:$folha |tee folha.txt | imprime | tee boleto.txt | lpr 2>erros.logO resultado do programa folha é gravado em folha.txt e enviado ao imprime, sendo queredireciona a saída para boleto.txt que é enviado ao lpr e caso apresente erro grava em erros.logDiff à Compara o conteúdo de dois arquivos, exibindo as diferenças. Exemplo:#diff arq1 arq2ln à Estabelece ligações entre arquivosln [-s] Hard Link à Os dois compartilham dadosLink simbólico à A ligação é somente o caminhoSistema de MontagemO Linux armazena as configurações de quais dispositivos deverão ou não serem montados nainicialização do sistema. Este sistema operacional trabalha com vários tipos de sistemas de arquivos.Roberto Amaral – Marcelo Farias Página 1317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXExemplo de Sistema de MontagemMontagem de Sistemas de ArquivosSistema A/dev/hda1/Dois Sistemas de ArquivosSistema B/dev/hda2/bindev home etcbin lib etcSistema A/$mount /dev/hda2 /etcbindev home etcbin lib etcSistema BO Linux mantem um arquivo específico para controle do sistema de arquivo (/etc/fstab). Camposdo /etc/fstab:Dispositivo;Ponto de Montagem;Tipos de Sistemas de Arquivos;Opções de Montagem;Freqüência de Backup;Checagem de Disco;Valores do Campo Opções. Opções de Montagem:async - as operações de E/S são realizadas assincronamente.auto - o sistema pode ser montado durante a inicialização ou pode ser montado com o comandomount -a.defaults - usa as opções padrão: rw, suid, dev, exec, auto, nouser e async.dev - interpreta dispositivos especiais de blocos ou caractere.exec - permite que os programas sejam executados a partir do dispositivo.noauto - não pode ser montado com o comando mount -a (deve ser montado explicitamente).Roberto Amaral – Marcelo Farias Página 1417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXnoexec - não permite que os programas sejam executados a partir do dispositivo.nosuid - não permite o uso dos bits de configuração de identificação de usuário ou de grupo.nouser - não permite que o usuário comum monte o sistema de arquivos.ro - monta o dispositivo para leitura.rw - monta o dispositivo para leitura e gravação.suid - permite uso dos bits de configuração de identificação do usuário e do grupo.user - permite que o usuário comum monte o sistema de arquivos.Freqüência de Backup: define quais sistemas de arquivos devem ser copiados pelo programadump. Este programa examina os arquivos e determina quais arquivos devem ser copiados (backup).Um valor zero significa que o sistema não é examinado pelo programa dump. Um valor 1 significa queserá feito o backup do sistema de arquivos toda vez que o programa dump for executado.Checagem de Disco: define a ordem pela qual os sistemas de arquivos devem ser verificadosdurante o processo de inicialização pelo programa fsck. O sistema raiz (/) deve ter ordem 1 (primeiro aser verificado) e os outros sistemas devem ter valor zero (não é verificado) ou valor maior que 1 (éverificado). É possível especificar um mesmo valor para mais de um sistema de arquivos, isto significaque os sistemas serão checados em paralelo.Ambiente ShellO Ambiente Shell do Linux, assim como do Unix, é uma grande aplicativo, que tem como grandefinalidade, aproximar o usuário do Hardware, ajudando-o a tomar decisões de funcionamente através desuas funcionalidades.Essas funcionalidades nada mais é quem o conjunto de comando disponibilizados pelo Sistemaoperacional. Portanto o Shell, é um interpretador de comandos que analisa o texto digitado na linha decomando e os executam, trabalhando como uma grande interface entre o usuário e o Kernel do Linux.Sendo o Kernel, o verdadeiro Sistema Operacional.Na figura abaixo, é apresentado o esquema de funcionamento do Linux, sendo que ointerfaceamento entre os Aplicativos de usuários e o Kernel é realizado pelo Ambiente Shell. Quanto éinicializado o ambiente gráfico do Linux, não importando qual, este é tratado como aplicativo e ointerpretador de comandos para este ambiente, continua sendo o próprio Ambiente Shell.Roberto Amaral – Marcelo Farias Página 1517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXPrograma de Nível deUsuárioProgramas NormaisKernelChamada de SistemaGerenciamentode SistemaVirtualGerenciamentode MemóriaGerenciamentode ProcessoGerenciamentode Sistema deRedeGerenciamentode SistemaVirtualDrivers TCP/IPDrivers HDDrivers FloppyDrivers EthernetIDE HD IDE Floppy Placa de RedeHardwareExistem vários tipos de ambientes Shell. Os seus diferenciais são, tipos de comandos,quantidades de comandos, funções específicas, tamanhos. Os tipos de Shell são:csh: É a shell mais utilizada em sistemas como *BSD ou Xenix. A sua estrutura de comandos ésimilar á Linguagem C.sh: Ou Bourne Shell é a shell pré-defenida apartir de Unix. Apartir da versão 7 substituindo a tcsh,esta costuma a ser a shell pré-defenida para o root.bash: (Bourne-Again SHell) Muito similar a sh, esta é a shell mais utilizada por contercaracterísticas como: Auto-Complete, podemos personalizar todo o output de uma forma simples,entreoutras....tcsh: Compatível e semelhante a csh.ksh: Considerada a mais popular no sistema Unix, tendo todas as funções do sh. Korn Shell foi aprimeira a introduzir recursos avançados.zsh: Z Shell tem como grande vantagem um enorme interpretador de comandosInterpretador de Comandos (Shell)O Sistema Operacional é o código executor das chamadas de sistemas, as quais sãoencaminhadas pelo Shell ao Kernel, conforme digitação/necessidade do usuário.Os editores, compiladores, montadores, ligadores e interpretadores de comandos não fazem partedo sistema operacional.Roberto Amaral – Marcelo Farias Página 1617/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXPor exemplo, se o usuário digitar o comando date, o shell cria um processo-filho e roda oprograma date, enquanto o processo estiver rodando o shell fica a espera, qual o processo date terminar,ele é excluído da memória e o prompt retorna ao normal.Sempre que um determinado usuário inicializa o ambiente (loga-se), é executado uma shellespecífica para ele. Esta shell nada mais que o ambiente específico para o usuário, o qual encontra-sedefinada em /etc/passwd qual tipo de Shell será inicializado. Neste arquivo pode ser verificado que no oúltimo campo de cada linha do /etc/passwd específica qual é o programa executado quando um usuáriofaz login. Esse programa é habitualmente uma shell, mas não é obrigatório, podendo ser um programaqualquer (ex. leitor de email, programa de monitorização, etc.).Ao ser iniciada em modo de login, a bash executa o script de inicialização do sistema(/etc/profile), e o primeiro script de inicialização que existente na home do usuário é (~/.bash_profileou se não existir o ~/.bash_login ou se não existir o ~/.profile). Quando é feito o logout da shell éexecutado o script de logout (~/.bash_logout).Uma boa dica para o ambiente shell é que os arquivos /etc/rc.local (/etc/rc.d/rc.local), /etc/bashrc,/etc/profile, ~/.bashrc e ~/.bash_profile podem ser usados para iniciar scripts, setar variáveis deambiente, executar programas. Por exemplo se quiser executar um script ou uma linha de comando, tipoIPTABLES, poderia utilizar o arquivo rc.local, este é executado toda vez que a máquina é inicializada, nofinal do processo de boot. Então rotinas de firewall podem ser escritas em um script e ter sua execuçãoapartir do rc.local. O bashrc e profile no /etc/, são arquivos de uso genérico. O bashrc para execução derotinas e o profile para variáveis. Os arquivos .bashrc e .bash_profile, são arquivos individuais de cadausuário, qualquer alteração servirá para o usuário especificado.Exemplo de um ambiente Shell ( Ambiente de linha de comando)Comandos em backgroundEnquanto a shell está executando um comando, não é apresentado um novo prompt, tendo ousuário esperar que o comando acabe para poder ser inserido um novo comando. Este comportamentopode ser alterado, acrescentado um & no final do comando. Neste caso a prompt é apresentada deRoberto Amaral – Marcelo Farias Página 1717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXimediato, ficando o comando a ser executado em "fundo". No entanto todo o output do comandoexecutado continua a ser enviado para a shell. Exemplo: bash$ sleep 10 bash$ sleep 10 &Para visualizar os processos em execução, em background. Exemplo $jobs.O ambiente Shell, sempre mantem um grupo de variáveis de ambiente para poder prestar certasfuncionalidades ao usuários e principalmente para informar ao Kernel de tudo que está ocorrendo noSistema Operacional. O comando set é utilizado para visulizar as variáveis de ambientes usadas peloKernel.Variáveis comuns do ambiente ShellPrompt String 1 (PS1) à Guarda o conteúdo do prompt de comandos para receber instruçõesPrompt String (PS2) à Guarda o conteúdo do prompt para receber múltiplas instruções• \u à nome do usuário• \h à nome do host• \w diretório corrente• \W último elemento do corrente diretório• \d data corrente• \t hora correnteÉ possível também adicionar cores, ao prompt entre outras coisa. Aqui vai um exemplo de uma quecontêm o user@hostname em verde, e o caminho atual azul, e a hora:\[\033[01;32m\]\u@\h\[\033[01;34m\] \w \t \$\[\033[00m\]Roberto Amaral – Marcelo Farias Página 1817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXVisualizar as variáveis de ambientes PS1 e PS2$echo $PATH à lista de dieretórios que contêm os programas que poderão ser executado sem passar nalinha de comando o caminho completo da sua localização.Verificação de caminhosIncluindo novo caminho• $ export PATH=$PATH:/opt/firefox (quando reiniciar ele some)Para alterar ou criar uma variávelUma variável deve ser em caixa ALTAExport à exporta a mesma para o sistemaTrabalhando no ambiente ShellPara utilizar comandos, devem estar no PATHComando possuem opções que são invocadas através da “-” ou “—” e argumentos.Roberto Amaral – Marcelo Farias Página 1917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXUtilização de opções com “- -“Para colocar a PATH definitivamente terá que editar o /etc/profile, ou o ~/.bashrc. No /etc/profile osvalores são para todos os usuários do sistema, no .bashrc será apenas para o usuário que tiver o arquivodentro da sua homedir (como podemos ver no caminho). De notar ainda que é necessário carregar essasalterações: $source /etc/profileTrabalhando no Ambiente ShellEdição do arquivo profileAtalhoDescrição!! Executa o último comando digitado!n Executa o comando na linha n no arquivo .bash_history!textoExecuta o comando mais recente que inicia com texto!?textoExecuta comando mais recente que contém o texto^texto1^texto2Executa o último comando, substituindo o texto 1 pelo texto2Roberto Amaral – Marcelo Farias Página 2017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXAlt+MCtrl+pCtrl+nCtrl+bCtrl+fCtrl+aCtrl+eCtrl+lCtrl+dCtrl+kCtrl+yCtrl+rCtrl+sVai para o início do arquivo .bash_historyDescriçãoVai para o fim do arquivo .bash_historyRecupera os comandos armazenados no arquivo .bash_history de traz parafrenteRecupera os comandos já listados de frente para trazVolta um caractere nos comandos recuperadosAnda um caractere para frente no comandos recuperadosVolta para o início da linha nos comandos recuperadosVai para o fim da linha nos comandos recuperadosLimpa a telaApaga caracteres do texto do cursor até o fim da linhaApaga o texto do cursor até o fim da linha de uma só vezCola o texto apagado pelo comando anteriorProcura comandos que contém um texto apartir do últimoProcura comandos que contém um texto apartir primeiroRoberto Amaral – Marcelo Farias Página 2117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXFiltro de TextoO Linux possui diversas ferramentas para trabalhar e transformar arquivos texto, puros semformatação especial. Estas ferramentas são úteis quando estamos trabalhando com Scripts, Arquivos deConfiguração, Arquivos de Log, etc.RedicionadoresOperadorSignificado> ou 1> redireciona para saída>> redireciona para fim de arquivo< redireciona para a entradaredireciona a saída de erros| redireciona a saída de um comando para a entrada de um outro comandoteeredireciona o resultado para a saída padrão e para um arquivo, deve serusado em conjunto com o "|"ExemplosO comando cat abaixo copia o conteúdo dos arquivos teste1.txt e teste2.txt para o arquivoteste. Caso o arquivo teste não exista, o arquivo é criado. Caso o arquivo teste exista, ele é sobreposto.cat teste1.txt teste2.txt > testeO comando cat abaixo adiciona o conteúdo do arquivo teste3.txt no final do arquivo teste. Caso oarquivo teste não exista, ele é criado.cat teste3.txt >> testeO comando cat abaixo recebe como entrada o arquivo teste.txt e portanto, mostra na tela oconteúdo deste arquivo.cat < teste.txtSuponha que o diretório xxxxx não exista. Então o comando: ls xxxxxx apresentaria umamensagem de erro. Para direcionar a saída de erro deste comando para o arquivo resultado, basta digitar:ls xxxxxx >& resultado ou ls xxxxxx 2> resultadoAbaixo temos três comandos aninhados: primeiro, o comando cat exibe o conteúdo do arquivoteste.txt; segundo, o resultado do comando cat é usado como entrada do comando wc que conta oRoberto Amaral – Marcelo Farias Página 2217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídos$cut –d : -f 1 /etc/passwd$cat /etc/hosts | cut –f 2CURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXexpandTroca a tabulação dentro dos textos pelo número de espaços. Deixa o texto mais fácil sua leitura. Opções• -t número à especifica o número de espaço para o tab.• -i à Converte somente no início das linhas$ expand LEIAME.TXTfmtFormata um texto com uma largura específica. Pode remover ou adicionar espaços. Opções• -w número à Configura a largura desejada para o texto$ fmt –w 50 LEIAME.TXTgrepProcura por linhas/palavras em um arquivo que satisfaça um determinado padrão de busca.• -i ignora maiúscula e minúscula• -c contar quantas coincidências• -l não mostra a linha encontrada• -v Mostra as linhas não coincidentes• -n Mostra a linha dentro do arquivoExemplos• $grep aluno /etc/passwd• $cat /etc/passwd |grep aluno• $cat /etc/passwd |grep aluno |cut –d : -f 5• $cat /proc/net/dev |grep eth0• $ifconfig eth0 |grep packetsheadMostra as primeiras 10 linhas do início de um texto. Opções:• -n número à Configura o número de linhas a ser mostrada$head –n 20 /etc/passwdjoinUnes as linhas de ambos os arquivos que tenham um índice comum. Usado para criar um banco dedados simples. Opções:Roberto Amaral – Marcelo Farias Página 2417/10/2011

DiNi ® ComponentsMedición continua HzMedición únicaTS -M Hz-M,,MODSistema de medición de alturas y distancias 5 Función de mediciónGenerador de señales acústicasSistema de medición de ángulos del DiNi ® 12 TPara determinación electrónica de la dirección horizontal.El sistema de medición absoluta de ángulos permite mediciones únicas o continuascon una precisión de 1 mgrad (5“). EL tiempo que tarda una medición sencillaes normalmente de 0.3 segundos.El sistema de medición de ángulos es desactivado en el modo nivelante y se activaen los modos de estación total y de coordenadas.Para más detalles, ver el capítulo 5.ObjetivoFunciónseñal muy corta:señal corta:Confirma las funciones y las señales de alerta cuando los mensajes de sistemaaparecen.Confirma que una tecla ha sido presionada, Final de una función, por ejemplo, finde una mediciónError de operación, mensaje de sistema, alertaActivación y desactivaciónseñal larga:En el menú principalMemoriaLa memoria permanente del DiNi ®almacena constantes calculadas, modos deoperación, unidades de medición, etcétera, aún después de apagar el aparato.Los datos medidos e información adicional pueden ser almacenados en tarjetasIntercambiables PC (DiNi ® 12 y DiNi ® 12 T) o en la memoria interna (DiNi ® 22).11

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosExemploCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX• Roberto.amaral à arq1• utp.br à arq2• Paste –d’@’ arq1 arq2prFormata um arquivo para uma saída paginada com cabeçalho, margem e largura definida. Colocaautomaticamente o número de página e data. Opções:• -d à espaçamento duplo• -i número à Especifica o número de caracteres na largura• -o número à Especifica o número de espaços da margemExemplo• $pr –l 75 –o 5 /etc/passwdsortOrdena um arquivo: Opções• -b ignora espaços em brancosplitUsado para dividir grandes arquivos em n-arquivos. Opção:• -n à número de linhas que irão dividir o arquivo de entradaExemplo• $split -20 arquivo.txt arquivodesaida.txttacMostra o conteúdo de um ou mais arquivos de trás para frente.Exemplo• $tac arquivo.txttailVisualiza as últimas 10 linhas de um arquivo. Opções:• -n número à Número de linhas finais a ser mostrada• -f à Mostra as últimas linhas do arquivo, enquanto outro processo grava aspróximas linhastrTroca um texto por outro especificado. Não trabalha diretamente com arquivo, portanto deve serutilizado em conjunto com outro comando. Opções:Roberto Amaral – Marcelo Farias Página 2617/10/2011

wcUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosExemploCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX• -d à Apaga as ocorrências das variáveis de busca• -s à Suprime as ocorrências repetidas da variável de busca• $cat arquivo1 | tr a-z A-Z à troca todas as letras de a a z por A a Z.Conta as linhas, palavras e caracteres de um ou mais arquivos. Opções:• -c à Conta o número de caracteres• -l à Conta o número de linhas• -L à conta o número de caracteres da maior linha do arquivo• -w -> Conta o número de palavrasxargsExecuta o comando e passa como argumento o que foi recebido como entrada padrão. Opções:• -p à pergunta se é para executar o comando• -r à Não executa o comando se receber linhas vazias• -t à Mostra o comando na tela antes de executarRedirecionamento e Condutores (PIPE)• Antes de definir PIPE: Entrada padrão (stdin) à Representado por 0 Saída padrão (stdout) à Representado por 1 Saída de erro (stderr) à Representado por 2• Para redirecionar um resultado de uma saída para uma outra é usado o sinal de maior (>) eentrada para entrada o sinal de menor ( saida.txt• Lista os arquivos de um diretório e grava no arquivo saida.txtRedirecionamento e Condutores (PIPE)• Usado por programas ou quando o resultado de um processamento não será observadodiretamente pelo usuário, mas enviado para outro programa, arquivo ou dispositivo.Redirecionamento e Condutores (PIPE)• ExemplosRoberto Amaral – Marcelo Farias Página 2717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX$./folha_pagamento > arquivo1$./folha_pagamento 2 > arquivo_erro.log$./folha_pagamento > arq_ok.log 2> arq_erro.log$./folha_pagamento | imprime 2> erros.logSímbolos Coringa• * à “qualquer coisa” à certi*• ? à Substituir um caractere à ?ertificadoExpressao RegularUma expressão regular é um método formal de se especificar um padrão de texto a ser procuradoem um ou mais arquivos. É uma composição de caracteres com funções especiais que , agrupados entre sicom caracteres literais (A a Z) e números, podem formar uma seqüência, uma expressão que o shell eeditores podem entender e buscar.Expressões regulares são úteis para procurar e/ou validar textos variáreis como:• Número IP• Endereço de e-mail• Dados em colunas• CGC, CPF, RGgrep [opções] expressao arquivo• Filtra linha de um determinado arquivo procurando por um expressão regular como padrão. Ogrep pode ler um ou mais arquivos que são passados como argumentos ou pode receber naentrada padrão o redirecionamento da saída de outro processo.Opções• -c Mostra a contagem da ocorrencia• -h Mostra somente as linha encontradas• -i Procura e ignora maiúscula e minúscula• -v Mostra todas as linhas, menos a ocorrencia• -n Mostra o número das linhas• -B nExemplosls + grepgrep filtrando resultado de ls, listar somente arquivos que contenha "modem" no nome.Roberto Amaral – Marcelo Farias Página 2817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídos• #ls | grep modemCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXtail + grepgrep filtrando resultado de tail nos logs.filtro por IP de origem, exemplo pra monitorar logs do squid, exibir somente os dados do IP192.168.1.53:• #tail -f /var/log/squid/access.log | grep 192.168.1.53Com Squid autenticado, exibir somente os registros do usuário zago• #tail -f /var/log/squid/access.log | grep zagoprocurar somente nas ultimas 1000 linhas• #tail -1000 /var/log/squid/access.log | egrep '(extreme|gator)'tail + grepprocurar em multipos arquivos com multiplos argumentos:• #tail -f /var/log/squid/access.log | grep "palavra1\|palavra2\|palavra3" >> /tmp/loggrep.txt• #tail -f /var/log/squid/access.log | egrep --line-buffered (palavra1|palavra2|palavra3|...|palavran)• #tail -f /var/log/squid/access.log | egrep --line-buffered '(google|globo|uol)'• #tail -f /var/log/squid/access.log | grep "google\|globo\|uol" >> /tmp/loggrep.txtdmesg + grepexemplos de procura no dmesg, dispositivos detectados no boot.Listar tudo que contenha hd• #dmesg | grep hdListar tudo que contenha eth• #dmesg | grep ethDestacar a palavra procurada:• #grep --color palavra /home/zago/guiaz/comandos.txt• #dmesg | grep --color hdps aux | grep processo | grep -v grepcompare os resultados.• #ps aux | grep ssh• #ps aux | grep ssh | grep -v grep• #ps aux | grep ssh | grep -v grep | wc -lListar registos do arquivo /etc/passwd cujo interpretador de comandos de login seja a bash• $ grep "/bin/bash$" /etc/passwdListar apenas o login, o uid e o interpretador de comandos de registos do arquivo /etc/passwd cujashell seja a bashRoberto Amaral – Marcelo Farias Página 2917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX• $ cut -d: -f1,3,7 /etc/passwd | grep "/bin/bash$"• $ grep "/bin/bash$" /etc/passwd | cut -d: -f1,3,7Listar apenas o login, o uid e o interpretador de comandos de registos do arquivo /etc/passwd cujouid esteja entre 10 e 29• $ cut -d: -f1,3,7 /etc/passwd | grep ":[12][0-9]:"#ifconfig eth0 | grep 'end.:' | cut -d " " -f 13#ifconfig eth0 | grep ‘RX' | cut -d " " -f 12Gerenciamento de ProcessosQuando o computador é ligado, o Sistema Operacional Linux, automaticamente irá procurar pelogerenciado de boot. LILO ou GRUB. Após a carga, o Kernel inicia o processo init, sendo este o pai de todos osprocessos e responsável pelo restante do boot do Sistema.Após a carga do boot o init incia o getty, sendo este responsável pela autenticação dos usuários epor iniciar o processo Shell. Cada programa em um Sistema Operacional, é um processo ou um conjunto deprocessos.Processo possuem atributos.• PID à Identificação do processo• UID e GID à Identificação do usuário/grupo que associou o processo• Processo Pai à Nenhum processo é executado de forma independente.• PID à Identificação do Processo PAI• Variável de ambiente à Valores herdados do pai, onde o filho poderá utilizá-lo ou não.• Diretório de Trabalho à Os processos são chaveados a um diretório, onde ocorrerá a leiturade informações.• Temporizadores à Tempos decorridosSinais, são semelhante a interrupção de software. Estes são utilizados para informar ao Kernel, aoutros processos ou mesmo o usuário, sobre qualquer evento adicional que ocorra sobre um determinadoprocesso. Quando um sinal é enviado a um processo, este toma uma determinada ação, dependendo dosinal. No Linux, existem mais de 30 sinais.Sinal Valor AçãoHUP 1Usado quando o usuário fecha uma seçõ e/ou por servidores para invocar a releitura deum arquivo de configuraçãoRoberto Amaral – Marcelo Farias Página 3017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXINIT 2 Interrompe um processo. É enviado quando um processo é abortado com CTRL-CKILL 9 Termina o processo drasticamente. Pode deixar base de dados corrompidasTERM 15 Encerra um processo de forma eleganteTSTP 18 Termina a execução e para continuar depoisControle de ProcessosO Linux permite colocar em 2º plano um processo (Background). Para que o processo execute emsegundo plano, este não pode depender de ações do usuário.Para se colocar um processo em 2º plano basta adicionar o caracter &.#find / -name *.conf > arquivo.txt &Prioridade de ExecuçãoO Linux possui como uma de suas atividades críticas o escalonamento de processo. Esteescalonador é um algoritmo especial que coloca em fila todos os processo em execução e decide qualprocesso irá se executado e durante quanto tempo.O escalonador é o que permite que o computador possa executar mais de um processo emconcorrência, dividindo a CPU em fatias de tempo de execução. A implementação do escalonamento é tãoimportante que ela é o que realmente faz a diferença nos sistemas operacionais modernos.O Linux permite que o usuário interfira na prioridade de execução dos processos liberando mais oumenos tempo de CPU. A lista de prioridades pode ser vista com o comando ps –lax na coluna PRI. Quantomaior a PRIoridade, mais tempo de CPU o processo tem e mais importante ele é.Comandos de Gerenciamento de Processosps [opções]Gera uma lista com todos os processos em execução e seus atributos• -a Mostra os processos em execução de todos os usuários• -u Lista os processos, usuário, donos, e início de execução• -x Lista de processos que não têm terminal associado• -f Lista processos em forma de árvore.# ps –aux• Mostra os processos de todos os usuários, ligados ou não a um terminal, incluindoinformações adicionais.Roberto Amaral – Marcelo Farias Página 3117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXauxf.pstree [opções] [pid/usuário]Mostra toda a árvore de processo desde o init até o último processo em execução. Similar ao os –• -a Mostra a linha de comando utilizada para inicar• -c Desabilita a função de mesclar os processos idênticos no mesmo nível de hierarquia.• -G Usa o formato VT100• -h Destaca os processos ligados ao terminal no exato momento• -p Inclui o PID dos processos na listagempstree –apstree -GcpRoberto Amaral – Marcelo Farias Página 3217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXtop [opções]Mostra os processo em execução, mas atualizando em tempo real.• -b Usado para direcionar a saída a um arquivo• -d n Determina o tempo de atualização• -n num Mostra o número de vezes de atualização• -q Executa atualização em tempo real.• -u Monitora os processos de um determinado usuário• -p Monitora os processos conforme um PID.topO top pode aceitar alguns comandos: Z Muda o esquema de cores.F Adiciona colunas com mais opçõesu Mostra processos de um usuáriok Termina um processor Muda a prioridade de execução de processoR Muda a ordem dos processos de acordo com a utilização da CPUq Sai do modo interativo topkill [-sinal] PIDEnvia sinal para os processos. Usado para terminar a execução de processos.#kill –HUP processo à força a ler o arquivo de configuração# kill -9 processo à termina abruptamenteRoberto Amaral – Marcelo Farias Página 3317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXkillall [-sinal] Nome-do-ProcessoEnvia sinal ao processo pelo nome#killall –HUP httpd#killall -9 sshdjobs [opções] [numero-tarefa]Lista os processo em execução em segundo plano. -l Lista o PID dos processos m segundo planobg [número-da-tarefa]Coloca em segundo plano uma tarefafg [número-da-tarefa]Coloca em primeiro plano uma tarefaniceAjusta o tempo disponível de CPU de um processo para mais ou menos prioridade, sendo que :• Se a prioridade for (-) quer dizer alta• Se a prioridade for (+) que dizer baixa• Se não informado a prioridade, será assumido +10#nice updatedb &• updatedb com menos prioridade• #nice –n -10 folha_pagamento ( Alta prioridade para a folha de pagamento)renice [+/-] ajuste [opção] PID/UsuárioAjusta a prioridade de processos que já estão em execução. (de -20 a +20)• -p Recebe um PID• -u Recebe um usuário• -g Recebe o nome do grupo# renice -1 987 –u deamon root –p 32O processo PID 987, PID 32 e todos os processo do usuário deamon e root terão maisprioridade.Roberto Amaral – Marcelo Farias Página 3417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXRoberto Amaral – Marcelo Farias Página 3517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXSegurança de AcessoNo Linux todo arquivo é provido de um esquema de acesso e permissão, tendo um dono, grupo donoe usuário comum. As Permissões para o grupo não se aplica ao dono e sim aos usuários desse grupo,assim como permissões somente poderão ser dadas pelo Superusuário ou pelo dono do arquivo. Amudança de dono ou dono de grupo só pode ser feita pelo superusuário.As contas dos usuários são gravadas em dois arquivos: /etc/passwd (gerencia os usuários) e/etc/shadow ( gerencia as senhas).No arquivo /etc/passwd são gravados:• Login;• Senha;• User ID ou UID;• Group ID ou GID;• Nome do Usuário;• Diretório Home• Shell.Sendo que o conteúdo do arquivo /etc/passwd é :No arquivo /etc/shadow, as senhas no Linux são criptografadas sobre sistema que não permite autilização de engenharia reversa para decriptografá-las. Mas existem sistemas que comparam pequenasstrings com parte das senhas criptografadas, e estes usando força bruta em processamento, podemobter algum sucesso. Neste arquivo são gravados: Login; Senha; Informação de expiração de conta.Roberto Amaral – Marcelo Farias Página 3617/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXConteúdo do arquivo /etc/shadowPara facilitar a organização dos acessos à arquivos, o Linux utiliza a teoria de grupos de usuários.• /etc/group à gerencia os grupos dos usuários• /etc/gshadow à gerencia as senhas dos gruposGrupo.No arquivo /etc/group são gravados: Nome do Grupo; Senha do Grupo; Group ID ou GID; Membros doConteúdo do arquivo /etc/groupNo arquivo /etc/gshadow, temos a lista de senhas dos grupos.Conteúdo do aruivo /etc/gshadowRoberto Amaral – Marcelo Farias Página 3717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXToda a manutenção de usuários e grupos deve ser feita manualmente com um editor de textochamado VI (vim). A criação das senhas deverão ser realizadas por programa escrito em C ANSI criado ecompilado pelo próprio administrador do servidor.Comandos de Gerenciamento de Segurançaadduser [opções] usuárioOpções :-d diretório : define o diretório home do usuário.-e mm/dd/yy : data de expiração da conta do usuário.-g grupo : especifica o GID do grupo padrão do usuário.-G grupo1[,grupo2, ...] : especifica o GID dos outros grupos aos quais o usuáriopertence.-s shell : especifica o shell padrão do usuário.-u uid : especifica o UID do usuário.A configuração padrão usada pelo comando adduser é definida em /etc/default/useradd e em/etc/login.defs.userdel [-r] usuárioEste comando deleta todas as entradas relacionadas ao usuário especificado nos seguintesarquivos : /etc/passwd, /etc/shadow e /etc/group.O uso da opção -r faz com que o sistema delete o diretório home do usuário.usermod [opções] usuário-d diretório [-m] : cria um novo diretório home para o usuário. A opção -m faz com que odiretório atual do usuário seja movido para o novo diretório.-e mm/dd/yy : altera a data de expiração da conta do usuário.-g grupo : altera o GID do grupo padrão do usuário para o valor especificado.-G grupo1[,grupo2, ...] : define o GID dos outros grupos aos quais o usuário pertence.-l nome : altera o nome de identificação do usuário (o usuário não pode estar logado).-s shell : altera o shell do usuário.-u uid : altera o número de UID do usuário.Este comando altera (se necessário) as entradas relacionadas ao usuário especificado nos seguintesarquivos: /etc/passwd, /etc/shadow e /etc/group.Roberto Amaral – Marcelo Farias Página 3817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXgroupadd [opções] grupo-g gid : fornece a identificação numérica do grupo (GID) sendo criado. O valor padrão é o menorvalor, maior que 500, que ainda não está alocado a outro grupo. Valores entre 0 e 499 sãotipicamente reservados para as contas do sistema.-o : cria o grupo mesmo que já exista outro grupo com o GID especificado (usado em conjuntocom a opção -g).-f : força a criação do grupo. Caso o GID especificado já exista, o sistema escolhe outro valor(usado em conjunto com a opção -g).-r : cria uma conta do sistema. Por padrão, o valor escolhido é o menor valor disponível entre 0 e499, a menos que a opção -g seja usada.groupdel grupoATENÇÃO: deve-se remover os usuários do grupo, antes de apagar o grupo, pois o Linux não faznenhum tipo de verificação.groupmod [opções] grupo-g gid : altera a identificação numérica do grupo (GID).-n nome : altera o nome do grupo.-o : altera o GID do grupo mesmo que já exista outro grupo com o GID especificado (usado emconjunto com a opção -g).ATENÇÃO: arquivos/diretórios com o GID antigo deve ser alterado manualmente. O Linux não fazqualquer tipo de verificação.groups usuárioO uso do comando groups, sem parâmetros, faz com que o sistema informe os grupos dos quaiso usuário é membro.grpconvEste comando migra as senhas criptografadas do /etc/group para o /etc/gshadow. Neste caso,a posição da senha em /etc/group é preenchida com um "x".grpunconvEste comando migra as senhas criptografadas do /etc/gshadow para o /etc/group.Roberto Amaral – Marcelo Farias Página 3917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídospasswd [-u] [usuário]CURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXA opção -u é usada para indicar que a atualização só é efetuada após a data de expiração dasenha atual.O usuário pode alterar a própria senha digitando apenas passwd.O superusuário (root) pode alterar a senha de outro usuário digitando o comando passwd juntocom o nome do usuário.pwconvEste comando migra as senhas criptografadas do /etc/passwd para o /etc/shadow. Neste caso,a posição da senha em /etc/passwd é preenchida com um "x".pwunconvEste comando migra as senhas criptografadas do /etc/shadow para o /etc/passwd.who [opções]-H : mostra o cabeçalho das colunas.-i, -u : após um tempo de acesso, mostra o tempo que o usuário esteve inativo (hh:min). O valor'.' significa que o usuário esteve inativo no último minuto. O valor 'old' significa que o usuárioesteve inativo nas últimas 24 horas.-m : mostra o nome do usuário.-q : mostra os nomes e a quantidade total de usuários conectados.whoamiEste comando é idêntico ao comando: who -m.Gerenciamento de PermissõesCada arquivo e cada diretório está associado a um usuário proprietário e a um grupo proprietário. O donode um arquivo ou de um diretório pode definir quem tem acesso ao arquivo e qual tipo de acesso épermitido (r, w, x). Isto é chamado de permissão de acesso.como:Os níveis de acesso podem ser dados conforme os usuários, sendo que estes usuários são definidos• dono – é a pessoa que criou o arquivo ou o diretório. Somente o dono e o superusuário(root) podem alterar as permissões de acesso dos arquivos.• grupo – é o conjunto de usuários aos quais pertencem o arquivo.• outros – os outros usuários do sistema.Para cada nível de acesso são três os tipos de permissão:Roberto Amaral – Marcelo Farias Página 4017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX– leitura (r) - permite ler o conteúdo de um arquivo/diretório.– escrita (w) - permite alterar um arquivo/diretório.– execução (x) - permite executar um arquivo ou acessar um diretório.Níveis de acessoOctal Binário Letras Descrição0 000 --- sem acasso1 001 --x somente execução2 010 -w- somente escrita3 011 -wx escrita e execução4 100 r-- somente leitura5 101 r-x leitura e execução6 110 rw- leitura e escrita7 111 rwx leitura, escrita eexecuçãoFormatação dos níveis de acessoClasses de acesso a ArquivosRoberto Amaral – Marcelo Farias Página 4117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXClasses de Acesso e Tipos de ArquivosObjeto Leitura (r) Gravação (w) Execução (x)Arquivo Permite ler o conteúdo doarquivo.Permite alterar oconteúdo do arquivoPermite executar oarquivo como umprogramaDiretorioPermite listar o conteúdo dodiretórioPermite criar eapagar arquivos nodiretorioPermite ler e gravararquivos no diretórioPermissões a arquivos e diretóriosOs linux define Classes de Acesso a Arquivos• Dono (u) à o usuário dono do arquivo• Grupo (g) à o grupo a que pertence o arquivo• Outros (o) à usuários que não são donos nem pertencem ao grupo dono.• Todos (a) à todos os usuáriosCaractereSignificado- arquivos comunsdbcldiretóriosdispositivos de blocos (HD, FD)dispositivos de caractere (terminais)links simbólicosTipos de ArquivosTodos os arquivos ou diretórios criados no Linux tem permissão 666 (rw-rw-rw-) e 777 (rwxrwxrwx)respectivamente. Através do comando umask podemos alterar este padrão. umask recebe comoargumento um número inteiro de três dígitos, os quais representam a máscara para permissões do dono,grupo e outros respectivamente.Roberto Amaral – Marcelo Farias Página 4217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXpadrão.Depois de definida a máscara de criação dos arquivos, ela deverá ser subtraída das permissõesExemplo: umask 2727 deverá ser interpretado como 027000 (dono), 010 (grupo) e 111 (outros)Existem 3 tipos de acesso a um arquivo:• Leitura (r - read)• Escrita (w – write)• Execução (x – execute)Se o arquivo é um Script, este deve possuir o direito de leitura e execução. Para se eliminar umarquivo este deve ter o direito de escrita para o arquivo ou diretório.Para visualizar as permissões de um arquivo, pode ser utilizado o comando ls –l.Visualização das permissões/direitos aos arquivosComandos de direitos de acesso a arquivoschown – trocando dono do arquivochown [-f] [-R] dono arquivo-f não reporta erros-R executa o comando recursivamenteExemplochown novodono arquivoRoberto Amaral – Marcelo Farias Página 4317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídoschgrp – Trocando o grupo do arquivoCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX– Obs: O dono pode alterar o usuário grupo deste arquivo desde que seja usuário do novogrupo.– chgrp [-f] [-R] grupo arquivo– Exemplo– Chgrp novogrupo arquivochmod – Ajustando Permissões de Arquivos– chmod string-de-acesso [, ...] arquivo ...– Parâmentros• String-de-acesso à definem que permissões serão dadas• Arquivo à nome dos arquivos• Exemplo:• chmod u+w teste à escrita para o dono• chmod a+w teste à escrita para todoschmod [ugoa][+-=][rwxugost][opções] arquivo...– A combinação das letras ugoa no comando chmod define quais os usuários estão tendo assuas permissões de acesso alteradas:• u = o dono do arquivo;• g = os usuários que são membros do mesmo grupo do arquivo;• o = os usuários que não membros do grupo do arquivo;• a = qualquer usuário do sistema.• Caso não seja especificada a classe dos usuários para os quais se está alterando aspermissões, o sistema usa a opção a (todos os usuários).Deve-se usar, no comando chmod, um operador para especificar o tipo de modificação que se estáfazendo nas permissões:• o operador + provoca a adição das permissões informadas às permissões jáexistentes;• o operador - provoca a remoção de permissões especificadas;• o operador = provoca a redefinição das permissões (semelhante a zerar aspermissões e defini-las novamente).A combinação das letras rwxst no comando chmod especifica as permissões de acesso:• r = leitura.Roberto Amaral – Marcelo Farias Página 4417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídos• w = gravação.CURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX• x = execução (para arquivos) ou autorização de acesso (para diretórios).• u = usar as mesmas permissões já atribuídas ao dono do arquivo.• g = usar as mesmas permissões já atribuídas ao grupo.• o = usar as mesmas permissões já atribuídas a outros.• s = permissão especial de execução de um arquivo ou de acesso a um diretório.– Caso esta permissão seja dada ao dono do arquivo (diretório), a pessoa (comautorização) que executar o arquivo (acessar o diretório), o fará com aspermissões de dono do arquivo (diretório). Este tipo de permissão é conhecidocomo SUID. Por exemplo, se o root possui um programa SUID, esse programaexecutará com privilégios de root, mesmo que tenha sido inicializado por umusuário comum.– Caso esta permissão seja dada ao grupo do arquivo (diretório), a pessoa (comautorização) que executar o arquivo (acessar o diretório), o fará com se fossemembro do grupo a qual pertence o arquivo (diretório). Este tipo de permissãoé conhecido como SGID.• t = permissão especial de execução de um arquivo ou de acesso a um diretório para oresto dos usuários do sistema (não é o dono e não pertence ao mesmo grupo doarquivo/diretório). Este tipo de permissão é conhecida como sticky bit.– Caso esta permissão seja dada a um diretório, o usuário pode criar,alterar eapagar apenas os seus próprios arquivos que estão neste diretório. Porexemplo, o diretório /usr/temp ou /tmp, usado para armazenar arquivostemporários dos usuários do sistema, possui esta permissão.– Caso esta permissão seja dada a um arquivo, o arquivo pode ser compartilhadoentre os vários usuários do sistema.Por exemplo, o comando:chmod ug+rw utp.txtdefine que o arquivo utp.txt pode ser lido (r) e alterado (w) pelo dono (u) e pelos usuários que sãomembros do mesmo grupo (g) do arquivo utp.txt.Um exemplo do comando chmod usando a tabela octalchmod 764 utp.txtRoberto Amaral – Marcelo Farias Página 4517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXNeste exemplo temos permissão de leitura, gravação e execução (7) para o dono do arquivo, temospermissão para leitura e gravação (6) para os membros do grupo do arquivo e permissão de apenas leitura(4) para os outros usuários do sistema.lOctaBinárioDescrição0 000 nenhuma permissão especial1 001 sticky bit2 010 SGID3 011 SGID e sticky bit4 100 SUID5 101 SUID e sticky bit6 110 SUID e SGID7 111 SUID, SGID e sticky bitusando o modo octal para definir as permissões especiais.No comando chmod, as permissões especiais, no modo octal, são definidas antes das permissões dodono, do grupo e do resto dos usuários. Por exemplo:chmod 4760 utp.txtDefine que o arquivo utp.txt é um arquivo SUID (4) com permissões 7, 6 e 0 para o dono, grupo eoutros, respectivamente.Opções usadas no comando chmod:– -v reporta as permissões dos arquivos, inclusive as mudanças de permissões;– -c reporta somente as mudanças de permissões– -R muda permissões de todos os arquivos e diretórios recursivamente dentro da mesmahierarquiaOpções do chmod:– -v reporta as permissões dos arquivos, inclusive as mudanças de permissões;– -c reporta somente as mudanças de permissões– -R muda permissões de todos os arquivos e diretórios recursivamente dentro da mesmahierarquiachmod – Ajustando Permissões de Arquivos– chmod g+w,uo+r-w teste à grupo executa, dono e outros lê e não grava– chmod u=rwx teste à Dono lê, grava e executaRoberto Amaral – Marcelo Farias Página 4617/10/2011

Usando numeralUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX– chmod 400 teste à só o dono lê– chmod 770 teste à grupo e dono lê, grava e executa– chmod 001 teste à outros executamKernel LinuxA medida que o Linux avançou pelos anos e em direção à popularidade, cada versão do Kernel,trouxe um salto em termos dos tipos de dispositivos suportados quanto a novas tecnologias emergentes esuporte a velhas tecnologias “legadas”.Para oferecer suporte a tantos dispositivos de hardware, o Kernel trabalha de duas maneiras.• Código dos drives compilados junto• Carregados posteriormenteQuando o Kernel trabalha com drivers compilados junto, pode-se dizer que este é monolítico. Torna onúcleo mais rápido, mas menos fexível. Qualquer mudança feita no hardware precisa recompilar o Kernel.Quando o Kernel trabalha com drivers carregados posteriormente, o Kernel fica menor, porem todo ocódigo necessário para integrar o hardware necessita ser carregado posteriormente na medida danecessidade.Os arquivos chamado módulos do Kernel são geralmente produzidos a partir de código fonte escritoem C, que são compilados mas não linkados ao executável. Sua extensão normalmente é .o de objeto. Sãodistribuidos junto com o Kernel em C ou binário para ser compilados. Estes são carregados ao Kernel quandoexecutados.Roberto Amaral – Marcelo Farias Página 4717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXPrograma de Nível deUsuárioProgramas Normais.Chamada de SistemaKernelGerenciamentode SistemaVirtualGerenciamentode MemóriaGerenciamentode ProcessoGerenciamentode Sistema deRedeGerenciamentode SistemaVirtualDrivers TCP/IPDrivers HDDrivers FloppyDrivers EthernetIDE HDIDE FloppyPlaca deRedeHardwareLocalização do Kernel em um sistemaOs módulos são disponíveis em forma hierarquica no diretório /lib/modules/versão-do-kernel. Assim, osistema pode comportar diferentes versões de Kernel com diferentes versões de módulos.A versão do Kernel é obtida pelo comando uname –r ou cat /proc/version.Em 2.6, indica que este Kernel possui uma versão 2 e com a sexta correção e melhorias. Em osegundo número, também indica se o Kernel está na sua versão estável (pares) ou em desenvolvimento(impares).Os arquivos binários de um kernel residem:Comandos de manipulação do kernelRoberto Amaral – Marcelo Farias Página 4817/10/2011

lsmod/proc/modulesUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXMostra quais são os módulos disponíveis no Kernel e quais estão sendo utilizados, usa como baseinsmod [opções] moduloCarrega um módulo para dentro do Kernel, fazendo as ligações necessárias entre o núcleo e omódulo. Opções• -f à força a carga de um módulo• -k à Retira um módulo se este não for usado por um período• -L à Previne o Kernel de ler simultaneamente o mesmo módulo• -p à Testa se o módulo pode ser carregado• -s à Redireciona a saída do comando para sysloguso.rmmod [opções] móduloRemove ou descarrega um módulo do Kernel. Isso somente será feito se o módulo não estiver em Opções• w à Se estiver em uso, retira após sua parada• -s à Sua saída padrão é desviada ao syslog• -a à Remove todos os módulos não usados.modinfo [opção] móduloMostra informações sobre um módulo• Opções -a à Mostra o autor-d à Mostra a descrição-l à Mostra a licença-p à Mostra os parâmetrosmodprobe [opções] modulo [parametros]Carrega e descarrega os módulos de forma inteligente no Kernel do Linux. Resolve dependencias deum módulo do Kernel e carrega. Utiliza o conteúdo do arquivo /lib/modules/versão-kernel/modules.dep parasaber as dependencias que um módulo necesita. O modules.dep é gerado pelo comando depmodmodprobe [opções] modulo [parametros]• Opções -C arquivo à Fornece outro arquivo e não modules.confRoberto Amaral – Marcelo Farias Página 4917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX-c à Mostra a configuração do modprobe-n à Verifica a carga e descarga de um módulo-r à Remove um módulo do Kernel-s à Faz a saída para o syslog-f à Força a instalação de um módulo-l à Lista todos os módulos-a à Carrega todos os módulos que tenham uma chave de busca-t diretório à Tenta carregar os módulos de um diretório-v à Mostra detalhes durante a operação do modprobeO modprobe matém um arquivo de configuração chamado /etc/modules.conf, que controla ocomportamento do modprobe e passa parâmetros para os módulos do Kernel.depmod [opções]• Cria uma lista de dependências entre os módulos lendo todos os símbolos que cada móduloem /lib/modules/versão-kernel exporta e necessita para ser carregado.• A lista está em /lib/modules/versao-kernel/modules.dep• Opção-b à busca uma diretório diferenteReconfigurando e Instalando um Kernel• VantagensA imagem é reduzidaUso de memória mais eficienteResolução de problemas de periféricosMelhor performancePrimeiro passo é obter o código fonte do KernelCD-ROMPacotes rpm kernel-source.rpmNo site oficial http://www.kernel.orgNo site de uma distribuiçãoO compilador C da GNU, o gcc, as bibliotecas do compilador e o utilitário make são necessários.Instalando um Kernel (exemplo 2.6.6)• Primeiro passo, é necessário extrair o linux-2.6.6.tar.bz2 no diretório /usr/src. É neste diretórioque os arquivos fonte do núcleo devem residir para serem compilados.Roberto Amaral – Marcelo Farias Página 5017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX• Os distribuidores também utilizam a extensão .sign, que é uma assinatura digital,identificando um Kernel oficial.• Depois de descompactar com bunzip, deve ser aplicado o comando tar, o qual criará umaestrutura de diretório original do fonte do Kernel a partir do diretório linux-número_da_versão.• Deverá ser criado um link simbólico com o nome “linux”• #ln –s linux-2.6.6 linux• Como o sistema possibilita que muitas versões de Kernel sejam instaladas, os fontes do Kernelforam preparados para trabalhar no diretório /usr/src/linux.• É necessário verificar as dependências com:• #cd /usr/src/linux• #make mrproperCustomizando as Opções do Kernel• Customizar, significa que seu Kernel pode ser personalizado conforme seu hardware e asaplicações do Sistema.• São mais 1700 opções em um Kernel, que determinam o processador, gerenciamento deenergia, barramento, formato de executáveis, dispositivos, sistema de arquivos, segurança,criptografia, subsistema de rede, bibliotecas e etc...• Durante a configuração 3 respostas serão possíveis• Compilar esta opção no Kernel. É representada pela letra Y em modo texto ou * naconfiguração por menu.• Compilar esta opção em módulo Kernel. É representada pela letra m de módulo.• Não compilar esta opção. É representada pela letra n na versão modo texto ou [ ] naversão menu.• make config• Cria um arquivo de configuração questionando as configurações para o kernel.• make menuconfig e make xconfig• Ambos criam um arquivo de configuração questionando as configurações do Kernel, mas emambiente de menu e ambiente gráficoRoberto Amaral – Marcelo Farias Página 5117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXINTRODUÇÃO A REDES DE COMPUTADORESInicialmente, os computadores eram máquinas caríssimas que centralizavam em um único pontoo processamento das aplicações de vários usuários, e muitas vezes de toda uma organização. Com aredução de custos do hardware e introdução dos microcomputadores no cenário da informática, a estruturacentralizada cedeu lugar a uma estrutura totalmente distribuída. Nessa estrutura diversos equipamentos dosmais variados portes processam informações de formas isoladas, o que acarreta uma serie de problemas.Dentre os problemas apresentados, destaca-se a duplicação desnecessária de recursos de hardware(impressoras, discos, etc.) e de software (programas, arquivos de dados etc.).Nesse cenário surgiram as redes de computadores, onde um sistema de comunicação foi introduzidopara interligar os equipamentos de processamentos de dados (estações de trabalhos), antes operandoisoladamente com o objetivo de permitir o compartilhamento de recursos.Evolução dos Sistemas de ComputaçãoNa década de 1950, computadores eram máquinas grandes e complexas, operadas por pessoasaltamente especializadas. Usuários enfileiravam-se para submeter suas leitoras de cartões ou fitasmagnéticas que eram processados em lote. Não havia nenhuma forma de interação direta entre usuários emáquina.Avanços na década de 1960 possibilitaram o desenvolvimento dos primeiros terminaisinterativos, permitindo aos usuários acesso ao computador central através de linhas de comunicação.Usuários passavam a ter então um mecanismo que possibilitava a interação direta com o computador, aomesmo tempo em que avanços nas técnicas de processamento davam origem a sistemas de tempocompartilhado (time-sharing), permitindo que várias tarefas dos diferentes usuários ocupassemsimultaneamente o computador central, através de uma espécie de revezamento no tempo de ocupação doprocessador.Mudanças na caracterização dos sistemas de computação ocorreram durante a década de 1970:de um sistema único centralizado e de grande porte, partia-se em direção à distribuição do podercomputacional. O desenvolvimento de minis e microcomputadores de bom desempenho, permitiu ainstalação de considerável poder computacional concentração deste poder em uma determinada área.Embora o custo de hardware de processamento estivesse caindo, o preço dos equipamentoseletromecânicos continuava alto, tornando a interconexão entre os vários sistemas para o uso compartilhadode dispositivos periféricos importante.A capacidade de troca de informações também foi uma razão importante para a interconexão.Usuários individuais de sistemas de computação não trabalham isolados e necessitam de alguns dosbenefícios oferecidos pôr um sistema centralizado. Ambientes de trabalho cooperativos se tornaram umarealidade tanto nas empresas como nas universidades, exigindo a interconexão dos equipamentos.Para solucionar problemas de desempenho, os pesquisadores criaram novas arquiteturas quepropunham a distribuição e o paralelismo como forma de melhorar desempenho, confiabilidade emodularidade dos sistemas computacionais, alem de um sistema centralizado de repositório de informasses,ou melhor, servidores.Roberto Amaral – Marcelo Farias Página 5217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosEvolução das ArquiteturasCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXA maioria dos computadores projetados até a década de 1980 teve sua concepção baseada nosmodelos original de Von Neumann. A interação perfeita entre o modo como os programas são desenvolvidose a maneira como são interpretados foi uma das razões para o grande sucesso de tal modelo.A revolução nos sistemas de computadores começou com os avanços de tecnologia deintegração de circuitos, que reduziram em muito os custos das partes de tais sistemas, onde váriasarquiteturas foram então propostas.Dentre as alternativas apresentadas, podemos citar os Sistemas de UCP única com múltiplasUnidades Funcionais, as Máquinas Pipeline e os Processadores de matriz (Array Processors).A idéia de seqüência múltiplas e independentes de instruções em um sistema composto porvários elementos de processamento compartilhando um espaço comum de memória aparece em uma outraarquitetura (Sistemas de Multiprocessadores) com as seguintes características:• Dois ou mais processadores de capacidade aproximadamente iguais.• Todos os processadores dividem o acesso a uma memória comum.• Todos os processadores compartilham os canais de I/O unidades de controle e dispositivos periféricos.• O sistema total é controlado pôr um único sistema operacional.Por último surgiram os Sistemas de Processamento Distribuídos por Eckhouse 78 como uma”coleção de elementos de processamentos interconectados tanto logicamente quantofisicamente para execução cooperativa de programas de aplicação com controle dos recursosdescentralizado”, o qual é o objetivo deste curso.Em Sistemas Distribuídos, o estado do sistema é fragmentado em partes que residem emdiferentes processadores e memórias, com comunicação entre essas partes sujeita a retardos variáveis edesconhecidos. Em sistemas distribuídos é impossível forçar a simultaneidade de eventos. A mínimainterferência em uma execução de tarefas paralelas vai permitir a obtenção de sistemas de grandedesempenho. A não existência de qualquer elemento sem o qual o sistema para totalmente lhe confere altaconfiabilidade. A possibilidade de utilização em larga escala de um pequeno número de elementos básicosde hardware e software é responsável pelo elevado grau de modularidade do sistema.Embora difícil de caracterizar, a arquitetura de múltiplos processadores tem melhor aplicação emsistemas que exigem grande disponibilidade, grandes requisitos de vazão, tempos de resposta garantidos ebaixos, alto grau de modularidade, e também onde as tarefas podem ser executadas de modo concorrente.Um Sistema Distribuído vai ser formado por um conjunto de módulos processadoresinterligados por um sistema de comunicação. Vemos então que a interconexão de sistemas veio atender aduas necessidades distintas:• Construção de sistemas com maior desempenho e maior confiabilidade• Compartilhamento de recursos.Alguns autores consideram como Sistema Distribuído apenas àqueles construídos para atender aprimeira necessidade, classificando como Redes de Computadores os sistemas construídos com a finalidadeRoberto Amaral – Marcelo Farias Página 5317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXde permitir o compartilhamento de recursos. Outros preferem classificar todos esses sistemas comoSistemas Distribuídos e subclassificá-los em Máquinas de Arquitetura Distribuída e Redes de Computadores.Uma Máquina de Arquitetura Distribuída é composta por um número ilimitado, mas finito demódulos autônomos de processamento interconectados para formar um único sistema, no qual o controleexecutivo global é implementado através da cooperação de elementos descentralizados.Uma Rede de Computadores também é formada por um número ilimitado, mas finito de módulosautônomos de processamento interconectados, no entanto a independência dos vários módulos deprocessamento é preservada na sua tarefa de compartilhamento de recursos e troca de informações.MAS ENTÃO O QUE VEM A SER UMA REDE DE COMPUTADORES?É UM MEIO FÍSICO E LÓGICO DE COMUNICAÇÃO DE DADOS,COMPARTILHADO, O QUAL POSSUI OBJETIVO DE UNIR INFORMAÇÕES ENTRETODOS OS PARCIPANTES DESTE INFODUTO CONTROLADO DE DADOS.“Quando você precisar ir além do computador em cima de suamesa, esta na hora de instalar uma rede local”.Roberto Amaral – Marcelo Farias Página 5417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXClassificação das Redes de ComputadoresAs redes de computadores podem ser classificadas quanto sua abrangência geográfica. Para cadatipo de rede deve existir um tipo de meio de transmissão assim como um tipo de protocolo que fará essacomunicação. Na junção de todas estas idéias, podemos considerar que cada tipo de rede, possuirá suacaracterística particular assim como seus possíveis protocolos de comunicação.TIPOS DE REDESCada tipo de rede tem suas características principais ligadas a sua abrangência, ou seja,a sua capacidade de atendimento em Km.• LAN (Local Area Network) : As redes locais tem uma abrangência limitada por umprédio, uma sala, um campus ou uma fábrica num limite de alguns quilômetros ( 2 a 3Km).• MAN (Metropolitan Area Network) : As redes metropolitanas podem atender uma grandeárea como uma região metropolitana, por exemplo atendida por uma anel de fibras óticasinterligando diversos municípios como se fosse uma infra-estrutura única, com alcancede 30 Km.• WAN (Wide Area Network) : As redes WAN também conhecidas como redes de longadistância podem ser redes nacionais atendendo todo o território como também redesinternacionais interligadas via satélite ou cabos submarinos.Podemos considerar a tabela abaixoRoberto Amaral – Marcelo Farias Página 5517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXTopologia“Topologia para redes de computadores está relacionada como os equipamentos que compõeuma rede são distribuídos em um determinado espaço. Porem esta distribuição não está relacionadasomente a questões físicas, mas sim sobre questões lógicas também.”A Topologia define a estrutura da rede. Há dois pontos na definição de topologia: a topologiafísica, que é o layout real do meio físico de transmissão, e a topologia lógica, que define comoos meios são acessados. As topologias físicas geralmente usadas são barramento, anel, estrela,estrela estendida, hierárquica e malha.• Barramento: usa um único segmento de transmissão, ao qual todos os hosts se conectamdiretamente.• Anel: conecta um host ao próximo e o último host ao primeiro. Isso cria um anel físico docabo.• Estrela: conecta todos ao ponto central, sendo normalmente um hub ou switch..• Estrela estendida: une as estrelas individuais vinculando os hubs/switches.• Hierárquica: forma similar a uma estrela estendida, mas em vez de unir oshubs/switches, o sistema é vinculado a um computador que controla o tráfego natopologia.• Malha: Nesta, cada host tem suas próprias conexões com todos os outros hosts. Issoreflete o projeto da Internet, que possui vários caminhos para qualquer lugar.Roberto Amaral – Marcelo Farias Página 5617/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXA topologia lógica de uma rede é a forma como os hosts se comunicam através dos meios.Os dois tipos mais comuns de topologias lógicas são broadcast e passagem de token.• Broadcast: simplesmente significa que cada host envia seus dados a todos os outros hostsno meio da rede. As estações não seguem nenhuma ordem para usar a rede, a primeira asolicitar é a atendida.• Passagem de token: controla o acesso à rede, passando um token eletrônicoseqüencialmente para cada host. Quando um host recebe o token, significa que esse hostpode enviar dados na rede. Se o host não tiver dados a serem enviados, ele vai passar otoken para o próximo host.Roberto Amaral – Marcelo Farias Página 5717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXDispositivos de RedesOs dispositivos que se conectam diretamente a um segmento de rede são chamados dehosts. Esses hosts incluem computadores, clientes e servidores, impressoras, scanners e muitosoutros dispositivos do usuário. Esses dispositivos fornecem aos usuários conexão à rede, com aqual os usuários compartilham, criam e obtêm as informações.Placas de RedesEm termos de aparência, uma placa de rede é uma placa de circuito impresso que seencaixa no slot de expansão de um barramento em uma placa mãe do computador ou em umdispositivo periférico. É também chamada de placa de rede. Em computadores laptop/notebookas placas de rede são normalmente do tamanho de uma placa PCMCIA.As placas de rede são consideradas dispositivos da camada 2 do modelo OSI, porquecada placa de rede em todo o mundo transporta um código exclusivo, chamado de um endereçoMedia Access Control (MAC). Esse endereço é usado para controlar as comunicações de dadosdo host na rede.Sempre que existir um dispositivo de rede acoplado ao meio de rede, há algum tipo dedispositivo de placa de rede, mesmo que geralmente não seja exibido.AMOCBEAENTS DEREDEPara que computadores funcionem em conjunto em uma rede, são necessários meios detransmissão ou cabos. Os meios de transmissão são utilizados em redes de computadores paraligar as estações entre si, sendo que estes meios diferem com relação à banda passante,Roberto Amaral – Marcelo Farias Página 5817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXpotencial para conexão ponto a ponto ou multiponto, limitação geográfica, imunidade a ruído,custo, disponibilidade de componentes e confiabilidade.Qualquer meio físico capaz de transportar informações eletromagnéticas é passível deser usado em redes de computadores. Os mais comuns utilizados são: o par trançado, o cabocoaxial e a fibra ótica. Sob circunstâncias especiais, radiodifusão, infravermelho, enlaces desatélite e microondas também são escolhas possíveis. As taxas de transmissão desses meios sãomedidas em bits por segundo, ou bps.Cabo coaxialÉ composto de um centro condutivo, envolto por uma camada isolante, e novamente envolto poruma camada condutora. É bastante resistente a interferências. Este possui uma imunidade aruído ótima, e uma fuga eletromagnética mais baixa. Os ruídos geralmente presentes em áreasurbanas e industriais são de baixa freqüência, tornando as transmissões em banda básica maissusceptíveis a eles. Quanto ao custo, o coaxial é mais caro do que o par trançado, assim como émais elevado o custo das interfaces para ligação ao cabo.Para ligar esse tipo de cabo na placa de rede de um computador, é necessário um conector BNCe um T.Vantagens de sua utilização• Baixos custos de manutenção;• Topologia simples de implementar;• Resistência à ruídos e interferências;Desvantagens de sua utilização• Distâncias limitadas;• Baixo nível de segurança;• Difícil de fazer grandes mudanças na topologia da rede.Roberto Amaral – Marcelo Farias Página 5917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXCabo par trançadoEste é composto por dois pares de fios (ou 4 pares ) envoltos por uma camada isolante deforma a reduzir o ruído e manter constante as prioridades elétricas do meio através de todo oseu comprimento. A perda de energia é um parâmetro importante quando se discute não só ataxa máxima de transmissão, mas também a distância máxima permitida, qualquer que seja omeio de transmissão. A perda de energia aumenta com a distância, até chegar um ponto onde oreceptor não consegue mais reconhecer o sinal. A energia pode ser perdida por radiação ou porcalor. Sua desvantagem é a sensibilidade às interferência e ruído. Com o aumento das taxas detransmissão, cabos de par trançado de melhor qualidade foram gradativamente sendoproduzidos. Uma aplicação típica para o par trançado é a ligação ponto a ponto entre terminaise computadores e entre estações da rede e o meio de transmissão. Esse é o mais utilizadoatualmente e, o custo total da rede é maior pelo fato de necessitar de equipamentos extras(como hub, por exemplo). O conector utilizado é o RJ-45.ConectorizaçãoPino 1 Branco do VerdePino 2 VerdePino 3 Branco do LaranjaPino 4 AzulPino 5 Branco do AzulPino 6 LaranjaPino 7 Branco do MarromPino 8 MarromPINOSINAL1 Transmissão -2 Transmissão +3 Recepção -456 Recepção +78Roberto Amaral – Marcelo Farias Página 6017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXFibra ópticaA transmissão em fibra ótica é realizada pelo envio de um sinal de luz. O cabo óticoconsiste em um filamento de sílica ou plástico, por onde é feita a transmissão da luz. Ao redordo filamento existem substâncias de menor índice de refração, que fazem com que os raiossejam refletidos internamente, minimizando assim as perdas de transmissão. Existem três tiposde fibras óticas: as multímodo degrau, as multímodo com índice gradual e as monomodo. Fibrasópticas não estão sujeitas a interferência e transmitem a uma taxa bastante elevada: 100.000Mbps, podendo chegar a 200.000 Mbps.CaracterísticasA fibra óptica é praticamente imune às influências do meio ambiente por onde estápassando. Imunidade total a interferência eletromagnética e interferência por radio-frequência.Não gera campos magnéticos e eletromagnéticos. Insensível a relâmpagos e descargasatmosféricas. Segura mesmo em contacto com condutores de alta voltagem, pois é totalmentedielétrica. Muito segura contra grampeamento (roubo de informações). Suporta grandesdistâncias entre repetidores. Sua aplicação se dá em telecomunicações, é usada para Redes deTelecomunicações e Transmissão de sinais de processamento de dados.Redes de Telecomunicações:- Circuitos de telefonia interurbanos.- Conexões de redes locais (LANs e WANs).- Redes para controle de distribuição de energia elétrica- Redes de transmissão de dados.- Redes de distribuição de sinais de radiodifusão e televisão- Redes de estúdios, cabos de câmeras de televisão.- Redes industriais, em monitoração e controle de processos.- Transmissão de sinais de processamento de dados de computador para computador.- Interligação de circuitos dentro de equipamentos.- Aplicações de controle em geral ( fábricas, maquinários)- Em veículos motorizados, aeronaves, trens e naviosVantagens de sua utilizaçãoDesvantagens de sua utilizaçãoRoberto Amaral – Marcelo Farias Página 6117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXRoberto Amaral – Marcelo Farias Página 6217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXEquipamentos de RedesExistem diversos fabricantes de equipamentos de redes de computadores, porem basicamenteos equipamentos estão classificados em 3 tipos:1. Os que simplesmente repassam as informações (sinais elétricos)2. Os que tratam a informação através dos endereços físicos dos equipamentos3. Os que realizam a operação de encaminhar a informação através de redes lógicasNo grupo 1, que são replicadores de sinais elétricos, trabalhando no nível físico, estão os Hubse RepetidoresNo grupo 2, os equipamentos que realizam a comutação no primeiro nível lógico de uma rede,são os Switch.No grupo 3 , os equipamentos que realizam o roteamento entre redes diferentes, osRoteadores.HUBA finalidade de um hub é gerar os sinais da rede novamente e os retemporizar. Isso éfeito no nível de bit para um grande número de hosts usando um processo conhecido comoconcentração. Essa definição é muito similar a dos repetidores, por essa razão um hub étambém conhecido como repetidor multiportas. A diferença é o número de cabos que seconectam ao dispositivo. Os motivos para se usar os hubs é criar um ponto de conexão centralpara os meios de cabeamento e aumentar a confiabilidade da rede. Aumenta-se a confiabilidadeda rede permitindo qualquer cabo único a falhar sem afetar toda a rede. Isso difere datopologia de barramento onde, se houver uma falha no cabo, toda a rede será afetada. Os hubssão considerados dispositivos da camada 1 porque apenas geram novamente o sinal e otransmite para suas portas.Existem diferentes classificações dos hubs na rede. A primeira classificação é dizer se oshubs são ativos ou passivos. Hubs ativos obtêm energia de uma fonte de alimentação paragerar novamente os sinais da rede. Alguns são denominados dispositivos passivos porquesimplesmente repartem o sinal entre vários usuários, como usando um fio "Y". Os hubs passivosnão geram novamente os bits. Outra classificação é se os hubs são inteligentes ou burros. Oshubs inteligentes têm portas do console, o que significa que podem ser programados paragerenciar o tráfego da rede. Os hubs burros simplesmente aceitam um sinal da rede de entradae o repete em todas as portas sem realizar qualquer gerenciamento.Roberto Amaral – Marcelo Farias Página 6317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXSWITCHUm switch é um dispositivo da camada 2. A diferença entre o hub e o switch é que osswitches tomam as decisões com base nos endereços MAC e os hubs não tomam nenhumadecisão. Devido às decisões que os switches tomam, eles tornam uma LAN muito mais eficiente.Fazem isso "comutando" os dados apenas pela porta à qual o host apropriado está conectado.Os switches, à primeira vista, se parecem com os hubs. Os hubs e os switches têm muitasportas de conexão, uma vez que parte de suas funções é a concentração da conectividade. Adiferença entre um hub e um switch é o que acontece dentro do dispositivo.A finalidade de um switch é concentrar a conectividade, ao mesmo tempo tornando atransmissão de dados mais eficiente. Ele comuta os pacotes das portas de entrada para asportas de saída, enquanto fornece a cada porta a largura de banda completa.RoteadoresO roteador encontra-se na camada de rede OSI, conhecida como camada 3. Tomadecisões com base em grupos de endereços de rede ao invés de endereços MAC individuais. Osroteadores podem também conectar diferentes tecnologias da camada 2, como Ethernet, Token-Roberto Amaral – Marcelo Farias Página 6417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXring e FDDI. No entanto, devido à sua habilidade de rotear pacotes baseados nas informaçõesda camada 3, os roteadores se tornaram o backbone da Internet, executando o protocolo IP. Afinalidade de um roteador é examinar os pacotes de entrada (dados da camada 3), escolher omelhor caminho para eles através da rede e depois comutar os pacotes para a porta de saídaapropriada. São dispositivos de controle de tráfego mais importantes nas grandes redes.Permitem que qualquer tipo de computador se comunique com qualquer outro computador emqualquer parte do mundo.Sistema de EndereçamentoDevemos considerar que existem dois tipos de endereçamento dentro de uma rede, oumelhor, uma máquina pode assumir 2 tipos de endereços. Os endereços físicos, que sãoatribuídos pelos fabricantes de placas de redes e os endereços lógicos (IP) atribuídos peloadministrador de redes.Protocolo IPO protocolo IP foi projetado tendo como principal objetivo a ligação inter-redes. Por istoele é considerado como elemento integrador da Internet, através dele é possível a conexão dediversas sub-redes. A Internet é composta de diversos backbones construídos através linhas dealtas velocidades de diversos tipos de tecnologia. A cada um destes backbones estãoconectadas várias redes locais de muitas outras instituições cada uma com suas característicasde sub-rede. Em muitas empresas é comum utilizar o IP, e outros protocolos de sua família,para interligar computadores de tecnologia diferentes.Endereçamento IPIdentificadores UniversaisDiz-se que um sistema provê um serviço de comunicação universal quando é possível aquaisquer dos elementos deste sistema se comunicar arbitrariamente. Para tornar um sistemade comunicação universal, devemos estabelecer um método globalmente aceito paraRoberto Amaral – Marcelo Farias Página 6517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXidentificação dos componentes a ele conectados. Nas redes TCP/IP, a entidade que atua comoidentificador universal é o endereço IP, um número de 32 dígitos binários. A idéia básica deseus mentores era a de tornar o roteamento simples e eficiente.As três Classes Primárias de EndereçoA Internet é uma gigantesca rede de computadores como qualquer outra rede física. Agrande diferença, entretanto, está no fato de que a Internet é uma estrutura virtual, concebidapor seus desenhistas e implementada inteiramente em software. Assim, os projetistas tiveramliberdade de arbitrar o tamanho e formato dos pacotes, endereços, técnicas de roteamento, etc.Na questão do endereçamento, cada host é atribuído um número inteiro que será seu endereço- no caso o endereço IPCada endereço IP possui 32 bits, que se divide em duas partes: uma primeira queidentifica a rede a qual esse computador está logicamente conectado e uma segunda parte queidentifica o computador propriamente dito. Observe que todas as máquinas conectadas a umamesma rede irão compartilhar essa primeira parte, que se convencionou chamar net id(identificador da rede). Analogamente, à segunda porção do endereço IP é o host id(identificação da máquina).Em termos práticos, cada endereço IP deverá estar contido em uma das cinco categorias.A classe de um endereço pode ser identificada através do exame dos quatro bits de mais altaordem, sendo que as três classes básicas (A, B e C) podem ser distinguidas apenas pelos doisprimeiros. A classe A, usada para um pequeno número de redes que contêm mais de 65.535hosts, reserva 7 bits para o net id e 24 bits para o host id. Os endereços da classe B se destinama redes de tamanho intermediário (entre 256 e 65535 máquinas) e reservam 14 bits para o netid e 16 bits para o host id. Finalmente, a classe C, apropriada para pequenas redes, aloca 21bits para o net id e apenas 8 bits para o host id. Observe que os endereços IP são estruturadosde forma a permitir uma rápida extração da identificação da rede (net id) e da máquina a elaconectada (host id). Os gateways dependem da extração eficiente do net id para realizar oroteamento dos pacotes IP.Roberto Amaral – Marcelo Farias Página 6617/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXEndereço de uma rede e Endereço de Difusão (Broadcast)Por convenção, um host id 0 nunca é atribuído a uma máquina. Ao invés disso, esseendereço com os bits do host id todos zerados irá se referir à rede propriamente dita. Oendereçamento IP permite que se faça referência a todos os hosts de uma determinada redeatravés do chamado endereço de difusão. Um endereço de broadcast é aquele em que os bits dohost id são todos 1. Nem todas as redes suportam a difusão, algumas irão precisar deimplementação de software e outras não permitirão esta facilidade.Difusão localO endereço de difusão permite que um sistema remoto mande um pacote para todos osnós de uma determinada rede. Do ponto de vista do endereçamento, a desvantagem desteesquema é que ele requer o conhecimento do endereço de rede. Outra forma de endereço dedifusão é chamada endereço de difusão limitada ou endereço de difusão local. Este endereçoconsiste de 32 bits iguais a 1. Esse mecanismo possibilita a referência a todas as máquinas deuma rede local sem que os endereços IP reais sejam conhecidos.Endereços de referência à própria rede e ao próprio host.Campos de endereço preenchidos somente com 1's indicam "todos". Um endereço com32 bits 1, indica todas as máquinas desta rede e um endereço com todos os bits do host idiguais a 1 indica todas as máquinas de uma determinada rede (especificada no net id).Analogamente, campos preenchidos com 0's são geralmente interpretados como significando"este". Assim, um endereço com 32 bits 0, indica o próprio host (este host) e um endereço comtodos os bits do net id iguais a zero, se refere à rede local (esta rede).Endereço de MulticastMuitas tecnologias de rede contêm mecanismos que permitem o envio simultâneo depacotes a múltiplos destinatários. Em redes de barramento (como a Ethernet) isso pode seralcançado com o envio de um único pacote (capturado por todos os hosts). Em outrastopologias, com conexões ponto-a-ponto, esse pacote deverá ser replicado para alcançar todosos hosts.Algumas redes suportam um segundo tipo de comunicação ponto multi-ponto, conhecidocom multicast. Ao contrário do broadcast, a técnica de multicast permite que cada host"escolha" se deseja ou não participar daquele "canal". Quando um grupo de máquinas decide secomunicar, elas selecionam um endereço de multicast que será, então, o seu canal decomunicação.Na Internet, quando um determinado grupo de máquinas deseja criar um grupo demulticast, elas devem todas "sintonizar", isto é, configurar suas interfaces para receber pacotesRoberto Amaral – Marcelo Farias Página 6717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXenviados para um mesmo endereço. Esse endereço deverá pertencer à Classe D. Assim, cadaendereço entre 224.0.0.0 e 239.255.255.255 (mais de 268 milhões de alternativas!) pode serusado como multicast.A idéia é que hosts podem, a qualquer momento, conectar-se ou desconectar-se de umgrupo de multicast. A técnica de multicasting traz como vantagem sobre a difusão, uma melhorseletividade. Isto é, os dados somente serão enviados aos hosts necessários.Notação DecimalNúmeros de 32 bits não são facilmente manipuláveis por seres humanos, e mesmoaplicação não tratam diretamente com este tipo de representação. Uma forma mais fácil derepresentar endereços IP é a de particioná-lo em quatro octetos convertidos para a notaçãodecimal e separados por pontos.Desta forma, o binário11000000 11000110 00001011 10000001passa a ser tratado como192.198.11.129Pode-se também atribuir nomes alfabéticos a hosts, facilitando ainda mais suamemorização. Esta tradução é apoiada por um protocolo específico que atua sobre uma imensabase de dados distribuída conhecida como Domain Name System (DNS).Por questões de simplificação pode-se representar um endereço IP de 32 bits agrupando-os emgrupos de 8 bits e representando estes grupos em valores decimais. Por exemplo o endereço11001000100010011000001100000010 representado em forma de ponto decimal seria 200.137.131.2.Classe A 1.0.0.0 até 127.255.255.255Classe B 128.0.0.0 até 191.255.255.255Classe C 192.0.0.0 até 223.255.255.255Classe D 224.0.0.0 até 239.255.255.255Classe E 240.0.0.0 até 247.255.255.255Classes de Endereços representados sobe forma decimalEndereço de LoopbackRoberto Amaral – Marcelo Farias Página 6817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXO endereço 127.0.0.0 é reservado à aplicação de loopback. Isto é, qualquer pacoteenviado a este endereço não deve trafegar na rede, mas retornar ao próprio remetente (istoequivale a dizer que o pacote retornará da própria interface de rede do host). O endereço deloopback ou localhost se presta a testes e comunicação entre processos que rodam numamesma máquina.Resumo EspeciaisEndereçamento de Sub-RedeUma técnica que permite que se partilhe um mesmo endereço de rede entre diversasredes é o endereçamento de sub-rede. Vamos imaginar uma instituição a qual foi atribuído umendereço classe C mas que possui diversas redes interconectadas em suas instalações. Comopartilhar este endereço entre estas diversas redes? A adição de sub-redes implica uma novasubdivisão do endereço IP. O sufixo designador do host (host id) é dividido em duas partes: aprimeira designará uma sub-rede, e a segunda um host.O problema básico que surge quando realizamos esta nova divisão é que o esquema convencional deroteamento, que procura extrair a porção que designa a rede, deixa de funcionar. Para suplantar estadificuldade, introduz-se no sistema de roteamento uma nova entidade: a máscara de sub-rede. Amáscara de sub-rede é um número de 32 bits que permite a extração de sua "porção de rede". Isto é, elepossui bits 1 nas posições correspondentes a esta "porção de rede". Para uma rede classe C sem sub-redes amáscara seria:11111111 11111111 11111111 00000000255.255.255.0que em notação decimal corresponde a:Roberto Amaral – Marcelo Farias Página 6917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosNomenclatura das interfaces no LinuxCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXUm sistema Linux pode ter várias interfaces, cada uma com um endereço de Protocolo deInternet (IP) diferente. As interfaces podem ser de diferentes tipos, incluindo:• Loopback: lo• Ethernet: eth0, eth1, . . .• Wi-Fi: wlan0, wlan1, . . .• Token Ring: tr0, tr1, . . .• PPP: ppp0, ppp1, . . .Definindo configuraçõesAs ferramentas de configuração de rede de baixo nível tradicionais nos sistemasGNU/Linux são os programas ifconfig e route que vêm no pacote net-tools. Essas ferramentasoficialmente foram superadas pelo ip que vem no pacote iproute. O programa ip funciona noLinux 2.2 e superiores e é mais capaz que as ferramentas antigas. Entretanto, as ferramentasantigas ainda funcionam e são mais familiares a muitos usuários.# ifconfig argumentos ( Usado para exibir e configurar uma interface de rede)# route ( Usado para exibir e configurar a tabela de roteamento)Exemplo:Mudando o endereço IP da interface eth0 de 192.168.0.3 para 192.168.0.111 e tornando eth0como rota para a rede 10.0.0.0 via 192.168.0.1.Executando ifconfig e route sem argumentos de interface, vamos exibir o estado atual de todasas interfaces de rede e roteamento.# ifconfigeth0 Link encap:Ethernet HWaddr 08:00:46:7A:02:B0 inet addr:192.168.0.3Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICASTMTU:1500 Metric:1RX packets:23363 errors:0 dropped:0 overruns:0 frame:0TX packets:21798 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:100RX bytes:13479541 (12.8 MiB) TX bytes:20262643 (19.3 MiB)Interrupt:9lo Link encap:Local Loopbackinet addr:127.0.0.1 Mask:255.0.0.0Roberto Amaral – Marcelo Farias Página 7017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXUP LOOPBACK RUNNING MTU:16436 Metric:1RX packets:230172 errors:0 dropped:0 overruns:0 frame:0TX packets:230172 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:0RX bytes:22685256 (21.6 MiB) TX bytes:22685256 (21.6 MiB)# routeKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface192.168.0.0 * 255.255.0.0 U 0 0 0 eth0default 192.168.0.1 255.255.255.255 UG 0 0 0 eth0Desativando a interface eth0:# ifconfig eth0 inet downConferindo:# ifconfig# routeAtivando a interface com o novo endereço IP e novo roteamento.# ifconfig eth0 inet up 192.168.0.111 netmask 255.255.0.0 broadcast 192.168.255.255# route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.0.1 dev eth0Para vermos o resultado:# ifconfigeth0 Link encap:Ethernet HWaddr 08:00:46:7A:02:B0inet addr:192.168.0.111 Bcast:192.168.255.255 Mask:255.255.0.0UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1...lo Link encap:Local Loopbackinet addr:127.0.0.1 Mask:255.0.0.0# routeKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface192.168.0.0 * 255.255.0.0 U 0 0 0 eth010.0.0.0 192.168.0.1 255.0.0.0 UG 0 0 0 eth0#ipUsado para exibir e configurar uma interface de rede.Roberto Amaral – Marcelo Farias Página 7117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosUso:ip argumentosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXOs equivalentes para o ip dos comandos ifconfig e route anteriores são:• ip link show• ip route list• ip link set eth0 down• ip addr del dev eth0 local 192.168.0.3• ip addr add dev eth0 local 192.168.0.111/16 broadcast 192.168.255.255• ip link set eth0 up• ip route add dev eth0 to 10.0.0.0/8 src 192.168.0.111 via 192.168.0.1O programa ip mostra sua sintaxe de comando quando executado com o argumento help.Por exemplo, ip link help mostra:Usage: ip link set DEVICE { up | down | arp { on | off } | dynamic { on | off } | multicast { on |off } | txqueuelen PACKETS | name NEWNAME | address LLADDR | broadcast LLADDR | mtuMTU }ip link show [ DEVICE ]Configurando uma interface Wi-FiO programa iwconfig, que vem no pacote wireless-tools, é usado para interfaces Wi-Fi,juntamente com o ifconfig ou ip.Configurando uma interface com um endereço IP estáticoSuponha que você quer configurar uma interface Ethernet que tem um endereço IP fixo192.168.0.123. Esse endereço começa com 192.168.0 então deve estar em uma LAN. Suponhatambém que 192.168.0.1 é o endereço do gateway da LAN para a Internet. Edite o arquivo/etc/network/interfaces de forma que inclua uma entrada como essa:iface eth0 inet staticaddress 192.168.0.123netmask 255.255.255.0gateway 192.168.0.1Se você tiver o resolvconf instalado então pode adicionar linhas que especifiquem informaçãode DNS. Por exemplo:iface eth0 inet staticaddress 192.168.0.123Roberto Amaral – Marcelo Farias Página 7217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídosnetmask 255.255.255.0gateway 192.168.0.1dns-search meudominio.orgCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXdns-nameservers 195.238.2.21 195.238.2.22Depois que a interface foi levantada, os argumentos das opções dns-search e dns-nameserversse tornam disponíveis para o resolvconf para inclusão no arquivo resolv.conf. O argumentomeudominio.org da opção dns-search corresponde ao argumento de uma opção search emresolv.conf(5). Os argumentos 195.238.2.21e 195.238.2.22 da opção dns-nameservers corresponde aos argumentos das opções nameserverno resolv.conf(5). Outras palavras de opção reconhecidas são dns-domain e dns-sortlist.Configurando uma interface usando DHCPPara configurar uma interface usando DHCP edite o arquivo /etc/network/interfaces de formaque inclua uma entrada como essa:iface eth0 inet dhcpPara que isso funcione você precisa ter instalado um dos clientes DHCP mencionados abaixo. Aconfiguração de baixo nível de interfaces de rede pode ser automatizada por meio do DynamicHost Configuration Protocol (DHCP) (Protocolo de Configuração Dinâmica de Sistemas). Seufirewall ou sistema roteador ou seu ISP de banda larga podem fornecer endereços IP e outrosparâmetros dessa maneira. Para isso funcionar você precisa instalar um dos seguintes pacotes:• dhcp3-client (versão 3, Internet Software Consortium)• dhcpcd (Yoichi Hariguchi e Sergei Viznyuk)• pump (Redhat)O pump é simples e largamente utilizado. O dhcp3-client é complexo mas mais configurável.Configurando uma interface Wi-FiO pacote wireless-tools inclui um script /etc/network/if-pre-up.d/wireless-tools que tornapossível configurar hardware Wi-Fi (802.11a/b/g) antes de levantar a interface. A configuraçãoé feita usando o programa iwconfig.Para cada parâmetro de comando possível do iwconfig você pode incluir uma opção em/etc/network/interfaces nomeada como o parâmetro com um prefixo ”wireless-“. Por exemplo,para definir o ESSID de eth0 para meuessid e a chave de encriptação para 123456789e antesde levantar a eth0 usando DHCP, edite o arquivo /etc/network/interfaces de forma a incluir umaentrada como esta:iface eth0 inet dhcpwireless-essid myessidwireless-key 123456789eRoberto Amaral – Marcelo Farias Página 7317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXConfigurando múltiplas interfaces Ethernet para um gatewaySuponha que a eth0 esteja conectada à Internet com um endereço IP configurado por DHCP eque a eth1 esteja conectada à LAN com um endereço IP estático 192.168.1.1. Editando oarquivo /etc/network/interfaces de forma a incluir entradas como essas:iface eth0 inet dhcpiface eth1 inet staticaddress 192.168.1.1netmask 255.255.255.0Configurando interfaces virtuaisUsando interfaces virtuais você pode configurar uma única placa Ethernet para ser umainterface para várias sub-redes IP. Por exemplo, suponha que seu sistema esteja em uma redeLAN 192.168.0.x/24. Você quer conectar o sistema à Internet usando um endereço IP públicoprovido via DHCP usando sua placa Ethernet existente. Edite o /etc/network/interfaces deforma a incluir entradas como essas:iface eth0 inet staticaddress 192.168.0.1netmask 255.255.255.0network 192.168.0.0broadcast 192.168.0.255iface eth0:0 inet dhcpA interface eth0:0 é uma interface virtual. Quando é levantada, também é levantada a suasuperior eth0.Reconfiguração de redeO que vem a seguir será importante para o leitor compreender a diferença entre uma interfacefísica e uma interface lógica. Uma interface física é o que temos chamado de ”a interface“, acoisa que é chamada eth0, ppp1, ou o que você tiver. Uma interface lógica é um conjunto devalores que pode ser atribuído aos parâmetros variáveis de uma interface física. Se você acharisso confuso, substitua a expressão ”configurado como interface lógica X“ pela expressão”configurado com o perfil de interface X“ conforme você ler.As definições iface no arquivo /etc/network/interfaces são na verdade definições de interfaceslógicas, não de interfaces físicas. Se você nunca quiser reconfigurar suas interfaces então podeignorar esse fato já que a interface física X por padrão será configurada como interface lógicaX. Entretanto, suponha que seu computador seja um laptop que você transporta entre a casa eRoberto Amaral – Marcelo Farias Página 7417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXo trabalho. Quando você conecta o computador à rede corporativa ou à sua LAN domésticavocê precisa configurar a eth0 apropriadamente.Primeiro defina duas interfaces lógicas casa e trabalho (ao invés de eth0 como fizemosanteriormente) que descrevem como a interface deve ser configurada para a rede doméstica ea rede do trabalho, respectivamente.iface casa inet staticaddress 192.168.0.123netmask 255.255.255.0gateway 192.168.0.1iface work inet staticaddress 81.201.3.123netmask 255.255.0.0gateway 81.201.1.1Então a interface física eth0 pode ser levantada para a rede doméstica com a configuraçãoapropriada especificando na linha de comando:# ifup eth0=casaPara configurar a eth0 para a rede do trabalho execute os comandos:# ifdown eth0# ifup eth0=workNote que com o arquivo interfaces escrito como acima não será mais possível levantar a eth0usando apenas ifup eth0. A razão para isso é que o ifup usa o nome da interface física como onome padrão da interface lógica e agora em nosso exemplo não há uma interface lógica eth0definida.Configuração de rede durante a inicializaçãoNa inicialização o script /etc/rcS.d/S40networking executa o comando ifup -a. Isso levanta todasas interfaces físicas listadas em entradas auto no etc/network/interfaces. Atualmente éfreqüentemente melhor gerenciar a configuração de rede usando métodos dinâmicos. Uma vezque estão disponíveis mecanismos para suportar hardware que mude dinamicamente se tornamais simples tratar hardware estático como se fosse dinâmico também. Entretanto, na maioriados casos se deseja que pelo menos a interface de loopback lo seja levantada na inicialização.Assim, certifique-se de que o /etc/network/interfaces inclua as seguintes entradas.auto loiface lo inet loopbackRoberto Amaral – Marcelo Farias Página 7517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXVocê pode listar nomes de interfaces físicas adicionais em entradas auto se desejar que tambémsejam levantadas durante a inicialização. Nunca liste interfaces PCMCIA em entradas auto. Oprograma cardmgr de PCMCIA é iniciado mais tarde na seqüência de inicialização que quandoo /etc/rcS.d/S40networking é executado.Configuração de rede via hotplugPara obter suporte a hot plug instale o pacote hotplug. Hardware de rede pode ser conectadocom o computador ligado durante a inicialização ou depois que um cartão (por exemplo, umcartão PCMCIA) é inserido na máquina ou depois que um utilitário como o discover é executadoe carrega os módulos de controladores necessários. Quando o kernel detecta um novohardware ele inicializa o controlador (driver) para o hardware e então executa o programahotplug para configurá-lo. Mais tarde, se o hardware for removido, então o kernel executa ohotplug novamente com ajustes de variáveis de ambiente diferentes. No Debian, quando ohotplug é chamado ele executa scripts em /etc/hotplug/ e /etc/hotplug.d/.O hardware de rede recentemente inserido é configurado pelo script /etc/hotplug/net.agent.Suponha que seu cartão de rede PCMCIA tenha sido inserido resultando na interface eth0 setornando disponível para uso. O /etc/hotplug/net.agent faz o seguinte:ifup eth0=hotplugA menos que você tenha adicionado uma definição de interface lógica ou um mapeamentochamado hotplug em /etc/network/interfaces, esse comando não fará nada. Para fazer com queo comando configure a eth0, adicione a seguinte entrada em /etc/network/interfaces:mapping hotplugscript echo(Não inclua uma entrada mapping como essa se você estiver usando pedidos do ifplugdiniciados pelo hotplug para controlar a interface, como descrito em ‘Gatilhando a configuraçãode rede – ifplugd’ on the current page.) Se você quiser que apenas a eth0 e mais nenhumaoutra interface seja levantada com hot plug então use grep ao invés de echo como a seguir:mapping hotplugscript grepmap eth0Resolução de problemas com redeSe você encontrar problemas então verifique a saída seguinte como primeira verificação do queestá acontecendo:# ifconfigRoberto Amaral – Marcelo Farias Página 7617/10/2011

# cat /proc/pciUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídos# cat /proc/interrupts# dmesg | moreCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXTestes de rede básicosInstale os pacotes netkit-ping, traceroute, dnsutils, ipchains (para kernel 2.2), iptables (parakernel 2.4) e net-tools e :$ ping yahoo.com # checa a conexão Internet$ traceroute yahoo.com # rastrea pacotes IP$ ifconfig # checa configuração do host$ route -n # checa configuração de roteamento$ dig [@servidor-dns.com] host.domínio [{a|mx|any}] |less# checa os registros DNS de host.domínio usando servidor-dns.com para um registro a{mx|any}$ ipchains -L -n |less # checa o filtro de pacotes (kernel 2.2)$ iptables -L -n |less # checa o filtro de pacotes (kernel 2.4)$ netstat -a # encontra todas as portas abertas$ netstat -l --inet # encontra as portas em escuta$ netstat -ln --tcp # encontra todas as portas TCP em escuta (numérico)RoteamentoO primeiro endereço em uma rede IP é o endereço da própria rede. O último endereço é oendereço de broadcast da rede. Todos os outros endereços podem ser alocados a sistemas narede. Desses, o primeiro ou o último endereço normalmente é alocado para o gateway deInternet para a rede.A tabela de roteamento contém a informação do kernel sobre como enviar pacotes IP aos seusdestinos. Aqui está um exemplo de tabela de roteamento para um sistema Debian em uma redelocal (LAN) com endereço IP 192.168.50.x/24. O sistema 192.168.50.1 (também na LAN) é umroteador para a rede corporativa 172.20.x.x/16 e o sistema 192.168.50.254 (também na LAN) éum roteador para a Internet para todos.# routeKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface127.0.0.0 * 255.0.0.0 U 0 0 2 lo192.168.50.0 * 255.255.255.0 U 0 0 137 eth0172.20.0.0 192.168.50.1 255.255.0.0 UG 1 0 7 eth0default 192.168.50.254 0.0.0.0 UG 1 0 36 eth0Roberto Amaral – Marcelo Farias Página 7717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXA primeira linha depois do cabeçalho diz que o tráfego destinado à rede 127.x.x.x será roteadopara lo a interface de loopback.• A segunda linha diz que o tráfego destinado aos sistemas na LAN serão roteadosatravés de eth0.• A terceira linha diz que o tráfego destinado à rede corporativa será roteado para ogateway 192.168.50.1 e também através de eth0.• A quarta linha diz que o tráfego destinado à Internet será roteado para o gateway192.168.50.254 e também através de eth0.Os endereços IP na tabela também podem aparecer como nomes que são obtidos procurandoendereços em /etc/networks ou usando o resolvedor da Biblioteca C.Configuração de rotasPara inserir uma rota use o comando no formato:route add [ -net | -host ] target [ netmask Nm ] [ gw Gw ] [[ dev ] If ].Exemplos:Inserir uma rota para uma rede:# route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.1.3Inserir uma rota para um host, utilizando uma determinada interface ponto-aponto:# route add -net 192.168.10.1 dev ppp0Para selecionar a rota default:# route add default gw 192.168.1.200Para remover rotas usamos praticamente a mesma sintaxe, mas ao invés do "add" usamos o"del". Se quisermos adicionar uma rota ao subir uma determinada interface, poderíamos usar aseguinte linha dentro das opções da interface:iface eth0 inet static...up ip route add 10.0.0.0/24 via 200.X.X.YEntradas na Tabela de Roteamento.Cada tabela de roteamento pode ter várias entradas. Abaixo temos alguns tipos de rotas quepodem ser adicionadas com o comando ip route.• unicast: Uma rota unicast é a mais comum na tabela. Isto é tipicamente um rota parauma rede de destino. Se o tipo de rota não é especificado é assumido como sendounicast. Ex:Roberto Amaral – Marcelo Farias Página 7817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX# ip route add unicast 192.168.0.0/24 via 192.168.100.5# ip route add default via 193.7.255.1# ip route add unicast default via 206.59.29.193# ip route add 10.40.0.0/16 via 10.72.75.254• broadcast: Esta rota é usada pela camada de link de dispositivos (placas Ethernet) o qualsuportam a notação de endereço broadcast. Este tipo de rota é usado somente na tabelalocal e é tipicamente manuseado pelo kernel. Ex:# ip route add table local broadcast 10.10.20.255 dev eth0 proto kernel scope linksrc 10.10.20.67# ip route add table local broadcast 192.168.43.31 dev eth4 proto kernel scopelink src 192.168.43.14• local: O kernel irá adicionar entradas para a tabela de roteamento local quandoendereços IP são adicionados para uma interface. Isto significa que os IP's estão nopróprio host.# ip route add table local local 10.10.20.64 dev eth0 proto kernel scope host src10.10.20.67# ip route add table local local 192.168.43.12 dev eth4 proto kernel scope host src192.168.43.14• nat: Esta rota é adicionada para o kernel na tabela de roteamento local, quando o usuáriotenta configurar stateless NAT. (Re-escreve o destino do pacote) Ex:# ip route add nat 193.7.255.184 via 172.16.82.184# ip route add nat 10.40.0.0/16 via 172.40.0.0• unreachable: Quando um requisição para uma decisão de roteamento retorna um destinocom rota do tipo unreachable, um ICMP unreachable é gerado e retornado para oendereço de origem. Ex:# ip route add unreachable 172.16.82.184# ip route add unreachable 192.168.14.0/26# ip route add unreachable 209.10.26.51• prohibit: Análogo ao unreachable mas gera um ICMP prohibit. Ex:# ip route add prohibit 10.21.82.157# ip route add prohibit 172.28.113.0/28# ip route add prohibit 209.10.26.51• blackhole: Um pacote que casa com uma rota do tipo blackhole é descartado. Ex:# ip route add blackhole default# ip route add blackhole 202.143.170.0/24# ip route add blackhole 64.65.64.0/18Roberto Amaral – Marcelo Farias Página 7917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX• throw: Este tipo de rota é conveniente, quando deseja-se que uma consulta na tabela deroteamento falhe, fazendo com que o pacote continue sendo analizado no RPDB. Ex:# ip route add throw 10.79.0.0/16# ip route add throw 172.16.0.0/12Configuração do NetfilterO projeto netfilter/iptables é um subsistema de firewalling para o kernel Linux 2.4 e superiores.Com o uso desta ferramenta definimos regras especiais para entrada, saída e passagem depacotes entre interfaces, podendo atuar antes ou após as ações referentes ao roteamento.O iptables atua sobre as tabelas presentes no Kernel, que indicam situações de roteamento, deacordo com a situação em que se encontra o pacote, a qual é referida por uma corrente deregras, ou chain.Básico do netfilterAs tabelas do iptables são:• filter: é a tabela padrão, sobre a qual podemos nos referir a três correntes de regras, ouchains:• INPUT, pacotes que entram na interface;• OUTPUT, pacotes que saem da interface• FORWARD, pacotes que estão sendo roteados de uma interface para outra;• nat: esta tabela se refere ao uso do recurso de Network Address Translation ou NAT, naqual podemos nos referir aos chains: PREROUTING, pacotes que serão alterados antesde roteamento; OUTPUT, pacotes locais que serão alterados antes do roteamento ePOSTROUTING, pacotes que serão alterados após a aplicação das regras de roteamento;• mangle: usada para alterações especiais no pacote, PREROUTING, para alteração antesdo roteamento e OUTPUT, pacotes locais que serão alterados antes do roteamento.Dentre as ações que são feitas sobre os pacotes que atendem a um determinado chain em umadada tabela, temos:• ACCEPT: aceita o pacote;• DROP: rejeita o pacote;• MASQUERADE: atua somente sobre a tabela nat e indica que será efetuado a conversãode endereços ou NAT, conforme indicado no comando.Podemos definir regras padrão para um determinado chain e regras mais específicas, usando:iptables [–t TABELA] –P CHAIN AÇÃORoberto Amaral – Marcelo Farias Página 8017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXonde TABELA é a tabela sobre a qual estamos atuando – caso não especificarmos, seráassumida a tabela filter; CHAIN é a corrente de regras à qual o pacote está associado; e AÇÃOé a ação a ser executada.Para adicionarmos uma regra usando iptables, procedemos da seguinte forma:iptables [–t TABELA] –A CHAIN {OPÇÕES} –j AÇÃOsendo OPÇÕES é um conjunto diverso de opções que podemos especificar, como interface deorigem ou de destino e TABELA, CHAIN e AÇÃO definidos como anteriormente. De modoanálogo,iptables [–t TABELA] –D CHAIN {OPÇÕES} –j AÇÃOpermite removermos uma regra.Para limparmos todas as regras existentes de um chain usamos:iptables [–t TABELA] –F CHAIN.Alvo NetfilterRegras de firewall possuem diversos alvos:• quatro alvos básicos :ooooACCEPT significa deixar o pacote passar.DROP significa descartar o pacote.QUEUE significa passar o pacote para o userspace (caso suportado pelo kernel).RETURN significa parar de atravessar esta chain e continuar na próxima regra nachain anterior (a chain que chamou esta).• alvos extendidos :oooLOG liga o logging do kernel.REJECT envia como resposta um pacote de erro e descarta o pacote.SNAT altera o endereço de origem de pacote e é usado somente na chainPOSTROUTING.(somente tabela nat)--to-source endereçoip[-endereçoip][:porta-porta]– MASQUERADE é o mesmo que SNAT mas para conexões com endereços IP atribuídosdinamicamente (discadas). (somente tabela nat)Roberto Amaral – Marcelo Farias Página 8117/10/2011

--to-ports porta[-porta]Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX– DNAT altera o endereço de destino do pacote e é usado nas chains PREROUTING e OUTPUTe em chains definidas pelo usuário que são chamadas somente a partir destas chains. (somentetabela nat)--to-destination endereçoip[-endereçoip][:porta-porta]– REDIRECT altera o endereço IP de destino para enviar o pacote para a própria máquina.--to-ports porta[-porta]Comandos do NetfilterOs comandos básicos do iptables são :iptables -N chain # cria uma chainiptables -A chain \ # adiciona regra na chain-t tabela \ # usa tabela (filter, nat, mangle)-p protocolo \ # tcp, udp, icmp ou all,-s endereço-origem[/máscara] \--sport porta[:porta] \ # porta de origem caso -p seja tcp ou udp-d endereço-origem[/máscara] \--dport porta[:porta] \ # porta de destino caso -p seja tcp ou udp-j alvo \ # o que fazer se o pacote casar-i nome-interface-entrada \# para INPUT, FORWARD, PREROUTING-o nome-interface-saída # para FORWARD, OUTPUT, POSTROUTINGFazendo NATDicas:Qualquer regra aplicada a SNAT usa somente a chain POSTROUTING. Antes de iniciar o uso databela NAT temos que habilitar o roteamento no kernel, usando:# echo “1” > /proc/sys/net/ipv4/ip_forwardPara que não percamos o roteamento é necessário editar o arquivo /etc/sysctl.conf e inserirmos oumodificarmos a linha do modo que fique assim:net.ipv4.ip_forward= 1Exemplos de SNAT:iptables –t nat –A POSTROUTING –s 10.0.3.1 –o eth0 –j SNAT --to 192.111.22.33iptables –t nat –A POSTROUTING –s 10.0.3.0/8 –o eth0 –j SNAT --to 192.111.22.33iptables –t nat –A POSTROUTING –s 10.0.3.1 –o eth0 –j SNAT --to 192.111.22.33-192.11.22.66Roberto Amaral – Marcelo Farias Página 8217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXExemplos de DNAT:iptables –t nat –A PREROUTING –s 10.0.3.1 –i eth0 –j DNAT --to 192.111.22.33iptables –t nat –A PREROUTING –s 10.0.3.1 –i eth0 –j DNAT --to 192.111.22.33-192.11.22.66iptables –t nat –A PREROUTING –i eth0 –j DNAT --to 192.111.22.33:22Teste seus conhecimentos:iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADECompartilhando Conexão com IPTABLEmodprobe iptable_natecho 1 > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A POSTROUTING -o INTERFACE -j MASQUERADESubstitua o "INTERFACE" pela placa conectada na Internet. Este comando simplesmentecompartilha a conexão proveniente da placa da Internet com todas as demais placas de redeespetadas no servidor, por isso não é necessário especificar a placa de rede local.• O primeiro comando ativa o "iptable_nat", o módulo do Iptables responsável poroferecer suporte ao roteamento de pacotes via NAT.• O segundo comando ativa o "ip_forward", o módulo responsável peloencaminhamento de pacotes, utilizado pelo módulo iptable_nat.• O terceiro comando cria uma regra de roteamento, que orienta o servidor adirecionar para a Internet todos os pacotes (recebidos dos clientes) que sedestinarem a endereços que não façam parte da rede local (ou seja, qualquer coisafora da faixa 192.168.0.x). A partir daí, o servidor passa a ser o gateway da rede.Nem todas as distribuições instalam o executável do Iptables por padrão. Em muitasdistribuições com o Kernel 2.6, é necessário usar um quarto comando ao compartilhar umaconexão, por exemplo ADSL. Este comando ajusta os tamanhos dos pacotes recebidos domodem ao MTU usado na rede local.iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtuRoberto Amaral – Marcelo Farias Página 8317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXCaso a conexão seja via via ADSL com autenticação (PPPoE), e precise usar o pppoeconfou o adsl-setup para estabelecer a conexão, lembre-se de substituir "eth0" no comando por"ppp0".DHCPDe um modo geral o trabalho de um servidor DHCP é bastante simples. Ele responde aospacotes de broadcast das estações, enviando um pacote com um dos endereços IP disponíveis eos demais dados da rede. Periodicamente o servidor DHCP verifica se as estações ainda estãolá, exigindo uma renovação do "aluguel" do endereço IP (opção lease time). Assim os endereçosIP são gastos apenas com quem realmente estiver online, evitando que os endereçosdisponíveis se esgotem.No Linux o serviço de DHCP é exercido pelo dhcp3-server que nas distribuições baseadas noDebian pode ser instalado através do comando:# apt-get install dhcp3-serverOs comandos "/etc/init.d/dhcp3-server start" e "/etc/init.d/dhcp3-server stop" comandam aatividade do serviço.O arquivo de configuração é o dhcpd.conf. No Debian o caminho completo para ele é:/etc/dhcp3/dhcpd.confA configuração do arquivo é igual independentemente da distribuição. Um arquivo deconfiguração básico, contém o seguinte:ddns-update-style none;default-lease-time 600;max-lease-time 7200;authoritative;subnet 192.168.0.0 netmask 255.255.255.0 {range 192.168.0.100 192.168.0.201;option routers 192.168.0.10;option domain-name-servers 200.177.250.10,200.204.0.10;option broadcast-address 192.168.0.255;}A opção " default-lease-time" controla o tempo de renovação dos endereços IP. O "600"indica que o servidor verifica a cada dez minutos se as estações ainda estão ativas. Se vocêtiver mais endereços IP do que máquinas os endereços IP das estações raramente vai precisarmudar. Mas, no caso de uma rede congestionada, o " max-lease-time" determina o tempoRoberto Amaral – Marcelo Farias Página 8417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXmáximo que uma estação pode usar um determinado endereço IP. Isso foi planejado paraambientes onde haja escassez de endereços IP.A opção "range" determina a faixa de endereços IP que será usada pelo servidor. Se você utilizaa faixa de endereços 192.168.0.1 até 192.168.0.254 por exemplo, pode reservar os endereçosde 192.168.0.1 a 192.168.0.100 para estações configuradas com IP fixo e usar os demais para oDHCP.Na "option routers" vai o endereço do default gateway da rede, ou seja, o endereço do servidorque está compartilhando a conexão. Não é necessário que o mesmo micro que estácompartilhando a conexão rode também o servidor DHCP.A opção "option domain-name-servers" contém os servidores DNS que serão usados pelasestações. Ao usar dois ou mais endereços eles devem ser separados por vírgula, sem espaços.Ao fazer qualquer alteração no arquivo, você deve reiniciar o servidor DHCP usando ocomando:# /etc/init.d/dhcp3-server restartSempre que configurar um servidor com duas placas de rede, é importante que o servidorDHCP seja configurado para escutar apenas na placa da rede local. No Debian, estaconfiguração vai no arquivo "/etc/default/dhcp3-server". Procure pela linha:INTERFACES=""... e adicione a placa que o servidor DHCP deve escutar, como em:INTERFACES="eth0"Para que a configuração entre em vigor, basta reiniciar o serviço novamente.Trabalho prático sobre conhecimentos adquiridos:Juntar a um amigo, utilize um dos computadores para ser o roteador (compartilhamento deconexão).1º) ExecícioMáquina 1Crie um alias (192.168.0.X) à x = número da máquina.Crie um compartilhamento com iptable.Máquina 2Coloque o endereço desta como 192.168.0.x à x = número da máquinaColoque o Máquina 1 como gateway.Roberto Amaral – Marcelo Farias Página 8517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosPing o site www.utp.brCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXCom o Lynx verifique se sua conexão ficou correta, acessando o www.google.com.br2º) ExecícioMáquina 1Crie um alias (192.168.0.X) à x = número da máquina.Crie um compartilhamento com iptables.Filtre com iptable o protocolo ICMPMáquina 2Coloque o endereço desta como 192.168.0.x à x = número da máquinaColoque o Máquina 1 como gateway.Ping o site www.utp.brCom o Lynx verifique se sua conexão ficou correta, acessando o www.google.com.brSambaCom o SAMBA é possível compartilhar diretórios, impressoras, acessar arquivos na redeexatamente como em redes Microsoft. Mas neste caso, seu servidor é um Linux rodando umaaplicação específica.InstalaçãoPara instalar o SAMBA é necessário executar o comando: ( apt-get install samba smbclientsmbfs )Algumas perguntas aparecerão e aparecem com a resposta sugerida:Senhas criptografadas? SimModificar para usar conf Wins do dhcp? NãoComo deseja executar o Samba? DaemonsGerar a base de dados? SimConfiguraçãoToda a configuração do SAMBA é centralizada no arquivo smb.conf, que deve ser guardado nodiretório /etc/samba. Nele é que são descritos os compartilhamentos, permissões de acesso,impressoras, dentre outras configurações disponíveis. Quando instalado, o SAMBA disponibilizaos seguintes componentes:Roberto Amaral – Marcelo Farias Página 8617/10/2011

smbd - O servidor SAMBA.Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídosnmbd - O Servidor de nomes NetBios.smbclient - Cliente SMB para sistemas Unix.CURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXsmbpasswd - Alterar senhas (encriptadas) de usuários smb.smbspool - Cliente para envio de impresão a sistemas Linux.smbstatus - Apresenta a situação atual das conexoes SMB no Host.testparm - Verifica o arquivo smb.conf (configuração do SAMBA).testprns - Verifica a comunicação via rede com as impressoras.O smb.conf é dividido basicamente em três partes: a configuração do servidor SAMBA(parâmetros na seção [global]), a configuração dos diretórios/pastas pessoais dos usuários(parâmetros na seção [homes]) e as demais seções que correspondem aos diretórioscompartilhados ou impressoras.Nome de máquina (nome NetBios)Toda a máquina em uma rede NetBEUI é identificada por um nome, este nome deve ser únicona rede e permite que outras máquinas acessem os recursos disponibilizados ou que sejamenviadas mensagens para a máquina. Este nome é composto de 16 caracteres, sendo 15 queidentificam a máquina e o último o tipo de serviço que ela disponibiliza. O tipo de serviço éassociado com o nome da máquina e registrado em servidores de nomes confirme aconfiguração da máquina.Grupo de trabalhoO grupo de trabalho organiza a estrutura de máquinas da rede em forma de árvore, facilitandosua pesquisa e localização. Tomemos como exemplo uma empresa grande com osdepartamentos comunicação, redes, web, rh, as máquinas que pertencem ao grupo de redesserão agrupadas no programa de navegação:redestécnico; marcelo; henrique; michellerhburnswebweb1; web2; web3comunicacaocomunic1; comunic2; comunic3Roberto Amaral – Marcelo Farias Página 8717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXA segurança no acesso a arquivos e diretórios na configuração de grupo de trabalho écontrolada pela própria máquina, normalmente usando segurança a nível de compartilhamento.Esta segurança funciona definindo um usuário/senha para acessar cada compartilhamento quea máquina possui. O Lan Manager, Windows for Workgroups, Windows 95, Windows 98, XPHome Edition usam este nível de acesso por padrão.DomínioO funcionamento é semelhante ao grupo de trabalho, com a diferença que a segurança écontrolada pela máquina central (PDC) usando diretivas de acesso e grupos. O PDC (PrimaryDomain Controller) deverá ter todas as contas de acesso que serão utilizadas pelo usuário paraacessar os recursos existentes em outras máquinas, script de logon que poderá ser executadoem cada máquina para fazer ajustes, sincronismo, manutenção ou qualquer outra tarefaprogramada pelo administrador do sistema.CompartilhamentoUm compartilhamento é um recurso da máquina local que é disponibilizado para acesso viarede, que poderá ser mapeada por outra máquina. O compartilhamento pode ser um diretório,arquivo, impressora. Além de permitir o acesso do usuário, o compartilhamento pode serprotegido por senha, e ter controle de acesso de leitura/gravação, monitoração de acessos,diretórios ocultos, autenticação via PDC e outras formas para restringir e garantir segurançana disponibilidade dos dados.Um compartilhamento no SAMBA pode ser acessível publicamente (sem senha) ou estarrigidamente protegido tendo que passar por diversas barreiras para chegar ao seu conteúdo,como senhas, endereço de origem, interfaces, usuários autorizados, permissões de visualização,etc.MapeamentoMapear significa pegar um diretório/arquivo/impressora compartilhado por alguma máquina darede para ser acessada pela máquina local. Para mapear algum recurso de rede, é necessárioque ele seja compartilhado na outra máquina. Por exemplo, o diretório /usr compartilhado como nome usr, pode ser mapeado por uma máquina Windows como a unidade F:, ou mapeado poruma máquina Linux no diretório /mnt/samba.O programa responsável por mapear unidades compartilhadas no Linux é o smbmount esmbclient.Roberto Amaral – Marcelo Farias Página 8817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosNavegação na Rede e controle de domínioCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXEsta função é controlada pelo nmbd que fica ativo o tempo todo disponibilizando os recursos damáquina na rede, participando de eleições NetBIOS, fazer logon de máquinas no domínio, etc.A função de navegação na rede é feita utilizando o compartilhamento IPC$. Estecompartilhamento possui acesso público somente leitura e utiliza o usuário "guest" paradisponibilização de seus recursos.OBS: A função de navegação (browsing) poderá não funcionar corretamente caso amáquina não consiga resolver nomes NetBIOS para endereços IP.smbmountO smbmount é uma ferramenta que permite a montagem de um disco compartilhado por umamáquina NetBEUI remota como uma partição. Alguns exemplos:smbmount //servidor/discoc /mnt/discocMonta o compartilhamento de //servidor/discoc em /mnt/discoc usando o nome de usuário atual.Será pedido uma senha para acessar o conteúdo do compartilhamento, caso ele seja público,você pode digitar qualquer senha ou simplesmente pressionar enter.smbmount //servidor/discoc /mnt/discoc -NSemelhante ao comando cima, com a diferença que o parâmetro -N não pergunta por umasenha. Isto é ideal para acessar compartilhamentos anônimos.smbmount //servidor/discoc /mnt/discoc -o username=adminsamba,workgroup=testeSemelhante aos anteriores, mas acessa o compartilhamento usando adminsamba como nome deusuário e teste como grupo de trabalho. Este método é ideal para redes que tem o nível deacesso por usuário ou para acessar recursos compartilhados em um domínio.smbclientO smbclient é uma ferramenta de navegação em servidores SAMBA. Ao invés dela montar ocompartilhamento como um disco local, você poderá navegar na estrutura do servidor de formasemelhante a um cliente FTP e executar comandos como ls, get, put para fazer a transferênciade arquivos entre a máquina remota e a máquina local. Também é através dele que é feita ainterface com impressoras compartilhadas remotamente. Alguns exemplos do uso do smbclient:smbclient -L samba1Lista todos os compartilhamentos existentes (-L) no servidor samba1.smbclient //samba1/discocAcessa o conteúdo do compartilhamento discoc no servidor samba1.smbclient //samba1/discoc -NRoberto Amaral – Marcelo Farias Página 8917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXIdêntico ao acima, mas não utiliza senha (ideal para compartilhamentos com acesso anônimo).smbclient //samba1/discoc -I 192.168.1.2Se conecta ao compartilhamento usando o endereço IP 192.168.1.2 ao invés da resolução denomes.smbclient //samba1/discoc -U user -W testeSe conecta ao compartilhamento como usuário user usando o grupo de trabalho teste.smbclient //samba1/discoc -U user%senha01 -W testeIdêntico ao acima, mas também envia a senha senha01 para fazer a conexão diretamente.Caso receba a mensagem NT Status Access Denied, isto quer dizer que não possui direitos deacesso adequados para listas ou acessar os compartilhamentos da máquina. Nesse caso, utilizeas opções -U usuário e -W grupo/domínio para fazer acesso com uma conta válida de usuárioexistente na máquina.OBS:Note que a ordem das opções faz diferença no smbmount.O smb.confUm parâmetro é definido no formato nome = valor. Na configuração de booleanos, a seguintesintaxe pode ser usada: 0 ou 1 - yes ou no - true ou falseLinhas iniciadas por # ou ; são tratadas como comentário. Quebras de linha podem serespecificadas com uma \ no final da linha.Nomes e grupos de trabalhonetbios name = [nome do servidor]Especifica o nome NetBIOS primário do servidor samba. Caso não seja ajustado, ele usará ohostname de sua máquina como valor padrão. Ex.: netbios name = Servidorsamba.workgroup = [grupo de trabalho/domínio]Diz qual o nome do grupo de trabalho/domínio que a máquina samba pertencerá. Ex.:workgroup = empresa.netbios aliases = [nomes alternativos ao sistema]Permite o uso de nomes alternativos ao servidor, separados por espaços. Ex.: teste1 teste2.server string = [identificação]Identificação enviada do servidor samba para o ambiente de rede. A string padrão é Samba %v(%v é substituída pela versão do samba) Ex: server string = Servidor Samba versão %v.name resolve order = [ordem]Roberto Amaral – Marcelo Farias Página 9017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXDefine a ordem de pesquisa para a resolução de nomes no samba. A ordem padrão é: lmhostshost wins bcast, que é a melhor para resolução rápida e que tente gerar menos tráfegobroadcast possível.Restrições de acesso/mapeamento de usuáriosguest account = [conta]Define a conta local de usuário que será mapeada quando um usuário se conectar sem senha(usuário guest).invalid usersDefine uma lista de usuários que não terão acesso aos recursos do servidor oucompartilhamento. É seguro restringir o acesso samba a usuários com grande poder no sistema(como o root).valid usersSemelhante a opção invalid users mas permite que somente os usuários especificados tenhamacesso ao sistema.default service = nomeCaso o serviço que o usuário deseja se conectar não for encontrado no servidor, o SAMBAmapeará o serviço especificado nesta diretiva como alternativa. A variável "%S" e o caracter "_"podem ser interessantes em algumas alternativas de configuração. A opção default é umsinônimo para esta opção. Caso utilize esta opção, crie o compartilhamento em modo somenteleitura e com acesso público, caso contrário (dependendo do planejamento de partições esegurança do sistema de arquivos) a máquina poderá ser derrubada sem dificuldades.username map = [arquivo]Especifica um arquivo que faz o mapeamento entre nomes fornecidos por clientes e nomes decontas Unix locais.obey pam restrictions = yesIndica se as restrições do usuário nos módulos PAM terão efeito também no SAMBA.Níveis de autenticaçãoDefine o nível de segurança do servidor. Os seguintes valores são válidos:share - Usada principalmente quando apenas a senha é enviada por compartilhamento acessadopara o servidor, caso muito típico em sistemas Lan Manager e Windows for Workgroups.Mesmo assim o samba tenta mapear para um UID de usuário local do sistema usando osseguintes métodos (retirado da página de manual do samba):Roberto Amaral – Marcelo Farias Página 9117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXSe o parâmetro guest only é usado no compartilhamento junto com o guest ok, o acesso éimediatamente permitido, sem verificar inclusive a senha.Caso um nome de usuário seja enviado junto com a senha, ele é utilizado para mapear oUID e aplicar as permissões deste usuário (como acontece no nível de segurança user).Se ele usou um nome para fazer o logon no Windows este nome será usado como usuáriolocal do SAMBA. Caso ele seja diferente, você deverá usar o mapeamento de nomes paraassociar o nome remoto do nome localO nome do serviço é tentado como nome de usuário.O nome da máquina NetBios é tentada como nome de usuárioOs usuários especificados na opção user dos compartilhamentos são utilizados.Caso nenhum destes métodos acima for satisfeito, o acesso é NEGADO.Hoje em dia, o uso do nível de acesso share é raramente usado, porque todos os sistemas apartir do Windows 95 e acima enviam o nome de usuário ao acessar um compartilhamento(caindo na segunda checagem do nível share), sendo equivalente a usar o nível user.Entretanto, o nível de segurança share é recomendado para servidores onde TODO o conteúdodeve ter acesso público (seja leitura ou gravação) e o parâmetro guest shares também funcionanativamente.As senhas criptografadas (encrypt passwords = 1) NÃO funcionarão no nível share, lembre-sedeste detalhe.user - Este é o padrão. O usuário precisa ter uma conta de usuário no Linux para acessar seuscompartilhamentos. A mesma conta de usuário/senha deverá ser usada no Windows paraacessar seus recursos ou realizado um mapeamento de nomes de usuários. Este é o padrão doSAMBA. No nível de acesso user o usuário precisa ser autenticado de qualquer forma, inclusivese for usado o parâmetro guest only ou user. Os seguintes passos são usados para autorizaruma conexão usando o nível user (retirado da documentação do SAMBA):É tentada a validação usando o nome/senha passados pelo cliente. Se tudo estiver OK, aconexão é permitida.Caso já tenha se autenticado anteriormente para acessar o recurso e forneceu a senha correta,o acesso é permitido.O nome NetBIOS da máquina do cliente e qualquer nome de usuário que foi usado é novamentetentado junto com a senha para tentar permitir o acesso ao recurso compartilhado.Caso o cliente tenha validado o nome/senha com o servidor e o cliente enviou novamente otoken de validação, este nome de usuário é usado.É tentada a checagem com o parâmetro user no compartilhamento..Roberto Amaral – Marcelo Farias Página 9217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXÉ verificado se o serviço é público, então a conexão é feita usando o usuário guest account eignorando a senha.domain - Neste nível, o acesso só será permitido quando a máquina for adicionada ao domíniocom o smbpasswd. Neste nível de acesso, a conta de usuário será validada em um servidor PDC(controlador de domínio) e o acesso aos recursos das máquinas que fazem parte do domínioserá feito a partir do PDC.server - A máquina samba tentara autenticar o usuário em outro servidor NT (ou samba). Nocaso da autenticação falhar, será usado o nível de acesso user na base de usuários local (seránecessário o arquivo de senhas criptografado do samba para que a autenticação local funcione.Este nível é bastante usado quando configuramos um servidor de perfis de usuários ou logonseparado do PDC.Log de acessos/serviçoslog file= [arquivo]Define a localização e nome do arquivo de log gerado pelo samba. As variáveis de expansãopodem ser usadas caso o administrador queira ter um melhor controle dos logs gerados. Ex.:/var/log/samba/samba-log-%m.OBS: Se possível coloque uma extensão no arquivo de log gerado pelo SAMBA (como.log). O motivo disto é porque se estes logs forem rotacionados pelo logrotate vocêterá problemas de recompactação múltiplas caso utilize um coringa samba-log-*,gerando arquivos como .gz.gz.gz.., lotando a tabela de arquivos do diretório e deixandosua máquina em um loop de compactação.max log size = [tamanho]Especifica o tamanho máximo em Kb do arquivo de log gerado pelo samba. O valor padrão é5000Kb (5MB).debug pid = [valor]Este processo adiciona a pid aos logs gerados pelo processo smbd Isto é útil para depuraçãocaso existam múltiplos processos rodando. O valor padrão é no e a opção debug timestampdeve ser yes para esta opção ter efeito.debug timestamp = [valor]Ativa ou desativa a gravação de data/hora nos arquivos de log gerados pelo samba. O valorpadrão é yes.debug level = [valor]Aumenta o nível de depuração dos daemons do SAMBA de 0 a 9. Um nível de depuraçãointeressante e que produz uma quantidade razoável de dados para configuração de umRoberto Amaral – Marcelo Farias Página 9317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXlogrotate só para o SAMBA é o 2, produzindo a lista de todos os compartilhamentos acessados,quem acessou, data/hora (dependendo das outras opções de depuração). Isto permite aoadministrador saber exatamente o que está sendo acessado e por quem, quais as tentativas deacesso. Assim terá certeza que o conteúdo não está sendo acessado indevidamente. O nível dedepuração 0 é o padrão.debug uid = [valor]Este parâmetro inclui o euid, egid, uid, gid nos arquivos de log. O valor padrão é no.lock directory = [diretório]Define onde serão gravados os arquivos de lock gerados pelo samba.Navegação no servidor/tipo de servidoros level=[num]Especifica o nível do sistema operacional. Este número é usado para as eleições netbios paradefinir o navegador de grupo local e controlador de domínio. O valor pode ser de 0 a 255, opadrão é 32.announce as = [sistema]Selecione o nome que o samba (nmbd) se anunciará na lista de pesquisa de rede. Os seguintesnomes podem ser usados: NT Server (ou NT) - Anuncia como Windows NT Server. Este é opadrão.NT Workstation - Anuncia-se como um NT Workstation.Win95 ou WfW - Anuncia-se na rede como uma estação Windows 9x, Windows for Workgroups,Windows NT Server e Windows NT Workstation de uma só vez.domain master = [valor]Diz se o servidor tentará se tornar o navegador principal de domínio. Os valores que podem serespecificados são: yes, no e auto. O valor padrão é auto.local master = [valor]Diz se o servidor participará ou não das eleições para navegador local do grupo de trabalho(workgroup). Os valores que podem ser especificados são: yes, no. O valor padrão é yes. Paravencer a eleição, o samba precisa ter o valor de os level maior que os demais.Note também que o Windows NT não aceita perder as eleições e convoca uma nova eleiçãocaso ele perca. Como esta eleição é feita via broadcasting, isso gera um tráfego grande na rede.Desta forma, se tiver um computador NT na rede configure este valor para "no".preferred master = [valor]Diz se o servidor samba terá ou não vantagens de ganhar uma eleição local. Se estiverconfigurado para "yes", o servidor samba pedirá uma eleição e terá vantagens para ganha-la. Oservidor poderá se tornar garantidamente o navegador principal do domínio se esta opção forRoberto Amaral – Marcelo Farias Página 9417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXusada em conjunto com domain master = 1. Os valores especificados podem ser yes, no e auto,o padrão é auto.Antes de ajustar este valor para yes, verifique se existem outros servidores NetBIOS em suarede que tem preferência para se tornar o master principal, pois poderá ocorrer um tráfego altode broadcasting causado pelas eleições solicitadas pelas outras máquinas.Seção [homes]Esta seção tem a função especial de disponibilizar o diretório home do usuário. Quando ousuário envia seu nome de login como compartilhamento é feita uma busca no arquivosmb.conf procurando por um nome de compartilhamento que confira. Caso nenhum sejaencontrado, é feita uma busca por um nome de usuário correspondente no arquivo /etc/passwd,se um nome conferir e a senha enviada também, o diretório de usuário é disponibilizado comoum compartilhamento com o mesmo nome do usuário local. O diretório home do usuário poderáser modificado com o uso de mapeamento de nomes. Quando o caminho do compartilhamentonão for especificado, o SAMBA utilizará o diretório home do usuário (no /etc/passwd).Para maior segurança da instalação, principalmente porque o diretório home do usuário não éum requerimento para a autenticação de usuário, recomendo usar a variável de substituição %Sapontando para um diretório com as permissões apropriadas configuradas em seu sistema, porexemplo:[homes]comment = Diretórios de Usuáriospath=/pub/usuarios/%SVocê apenas terá o trabalho extra de criar os diretórios de usuários que farão acesso aosistema. Isto não será nenhum problema após você programar um shell script simples queverifique os nomes de contas em /etc/passwd e crie os diretórios com as permissões/gruposadequados.Os parâmetros aceitos em [homes] aqui são os mesmos usados para compartilhamentosnormais.OBS1:Caso nenhum caminho de compartilhamento seja utilizado, o diretório home dousuário será compartilhado.OBS2:Não utilize o parâmetro public yes na seção guest, caso contrário todos osdiretórios de usuários serão lidos por todos.Seção [printers]Esta seção tem a função de disponibilizar as impressoras existentes no sistema (lp, lp1, lp2, etc)existentes no /etc/printcap como compartilhamento de sistemas Windows. O método que osRoberto Amaral – Marcelo Farias Página 9517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXnomes de impressoras são pesquisados é idêntico a forma feita para a seção [homes]: Primeiroo nome do compartilhamento é pesquisado como um nome de serviço, depois se ele é um nomede usuário (tentando mapear o serviço disponibilizado em [homes]), depois será verificado aseção [printers].OBS:É importante lembrar que a seção [printers] DEVE ser definida como printableusando o parâmetro printable = yes para funcionar. O utilitário testparm poderá serusado para verificar problemas no arquivo de configuração do SAMBA.Compartilhamento de arquivos e diretóriosEsta seção documenta como disponibilizar arquivos e impressoras com o SAMBA e osparâmetros usados para realizar restrições de compartilhamento, modo que os dados serãodisponibilizados e itens de performance. A maior parte destes parâmetros é empregada emserviços do SAMBA, mas nada impede que também sejam colocados na seção [global] doarquivo de configuração, principalmente quando isto é válido para diversos serviçoscompartilhados.Descrição de parâmetros usados em compartilhamentoAbaixo temos algumas das opções que podem ser usadas para controlar o comportamento docompartilhamento de arquivos por serviços no servidor SAMBA: pathIndica o diretório que será compartilhado. Lembre-se que o usuário terá as permissões deacesso que ele teria caso estivesse logado no sistema como um usuário UNIX normal, exceto seestiver fazendo mapeamento para outros nomes de usuários. Ex: path=/pub - Compartilha odiretório local /pub.OBS: Quando não é definido um path, o diretório /tmp é usado como padrão.commentDescrição do compartilhamento que será mostrada na janela de procura de rede ou nosmbclient -L maquina.Ex: comment=Pasta de conteúdo público do sistema.browseableDefine se o compartilhamento será ou não exibido na janela de procura de rede. Mesmo nãosendo exibido, o compartilhamento poderá ser acessado. Ex: browseable=yes - Lista ocompartilhamento na janela de pesquisa de servidores.guest accountConta que será usada para fazer acesso sem senha (convidado) quando o parâmetro guest okou public forem usados em um compartilhamento. Por padrão ela é mapeada para o usuárioRoberto Amaral – Marcelo Farias Página 9617/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXnobody. É importante especificar uma nome de usuário guest (convidado), principalmenteporque seu UID será usado para fazer várias operações no SAMBA, como exibir os recursosdisponíveis na máquina para a rede. Por motivos claros, é recomendável que este usuário nãotenha acesso login ao sistema.Caso não tenha a intenção de ocultar o SAMBA na lista de máquinas da rede (fazendo apenasacesso direto aos recursos), especifique um valor para esta opção.Ex: guest account = sambausr - Mapeia os usuários se conectando sem senha para o usuáriosambausr, desde que o acesso guest seja permitido pela opção public.publicPermitem aos usuários usuários se conectarem ao compartilhamento sem fornecer uma senhausando o usuário guest. O UID que o usuário guest será mapeado é especificado peloparâmetro guest account. O parâmetro guest ok é equivalente a public. Ex: public = no - Nãopermiteguest onlyPermite somente conexões guest ao recurso. O UID do usuário é mapeado para guest, mesmoque forneça uma senha correta. O valor padrão é no. Ex: guest only = no.write listLista de usuários separados por espaço ou vírgula que poderão ler e gravar nocompartilhamento. Caso o nome for iniciado por "@", o nome especificado será tratado comoum grupo UNIX (/etc/group) e todos os usuários daquele grupo terão acesso de gravação. O usodeste parâmetro ignora o read only = yes.Ex: write list = adminsamba, @usuarios - Permite acesso gravação somente do usuárioadminsamba e todos os usuários pertencentes ao grupo @usuarios.OBS: - O significado de "@" nos parâmetros "invalid users"/"valid users" é diferentedas opções write list e read list.read listLista de usuários separados por espaço ou vírgula que poderão apenas ler o compartilhamento.O caracter "@" pode ser especificado para fazer referência a grupos, como no write list. O usodeste parâmetro ignora o read only = no. Ex: read list = nobody, system, operador, @usuarios -Permite acesso de leitura somente do usuário nobody, system, operador e todos os usuáriospertencentes ao grupo @usuarios.userEspecifica um ou mais nomes de usuários ou grupos (caso o nome seja seguido de "@") parachecagem de senha. Quando o cliente somente fornece uma senha (especialmente na rede LanManager, Windows for Workgroups e primeira versão do Windows 95) ela será validada noRoberto Amaral – Marcelo Farias Página 9717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXbanco de dados de senhas usando o usuário especificado nesta opção. Ex: user = john@usuariosredeonly userEspecifica se somente serão permitidas conexões vindas de usuários da diretiva user. O padrãoé no. Caso deseje restringir o acesso a determinados usuários, o certo é faze-lo usando validusers e invalid users. O uso de only user é apropriado quando é necessário um controleespecífico de acesso sobre a diretiva user. Ex: only user = no.lockingPermite ao SAMBA fazer um lock real de arquivo ou apenas simular. Caso seja especificadocomo "0", o arquivo não é bloqueado para acesso exclusivo no servidor mas uma respostapositiva de lock é retornada ao cliente. Se definido como "1", um lock real é feito. O padrão éyes. Ex: locking = yesavailableFaz o SAMBA ignorar o compartilhamento (como se tivesse retirado do servidor). O valorpadrão é "no".follow symlinksPermite o uso de links simbólicos no compartilhamento (veja também a opção wide links). Adesativação desta opção diminui um pouco a performance de acesso aos arquivos. Como érestrita a compartilhamento, o impacto de segurança depende dos dados sendo compartilhados.O valor padrão desta opção é "YES". Ex: follow symlinks = yeswide linksPermite apontar para links simbólicos para fora do compartilhamento exportado pelo SAMBA.O valor padrão esta opção é "YES". Ex: wide links = yes.OBS: - A desativação desta opção causa um aumento na performance do servidorSAMBA, evitando a chamada de funções do sistema para resolver os links. Entretanto,diminui a segurança do seu servidor, pois facilita a ocorrência de ataques usando linkssimbólicos.Lembre-se mais uma vez que a segurança do seu sistema começa pela política e uma instalaçãobem configurada, isso já implica desde a escolha de sua distribuição até o conhecimento depermissões e planejamento na implantação do servidor de arquivos.dont descendNão mostra o conteúdo de diretórios especificados. Ex: dont descend = /root, /proc,/win/windows, "/win/Arquivos de Programas", "/win/program files".printableEspecifica se o compartilhamento é uma impressora (yes) ou um compartilhamento dearquivo/diretório (no). O padrão é "no".Roberto Amaral – Marcelo Farias Página 9817/10/2011

ead onlyUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXEspecifica se o compartilhamento é somente para leitura (yes) ou não (no) para todos osusuários. O parâmetro writable é um antônimo equivalente a este parâmetro, só que utiliza asopções invertidas. Por segurança, o valor padrão é somente leitura. Ex: read only = yes.create maskModo padrão para criação de arquivos no compartilhamento. O parâmetro "create mode" é umsinônimo para este. O modo de arquivos deve ser especificado em formato octal. Ex: createmask = 0600.directory maskModo padrão para a criação de diretórios no compartilhamento. O parâmetro "directory mode"é um sinônimo para este. O modo de diretório deve ser especificado em formato octal. Ex:directory mask = 0700.getwd cachePermite utilizar um cache para acesso as requisições getwd, diminuindo o número de ciclos deprocessamento para acesso a arquivos/diretórios. O valor padrão é "Yes".write cache sizeTamanho do cache de leitura/gravação do compartilhamento. Este valor é especificado embytes e o padrão é "0". Ex: write cache size = 384000.inherit permissionsPermite herdar permissões de arquivos/diretórios do diretório pai quando novosarquivos/diretórios são criados, isto inclui bits SGID (set group ID). O padrão é NÃO herdarpermissões. O uso desta opção substitui as opções fornecidas por create mask, directory mask,force create mask e force directory mask. Ex: inherit permissions.preexecExecuta um comando antes a abertura de um compartilhamento. O parâmetro exec é umsinônimo para este.postexecExecuta um comando depois da utilização do compartilhamento.preexec closeFecha imediatamente o compartilhamento caso o valor do comando executado pela opçãopreexec seja diferente de 0. O uso desta opção só faz sentido em conjunto com preexec. O valorpadrão é "no". Exemplo: preexec close = yes.volume = nomeRetorna o nome de volume especificado quando é feito o acesso ao compartilhamento. Isto émuito útil para instalações onde o serial do CD, disquete ou HD é verificado durante o acesso.Roberto Amaral – Marcelo Farias Página 9917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXIsto acontece com freqüência em produtos de fabricantes proprietários como forma de evitar aexecução ilegal do programa.WINSEste é um serviço de resolução de nomes que funciona de forma semelhante ao DNS, só quevoltado para o NetBIOS. Quando uma máquina cliente NetBIOS entra na rede, o servidor WINSpega seu nome e IP e inclui em uma tabela para futura consulta pelos clientes da rede.Esta tabela consultada toda vez que um cliente NetBIOS solicita um nome de máquina,componentes do grupo de trabalho ou domínio na rede. Uma outra aplicação importante de umservidor WINS é permitir a resolução de nomes em pontos de redes que requerem roteamento,a simplicidade de um protocolo não roteável como o NetBIOS fica limitada a simplicidade dasinstalações de rede. Um servidor WINS pode ser instalado em cada ponta da rede e elestrocarem dados entre si e atualizar suas tabelas de nomes/grupos de trabalhos/IPs.A resolução de nomes de máquinas será feita consultando diretamente a máquina WINS aoinvés de broadcasting (que geram um tráfego alto na rede).Configurando o servidor WINSPara ativar o servidor WINS no samba, inclua as seguinte linha na seção [global] do seu arquivo/etc/samba/smb.conf:[global]wins support = yeswins proxy = nodns proxy = nomax wins ttl = 518400O parâmetro wins proxy pode ser necessário para alguns clientes antigos que tenhamproblemas no envio de suas requisições WINS. O dns proxy permite que o servidor WINS faça apesquisa no DNS para localização de nomes de máquinas caso não exista no cache. Ambas asopções wins support, wins proxy e dns proxy tem como valor padrão não.Se estiver configurando uma subrede com masquerade para acesso a um PDC ou um servidorWINS, você terá que mexer no gateway central para apontar uma rota para o gatewaymasquerade. O motivo disto é porque o masquerade do Linux atua somente nos cabeçalhos,mas o IP da estação é enviada e processada pelo PDC para retornar uma resposta. Da mesmaforma, este IP é registrado no servidor WINS para uso das estações de trabalho. Isto só vai serresolvido quando for escrito um módulo de conntrack para conexões SAMBA.OBS1: NUNCA configure mais de um servidor WINS em uma mesma rede.OBS2: NÃO especifique o parâmetro wins server caso esteja usando o suporte a WINS.Roberto Amaral – Marcelo Farias Página 10017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXAtivando o suporte a senhas criptografadasO uso de senhas criptografadas é um requisito quando você deseja configurar o SAMBA paraser um servidor PDC ou um cliente de um domínio. Quando utiliza senhas criptografadas, elastrafegam em formato seguro através da rede, dificultando a captura por outras pessoas. Emversões mais recentes do Windows (a partir da OSR/2 e NT 4 service pack3) o suporte a senhascriptografadas vem habilitado como padrão para login e utilização de serviços da rede.O utilitário smbpasswd é o programa utilizado para gerenciar o arquivo de senhas e também ostatus de contas de usuários/máquinas do domínio.Edite o arquivo /etc/samba/smb.conf e altere as seguintes linhas na seção [global] paraadicionar o suporte a senhas criptografadas:[global]encrypt passwords = truesmb passwd file =/etc/samba/smbpasswdA linha encrypt passwords = true diz para usar senhas criptografadas e que o arquivo/etc/samba/smbpasswd contém as senhas (smb passwd file =/etc/samba/smbpasswd).Opções da conta criada no smbpasswd:U - Especifica que a conta é uma conta de usuário normalD - Significa que a conta foi desativada com a opção -dW - Especifica que a conta é uma conta de máquina criada com a opção -mN - A conta não possui senhaPara ativar a conta do usuário adminsamba, usamos o comando:smbpasswd -U adminsambaDigite a senha do usuário e repita para confirmar. Assim que a senha for definida, a conta dousuário é ativada. Você também pode especificar a opção "-s" para entrar com a senha pelaentrada padrão (muito útil em scripts). Apenas tenha cuidado para que esta senha não sejadivulgada em seus arquivos/processos.Reinicie o processo do SAMBA.Verifique se o suporte a senhas criptografadas está funcionando com o comando:smbclient -L localhost -U adminsambaSubstitua localhost pelo IP do servidor e adminsamba pelo usuário. Caso obtenha a mensagemsession setup failed: NT_STATUS_LOGON_FAILURE significa que a senha informada estáincorreta.Roberto Amaral – Marcelo Farias Página 10117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXMigrando de senhas texto plano para criptografadasNo SAMBA, é possível fazer um processo de migração de senhas em texto plano de usuáriospara criptografadas sem que eles deixem de acessar o servidor durante esta mudança. Casoeste seja seu caso, insira o parâmetroupdate encrypted = yesna seção [global] do seu arquivo de configuração smb.conf. A senha criptografada é definidaassim que o usuário se logar usando sua senha em texto plano. Não se esqueça de desativaresta opção ou remove-la após o prazo necessário para que todas as senhas sejam trocadas.Adicionando usuários no smbpasswdA adição de um usuário no smbpasswd segue duas etapas: primeiro é necessário adiciona-lo nosistema com o adduser e depois no samba com o smbpasswd. Você deve estar se perguntandoqual a vantagem de se ter um arquivo separado de usuários se ainda é preciso criar o login nosdois arquivos; O SAMBA para fazer o controle de acesso aos arquivos utiliza além dosmecanismos tradicionais do NT, o controle de permissões a nível UNIX para manter os arquivosainda mais restritos. Além disso, será necessário usuários e grupos para criação e acesso aosistema.Adicione um usuário no sistema com o comando:useradd -g grupo-dominio -c "Usuário de Domínio" -s /bin/false -d /dev/null joãoEste comando adiciona o usuário "joao" no grupo grupo-dominio e não define nem uma shell,diretório home nem senha para este usuário. Isto mantém o sistema mais seguro e não interfereno funcionamento do SAMBA, pois somente é necessário para fazer o mapeamento de UID/GIDde usuários com as permissões do sistema UNIX.É interessante padronizar os usuários criados no domínio para um mesmo grupo para pesquisae outras coisas.Crie o usuário "joao" no SAMBA:smbpasswd -a joaoSerá solicitada a senha do usuário.Removendo usuários do smbpasswdUtilize o comandosmbpasswd -x usuarioRoberto Amaral – Marcelo Farias Página 10217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXpara remover um usuário do arquivo smbpasswd. Se desejar, você pode manter o usuário no/etc/passwd ou remove-lo com o userdel.OBS: Removendo um usuário deste arquivo fará que ele não tenha mais acesso aoSAMBA. Utilize o comando smbpasswd -a testeDesabilitando uma conta no smbpasswdComo administrador, pode ser necessário que precise desativar temporariamente uma conta deusuário por alguma situação qualquer (má utilização de recursos, dúvida se a conta está sendousada, etc.). Remover uma conta e novamente adicioná-la então não é uma situação muitoprática. Utilize então o seguinte comando para desativar uma conta de usuário:smbpasswd -d usuárioQuando a conta de usuário é desativada, uma flag "D" é adicionada às opções do usuário (juntocom as opções "UX").Habilitando uma conta no smbpasswdUma conta desativada com o uso do comando smbpasswd -d pode ser novamente ativadausando:smbpasswd -e usuarioAlterando a senha de um usuárioO utilitário smbpasswd pode ser usado tanto para alterar a senha de usuários locais do SAMBAou de uma conta em um servidor remoto (seja SAMBA, NT, W2K). Para alterar a senha de umusuário local, digite:smbpasswd -U usuarioSerá pedida a antiga senha, a nova senha e a confirmação. Caso seja o usuário root, somente anova senha e a confirmação. Isto é mecanismo de proteção para usuários que esquecem asenha.Para alterar a senha de um usuário remoto, utilize:smbpasswd -r servidor -U usuárioRoberto Amaral – Marcelo Farias Página 10317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXNote que apenas foi adicionada a opção -r servidor comparado com a opção anterior. Adiferença é que a senha antiga do usuário sempre será solicitada para troca (pois o root das 2máquinas pode não ser o mesmo).Definindo acesso sem senha para o usuárioPara fazer um usuário acessar sem senha, use o comando:smbpasswd -n usuarioIsto é completamente desencorajado e necessita que a opção null passwords da seção [global]no arquivo smb.conf esteja ajustada para yes (que NÃO é o padrão).Ativando o suporte a senhas em texto planoEsta forma de autenticação é enviada por implementações NetBIOS antigas, como a encontradano Lan Manager, Windows for Workgroups e Windows 95 OSR1. As versões mais novas destasimplementações enviam a senha em formato criptografado, sendo necessário também usar oformato criptografado no SAMBA para que possa se autenticar.Em geral, o administrador prefere a utilização da autenticação usando texto plano quandodeseja usar o /etc/passwd para autenticação e está usando grupos de trabalho é necessário usarsenhas criptografadas para autenticação).Para configurar o SAMBA para utilizar senhas em texto, modifique o parâmetro encryptpasswords para no:[global]encrypt passwords = noReinicie o SAMBA e a partir de agora, ele usará o /etc/passwd para autenticação.OBS: Tenha certeza de não estar participando de um domínio ou que sua máquina sejao PDC antes de fazer esta modificação.Configuração em DomínioEsta seção descreve todos os passos necessários para configurar um servidor de domínio PDC(Primary Domain Control) com perfis móveis e outros recursos que tornam úteis e seguras aadministração de uma rede NetBEUI.Roberto Amaral – Marcelo Farias Página 10417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXUma breve introdução a um Domínio de redeUm domínio de rede consiste em uma máquina central chamada de PDC, que mantém ocontrole de todas as contas de usuários/grupos e permissões para acesso a rede NetBEUI. Oacesso desta forma é centralizado, como vantagem disto você pode usar o nível de acesso porusuários nas máquinas, definindo quais usuários ou grupos terão acesso de leitura/gravação.É permitido criar scripts de logon, assim comandos programados pelo administrador serãoexecutados nas máquinas clientes durante o logon no.O nome da máquina é protegido contra hijacking através de contas de máquinas que fazemparte do domínio. Isto só é possível em clientes Linux, Windows NT, Windows 2000 e WindowsXP.Você poderá usar perfis móveis, copiando todas as personalizações do seu desktop paraqualquer máquina na rede que você faça o logon. Para o administrador, ele poderá definirpolíticas com o Poledit e outros programas que serão salvas junto com o perfil do usuário,valendo para qualquer máquina que ele se autentique na rede.Local Master BrowserÉ a máquina que ganhou a eleição no segmento local de rede. Logo que é declarada o localmaster browser, ela começa a receber via broadcasting a lista de recursos compartilhados porcada máquina para montar a lista principal que será retornada para outras máquinas do grupode trabalho ou outras subredes que solicite os recursos compartilhados por aquele grupo.Uma nova eleição é feita a cada 36 minutos ou quando a máquina escolhida é desligada.Domain Master BrowserQuando o local master browse é eleito no segmento de rede, uma consulta é feita ao servidorWINS para saber quem é o Domain Master Browse da rede para enviar a lista decompartilhamentos. A máquina escolhida como Local Master Browse envia pacotes para a portaUDP 138 do Domain Master e este responde pedindo a lista de todos os nomes de máquinasque o local master conhece, e também o registra como local master para aquele segmento derede.Caso tenha configurado sua máquina para ser o domain master browser da rede (tambémchamado de controlador principal de domínio ou PDC), ela tentará se tornar a máquina queterá a lista completa de recursos enviados pelos locais master browsers de cada segmento derede. Um PDC também é o local master browse de seu próprio segmento de rede.É possível ter mais de um domain master browse, desde que cada um controle seu própriodomínio, mas não é possível ter 2 domain master browsers em um mesmo domínio. Caso utilizeRoberto Amaral – Marcelo Farias Página 10517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXum servidor WINS em sua rede, o PDC fará consultas constantes em sua base de dados paraobter a lista de domínios registrados. O domínio é identificado pelo caracter 1b na rede.OBS: O Windows NT configurado como PDC sempre tenta se tornar o domain masterbrowser em seu grupo de trabalho. Não sendo possível retirar o Windows NTconfigurado como PDC do domínio (por alguma outra razão), a única forma serádeixar ele ser o domain master browser. Se este for o caso, você poderá continuarlendo este documento para aprender mais sobre NetBIOS e talvez ainda mudar deidéia sobre manter o NT na rede após ver as características do SAMBA ;-)Configurando um servidor PDC no SAMBAPara configurar uma máquina para ser o PDC (Controladora Principal de Domínio ou PrimaryDomain Control), siga esta seqüência:Habilite o suporte a senhas criptografadas. Na seção [global], insira/modifique os seguintesparâmetros:;Identificação da máquina e domínionetbios name = adminsambaworkgroup = empresa;níveis de acesso e funções do servidorsecurity = userdomain master = yesprefered master = yeslocal master = yes; senhas criptografadasencrypt passwords = yessmb passwd file = /etc/samba/smbpasswd.dbOnde os parâmetros significam:netbios name = adminsamba - Nome do computador. Este também será o nome usado pelasoutras máquinas clientes quando for configurar o PDC (controlador de domínio).workgroup = empresa - Nome do domínio que está criando. Todas as máquinas quepertencerem a este domínio terão o nível de acesso definido pelo PDC. Note que o parâmetroworkgroup também é usado ao especificar o nome do grupo de trabalho quando se é usado aconfiguração grupo de trabalho.Roberto Amaral – Marcelo Farias Página 10617/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXsecurity = user - Requerido para controle de acesso por domínio, já que é utilizado o controlede acesso local usando usuários e grupos locais.domain master = yes - Especifica se está máquina está sendo configurada para ser o PDC darede.OBS: Certifique-se que não existe outro PDC no domínio.prefered master = yes - Força uma eleição com algumas vantagens para seu servidor ser eleitosempre como o controlador de domínio. Isto garante que a máquina SAMBA sempre seja o PDC.local master = yes - Define se a máquina será o controlador principal do grupo de trabalholocal que ela pertence.Pronto, agora teste se existem erros em sua configuração executando o comando testparm ecorrija-os se existir. Resta agora reiniciar o servidor nmbd para que todas as suas alteraçõestenham efeito.Contas de máquinas de domínioUma conta de máquina de domínio garante que nenhum outro computador possa utilizar omesmo nome de uma máquina confiável e assim utilizar os compartilhamentos que ela tempermissão. Os clientes Windows NT, Windows XP e Windows 2000 precisam de uma conta demáquina para ter acesso ao domínio e seus recursos. A criação de uma conta de máquina ébastante semelhante a criação da conta de um usuário normal no domínio.Existe uma coisa que precisa sempre ter em mente quando estiver configurando uma conta demáquina de domínio: Quando você cria uma conta para a máquina, ela entra e altera sua senhano próximo logon usando um "segredo" entre ela e o PDC, este segredo a identifica semprecomo dona daquele nome NetBIOS, ou seja, até o primeiro logon no NT, outra máquina com omesmo nome NetBIOS poderá ser a dona do netbios naquele domínio caso faça o logon nodomínio. A única forma de se evitar isto é logar imediatamente no domínio NT assim que criaras contas de máquinas.Existem duas formas para criação de contas de máquinas: manual e automática.Criando contas de máquinas manualmentePara criar uma conta de domínio para a máquina master, siga estes 2 passos:Crie uma conta de máquina no arquivo /etc/passwd:useradd -g domainmac -c "Maquina de Dominio" -s /bin/false -d /dev/null master$O comando acima cria uma conta para a máquina master$ e torna ela parte do grupodomainmac. É necessário especificar o caracter $ após o nome da máquina para criar umaconta de máquina no domínio, caso contrário o próximo passo irá falhar. Acredito que nasRoberto Amaral – Marcelo Farias Página 10717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXpróximas versões do SAMBA seja desnecessário o uso do arquivo /etc/passwd para a criação decontas de máquina.Crie uma conta de máquina no arquivo /etc/samba/smbpasswd:smbpasswd -m -a masterIsto cria uma conta de máquina para o computador master no arquivo /etc/samba/smbpasswd.Note que a criação de uma conta de máquina é muito semelhante a criação de um usuárioapenas precisa adicionar a opção -m. Quando for criar uma conta com o smbpasswd Não énecessário especificar $ no final do nome da máquina.O mais importante: Entre IMEDIATAMENTE no domínio após criar a conta de máquinausando a conta de administrador de domínio criada no SAMBA. Como a máquina ainda não seautenticou pela primeira vez, qualquer máquina que tenha o mesmo nome e entre no domínio,poderá alocar o nome recém criado. A única forma de resolver este problema, é apagando aconta de máquina e criando-a novamente no domínio. Siga os passos de acordo com o sistemaoperacional em Configurando clientes em Domínio para colocar seus clientes em domínio.Criando contas de máquinas automaticamenteAtravés deste método, as máquinas clientes terão sua conta criada automaticamente assim queseja feita a entrada no domínio usando a conta do administrador de domínio no SAMBA. Este éo método recomendável de colocação de máquinas no domínio por ser mais prática ao invés dométodo manual. Note que normalmente isto funciona para o WinXP e Win2000 mas nãofunciona em redes com o NT4, devendo ser criadas contas de máquinas usando o métodomanual.Para fazer a configuração automática, coloque a seguinte linha no arquivo smb.conf na seção[global]:add user script = useradd -g domainmac -c "Maquina de Dominio" -s /bin/false -d /dev/null%uAssim, a conta de máquina será automaticamente criada quando o administrador fizer suaconfiguração no domínio. No SAMBA 3.0, a opção add machine script deverá ser usada no lugarde add user script para adicionar uma máquina no domínio.Criando uma conta de administrador de domínioA conta de administrador do domínio é a conta que tem permissões para realizar operações demanutenção e administração de máquinas que compõem o domínio de rede. Com ela é possível,entre outras coisas, adicionar e remover máquina que compõem o domínio. Para especificar queRoberto Amaral – Marcelo Farias Página 10817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXcontas de usuários do arquivo /etc/samba/smbpasswd que terão poderes administrativos, utilizea opção domain admin group ou admin users na seção [global] do arquivo /etc/samba/smb.conf.O parâmetro admin users permite que todas as operações realizadas pelo usuário sejam feitascom poderes de usuário root. Isto é necessário porque o arquivo smbpasswd (usado paraajustar as contas de máquinas) normalmente tem permissões de leitura/gravação somente pararoot. O domain admin group permite que usuários específicos ou usuários do grupoespecificado sejam parte do grupo de administradores do domínio para adicionar máquinas,etc. Por exemplo, para tornar o usuário adminsamba com privilégios para adicionar/removermáquinas no domínio:[global]...admin users = adminsambaoudomain admin group = @admins adminsambaIsto permite que o usuário adminsamba possa adicionar/remover máquinas do domínio NTentre outras tarefas. Por segurança, recomendo que coloque esta conta no invalid users decada compartilhamento para que seja utilizada somente para fins de gerenciamento demáquinas no domínio, a menos que deseje ter acesso total aos compartilhamentos do servidor(nesse caso, tenha consciência do nível de acesso que esta conta possui e dos problemas quepode causar caso caia em mãos erradas).Compartilhamento de impressão no servidor SAMBAConfigurando o Linux como um servidor de impressão WindowsSerá necessário ter o pacote samba instalado e adicionar as seguintes linhas no seu arquivo/etc/samba/smb.conf:[hp-printer]path = /tmpprinter name=HP DeskJet 690Cprintable = yesprint command = lpr -r -h -P %p %svalid users = winuser winuser2create mode = 0700O compartilhamento acima tornará disponível a impressora local "lp" as máquinas Windowscom o nome "HP DeskJet 690C". Uma impressora alternativa pode ser especificada modificandoRoberto Amaral – Marcelo Farias Página 10917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXa opção -P da linha de comando do lpr. Note que somente os usuários "winuser" e "winuser2"poderão usar esta impressora. Os arquivos de spool (para gerenciar a fila de impressão) serãogravador em /tmp (path = /tmp) e o compartilhamento [hp-printer] será mostrado como umaimpressora (printable = yes).Agora será necessário instalar o driver desta impressora no Windows (HP 690C) e escolherimpressora instalada via rede e seguir os demais passos de configuração.Controle de acesso ao servidor SAMBANível de acesso de usuários conectados ao SAMBAQuando acessa um compartilhamento, o usuário do samba é mapeado com o UID respectivo deusuário do sistema ou o usuário guest (especificado pela opção "guest account") no caso de umacesso público. Quando isto ocorre, um processo filho do smbd é executado sobre o UID e GIDdeste usuário. Isto significa que em nenhuma ocasião o SAMBA dará mais permissões que asnecessárias para o usuário (com excessão de quando é usado o parâmetro admin users).Restringindo o acesso por IP/redeEsta restrição pode ser feita pelos parâmetros allow hosts e deny hosts tanto em serviçosindividuais ou em todo o servidor. Os parâmetros hosts allow e hosts deny são equivalentes aestes acima. O allow hosts permite o acesso a máquina especificadas como argumento. Sãopermitidos os seguintes métodos para permitir o acesso a uma máquina/rede:192.168.1.1 - IP da máquinaservidor - Nome da máquina192.168.1.0/255.255.255.0 - IP com máscara de rede192.168.1.0/24 - IP com máscara de rede octal192.168.1. - Porção de rede sem o host (como no hosts.allow e hosts.deny.@nome - Pesquisa por máquinas no grupo NIS.É permitido usar mais de um endereço IP separando-os por vírgulas ou espaços. A palavrachave EXCEPT pode ser usada para fazer excessão de um ou mais endereços IPs, por exemplo:hosts allow = 192.168.1. EXCEPT 192.168.1.20Que permite o acesso a toda as máquinas da faixa de rede 192.168.1.0/24 exceto para a192.168.1.20.O deny hosts possui a mesma sintaxe do allow hosts mas bloqueia o acesso das máquinasespecificadas como argumento. Quando o allow hosts e deny hosts são usados juntos, asmáquinas em allow hosts terão prioridade (processa primeiro as diretivas em allow hosts edepois em deny hosts).Roberto Amaral – Marcelo Farias Página 11017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXSe você está executando o SAMBA via inetd, os arquivos hosts.allow e hosts.deny sãoverificados antes do controle e acesso ao smbd. Caso estiver usando o SAMBA via inetd edeseja restringir o acesso usando TCP Wrappers.OBS: Lembre-se de usar o testparm para verificar a sintaxe do arquivo smb.confsempre que desconfiar de problemas.Testando a restrição de Acesso por IP/RedesUm método interessante e útil para testar se a nossa configuração vai bloquear o acesso aserviços é usando o testparm da seguinte forma:testparm /etc/samba/smb.conf IP/hostVocê precisará dizer para o testparm qual é o arquivo de configuração que está usando e oendereço IP/nome de host que fará a simulação de acesso. Este método não falsifica o endereçoIP para testes, apenas usa os valores em allow hosts e deny hosts para checagem. Por exemplo,para verificar o acesso vindo do IP 192.168.1.50:testparm /etc/samba/smb.conf 192.168.1.50Load smb config files from /etc/samba/smb.confProcessing section "[homes]"Processing section "[printers]"Processing section "[tmp]"Processing section "[cdrom]"Loaded services file OK.Allow connection from /etc/samba/smb.conf (empresa) to homesAllow connection from /etc/samba/smb.conf (empresa) to printersAllow connection from /etc/samba/smb.conf (empresa) to tmpAllow connection from /etc/samba/smb.conf (empresa) to cdromRestringindo o acesso por interface de redeEsta restrição de acesso permite que façamos o SAMBA responder requisições somente para ainterfaces indicadas. O método de segurança descrito em Restringindo o acesso por IP/redeserão analisadas logo após esta checagem.Para restringir o serviço SAMBA a interfaces, primeiro será necessário ativar o parâmetro bindinterfaces only usando 1, yes ou true (o padrão é desativado). Depois, definir que interfacesserão servidas pelo samba com o parâmetro interfaces. Os seguintes formatos de interfaces sãopermitidos:Roberto Amaral – Marcelo Farias Página 11117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXeth0, sl0, plip0, etc - Um nome de interface local. É permitido o uso de * para fazer o SAMBAmonitorar todas as interfaces que iniciam com aquele nome (por exemplo, eth*).192.168.1.1, 192.168.1.2, etc - Um endereço IP de interface local.192.168.1.2/24, 192.168.1.2/255.255.255.0 - Um par de endereço/máscara de rede.Mais de uma interface pode ser usada separando-as com vírgula ou espaços. A escolha do usode nome da interface ou do IP é feita de acordo com a configuração da máquina. Em umamáquina DHCP por exemplo, é recomendado o uso do nome da interface. Quando bindinterfaces only estiver ativado, o padrão é esperar conexões em todas as interfaces quepermitem broadcast exceto a loopback.Exemplo:bind interfaces only = 1interfaces = loopback eth0Permite o recebimento de requisições de acesso ao SAMBA somente da interface loopback(desnecessário, pois como notou durante a leitura, sempre é permitida a conexão) e eth0.Restringindo o acesso por usuáriosPermite que você controle quem poderá ou não acessar o compartilhamento da máquina. Estecontrole é feito pelos parâmetros valid users e invalid users.O invalid users lista de usuário que NÃO terão acesso ao compartilhamento. Se o nome foriniciado por "+" o parâmetro será tratado como um nome de grupo UNIX (/etc/group). Ocaracter "&" faz ele pesquisar o nome de grupo no banco de dados NIS. O caracter "@" permitefazer a busca do grupo primeiro no banco de dados NIS e caso ele não seja encontrado, noarquivo de grupos do sistema (/etc/group).É possível usar a combinação de caracteres "+&" e "&+" para alternar a ordem de busca entero /etc/group e o NIS.Exemplos:invalid users = junior, marcio, +badusersNão permite que os usuários especificados e os usuários do grupo +badusers tenham acesso aocompartilhamento.invalid users = &;semacessoBloqueia o acesso de todos os usuários NIS que pertençam ao grupo semacesso.invalid users = bruno, henrique, +@users,Bloqueia o acesso dos usuários bruno, henrique e de todos os usuários que pertençam ao grupousers. A pesquisa de grupo é feita primeiro no /etc/group e em seguida no NIS.invalid users = @semacessoRoberto Amaral – Marcelo Farias Página 11217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXBloqueia o acesso dos usuários que pertencem ao grupo "semacesso". A pesquisa é feitaprimeiro no NIS e depois no /etc/group (equivalente ao uso de "&+").O valid users possui a mesma sintaxe de funcionamento do invalid users, mas permite somenteo acesso para os usuários/grupos listados. Caso a opção valid users não seja especificada ou alista esteja vazia, o acesso é permitido. Se um mesmo nome de usuário estiver na lista validusers e invalid users, o padrão é ser mais restritivo, negando o acesso.valid users = adminsamba, michelle, geoA segurança deste método de acesso depende muito da forma de autenticação dos nomes antesde passar o controle para o SAMBA, pois uma autenticação fraca põe em risco a segurança dasua máquina.Evite o uso do parâmetro hosts equiv!Este parâmetro permite que máquinas tenham acesso sem senha a um servidor.Evite o uso de senhas em branco!O parâmetro null passwords é usado na seção [global] permitindo que contas de usuários semsenha tenham acesso permitido ao servidor. ISTO É TOTALMENTE INSEGURO e deve sersempre evitado.Criando um compartilhamento para acesso sem senhaEm algumas situações (mesmo em instalações seguras) é preciso tornar um compartilhamentoacessível publicamente, exemplos disto incluem um diretório que contém drivers deimpressoras, arquivos comuns, um diretório temporário, etc.Para configurar um acesso público utilizamos a opção public = yes ou guest ok = yes (que é umsinônimo para o último comando). O UID utilizado no acesso público é especificado peloparâmetro guest account, portanto ele deverá ser um usuário válido do sistema. Caso vocêqueira somente definir acesso guest a um compartilhamento, especifique a opção guest onlypara o serviço, desta forma, mesmo que o usuário tenha acesso, ele será mapeado para ousuário guest.Uma boa medida de segurança é usar o usuário nobody pois a maioria das distribuições deLinux seguras adotam-o como padrão como usuário que não é dono de quaisquerarquivos/diretórios no sistema, não possui login, senha ou sequer um diretório home.Veja um exemplo disponibilizando o compartilhamento [download] para acesso público comacesso a gravação:[global]guest account = nobodyRoberto Amaral – Marcelo Farias Página 11317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídos....CURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX[download]path = /downloadscomment = Espaço público para abrigar downloads de Usuáriosguest ok = yes (aqui poderá ser também "public = yes").writable = yesfollow symlinks = falseO parâmetro guest account também poderá ser especificado no compartilhamento, isto é útilquando não quiser que o usuário que acesse o compartilhamento não seja o mesmo usado nadiretiva [global].Caso seu servidor somente disponibiliza compartilhamentos para acesso público, é maisrecomendado utilizar o nível security = share pra diminuir a carga máquina, pois o usuárioguest será o primeiro a ser checado pelas regras de acesso (ao contrário do nível user, onde oacesso guest é o último checado).Criando um compartilhamento com acesso somente leituraEsta proteção é útil quando não desejamos que pessoas alterem o conteúdo de umcompartilhamento. Isto pode ser feito de duas formas: negando o acesso de gravação para todoo compartilhamento ou permitindo leitura somente para algumas pessoas. O parâmetro usadopara fazer a restrição de acesso somente leitura é o read only = yes ou seu antônimo writable =no. Abaixo seguem os dois exemplos comentados:[teste]comment = Acesso a leitura para todospath = /tmpread only = yespublic = yesNo exemplo acima, o diretório /tmp (path = /tmp) foi compartilhado com o nome teste ([teste]),de forma pública (acesso sem senha - public = yes), e todos podem apenas ler seu conteúdoread only = yes).[teste]comment = Acesso a gravação para todos com excessõespath = /tmpread only = noRoberto Amaral – Marcelo Farias Página 11417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídosread list = @users, adminsambainvalid users = rootCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXNeste, o mesmo compartilhamento teste ([teste]) foi definido como acesso leitura/gravaçãopara todos (read only = no), mas os usuários do grupo @users e o usuário adminsamba terãosempre acesso leitura (read list = @users, adminsamba). Adicionalmente foi colocada umaproteção para que o superusuário não tenha acesso a ele (invalid users = root). Esta forma derestrição é explicada melhor em Excessão de acesso na permissão padrão decompartilhamento).Criando um compartilhamento com acesso leitura/gravaçãoEsta forma de compartilhamento permite a alteração do conteúdo do compartilhamento dosusuários que possuem as permissões de acesso apropriadas. Este controle pode ser feito deduas formas: Acesso total de gravação para os usuários e acesso de gravação apenas paradeterminados usuários. Este controle é feito pela opção read only = no e seu antônimoequivalente writable = yes. Abaixo dois exemplos:[teste]comment = Acesso de gravação para todos.path = /tmpwritable = yespublic = yesNo exemplo acima, o diretório /tmp (path = /tmp) foi compartilhado com o nome teste ([teste]),de forma pública (acesso sem senha - public = yes) e todos podem ler/gravar dentro dele(writable = yes).[teste]comment = Acesso a leitura para todos com excessõespath = /tmpwritable = nowrite list = @users, adminsambaNeste, o mesmo compartilhamento teste ([teste]) foi definido como acesso de leitura para todos(writable = no), mas os usuários do grupo @users e o usuário adminsamba serão os únicos queterão também acesso a gravação (write list = @users, adminsamba). Esta forma de restrição éexplicada melhor em Excessão de acesso na permissão padrão de compartilhamento).Roberto Amaral – Marcelo Farias Página 11517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXExcessão de acesso na permissão padrão de compartilhamentoÉ possível alterar o nível de acesso para determinados usuários/grupos em umcompartilhamento, para entender melhor: Caso tenha criado um compartilhamento somenteleitura e queira permitir que apenas alguns usuários ou grupos tenham acesso a gravação, istoé possível e será explicado nesta seção. Este comportamento é controlado por duas opções:read list e write list. Veja alguns exemplos:[temporario]comment = Diretório temporáriopath = /tmpwritable = yesread list = adminsamba, rootbrowseable = noavailable = yesNeste exemplo, disponibilizamos o diretório /tmp (path = /tmp) como compartilhamento denome temporario ([temporario]), seu acesso padrão é leitura/gravação para todos (writable =yes), exceto para os usuários root e adminsamba (read list = root, adminsamba). Em adição,tornamos o compartilhamento invisível no "Ambiente de Rede" do Windows (browseable = no) eele será lido e disponibilizado pelo SAMBA (available = yes).[temporario]comment = Diretório temporáriopath = /tmpwritable = nowrite list = adminsamba, @operadoresbrowseable = yesNeste exemplo, disponibilizamos o diretório /tmp (path = /tmp) como compartilhamento denome temporario ([temporario]), seu acesso padrão é apenas leitura para todos (writable = no),exceto para o usuário adminsamba e usuários do grupo Unix operadores, que tem acesso aleitura/gravação (write list = adminsamba, @operadores). Tornamos o compartilhamentovisível no "Ambiente de Rede" do Windows (browseable = yes - que é o padrão).Criando um compartilhamento invisívelPara não exibir um compartilhamento da lista de compartilhamentos das máquinas, utilize oparâmetro browseable = no. Por exemplo:[teste]path = /tmpRoberto Amaral – Marcelo Farias Página 11617/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídoscomment = Diretório temporárioread only = yesbrowseable = noCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXNeste exemplo, o diretório /tmp (path = /tmp) foi compartilhado através de teste ([teste]) comacesso somente leitura (read only = yes) e ele não será mostrado na listagem decompartilhamentos do ambiente de rede do Windows (browseable = no).Note que o compartilhamento continua disponível, porém ele poderá ser acessado da estaçãoWindows, especificando a \\maquina\compartilhamento. Para acessar o compartilhamento doexemplo acima:# Clique em Iniciar/Executar e digite:\\nome_do_servidor_samba\testeAo contrário das máquinas Windows onde é necessário adicionar um "$" do nome decompartilhamento para criar um compartilhamento oculto (como teste$) o SAMBA cria umcompartilhamento realmente oculto, não aparecendo mesmo na listagem do smbclient.Exemplos de configuração do servidor SAMBAOs exemplos existentes nesta seção cobrem diferentes tipos de configuração do servidor, tantoem modo de compartilhamento com acesso público ou um domínio restrito de rede. Todos osexemplos estão bem comentados e explicativos, apenas pegue o que se enquadre mais em suasituação para uso próprio e adaptações.Grupo de Trabalho com acesso públicoEste exemplo pode ser usado de modelo para construir uma configuração baseada no controlede acesso usando o nível de segurança share e quando possui compartilhamentos de acessopúblico. Esta configuração é indicada quando necessita de compatibilidade com softwaresNetBIOS antigos.[global]# nome da máquina na redenetbios name = teste# nome do grupo de trabalho que a máquina pertenceráworkgroup = empresa# nível de segurança share permite que clientes antigos# mantenham a compatibilidade enviando somente a senha para# acesso ao recurso, determinando o nome de usuário de outrasRoberto Amaral – Marcelo Farias Página 11717/10/2011

# formassecurity = shareUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX# O recurso de senhas criptografadas não funciona quando usamos# o nível share de segurança. O motivo disto é porque# automaticamente é assumido que você está selecionando este# nível por manter compatibilidade com sistemas antigos ou para# disponibilizar compartilhamentos públicos, ondeencrypt passwords = false# Conta que será mapeada para o usuário guestguest account = nobody# Como todos os compartilhamentos desta configuração são de# acesso público coloquei este parâmetro na seção [global],# assim esta opção afetará todos os compartilhamentos.guest ok = 1# Conjunto de caracteres utilizados para acessar os# compartilhamentos. O padrão para o Brasil e países de língua# latina é o ISO 8859-1character set = ISO8859-1# Compartilha o diretório /tmp (path = /tmp) com o nome# "temporario" ([temporario]),# é adicionada a descrição "Diretório temporário" com acesso# leitura/gravação (read only = no) e exibido na janela de# navegação da rede (browseable = yes).[temporario]path = /tmpcomment = Diretório temporárioread only = nobrowseable = yes# Compartilha o diretório /pub (path = /pub) com o nome# "publico" ([publico]). A descrição "Diretório de acesso# público" é associada ao compartilhamento com acesso somente# leitura (read only = yes) e exibido na janela de navegação# da rede (browseable = yes).Roberto Amaral – Marcelo Farias Página 11817/10/2011

[publico]path =/pubUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídoscomment = Diretório de acesso públicoread only = yesbrowseable = yesCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX# Compartilha todas as impressoras encontradas no /etc/printcap# do sistema.[printers]comment = All Printerspath = /tmpcreate mask = 0700printable = Yesbrowseable = NoGrupo de Trabalho com acesso por usuárioO exemplo abaixo descreve uma configuração a nível de segurança por usuário onde existemcompartilhamentos que requerem login e usuários específicos, e restrições de IPs e interfaceonde o servidor opera. Esta configuração utiliza senhas em texto claro para acesso dosusuários, mas pode ser facilmente modificada para suportar senhas criptografadas.[global]# nome da máquina na redenetbios name = teste# nome do grupo de trabalho que a máquina pertenceráworkgroup = empresa# nível de segurança user somente aceita usuários autenticados# após o envio de login/senhasecurity = user# É utilizada senhas em texto claro nesta configuraçãoencrypt passwords = false# Conta que será mapeada para o usuário guestguest account = nobody# Permite restringir quais interfaces o SAMBA responderábind interfaces only = yes# Faz o samba só responder requisições vindo de eth0Roberto Amaral – Marcelo Farias Página 11917/10/2011

interfaces = eth0Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX# Supondo que nossa interface eth0 receba conexões roteadas de# diversas outras redes, permite somente as conexões vindas da# rede 192.168.1.0/24hosts allow = 192.168.1.0/24# A máquina 192.168.1.57 possui gateway para acesso interno, como# medida de segurança, bloqueamos o acesso desta máquina.hosts deny = 192.168.1.57/32# Conjunto de caracteres utilizados para acessar os# compartilhamentos. O padrão para o Brasil e países de língua# latina é o ISO 8859-1character set = ISO8859-1# As restrições do PAM terão efeito sobre os usuários e recursos# usados do SAMBAobey pam restriction = yes# Mapeia o diretório home do usuário autenticado.[homes]comment = Diretório do Usuáriocreate mask = 0700directory mask = 0700browseable = No# Compartilha o diretório win (path = /win) com o nome "win"#([win]). A descrição associada ao compartilhamento será "Disco do Windows", o nome devolume precisa ser especificado pois usamos# programas que a proteção anti cópia é o serial. Ainda fazemos# uma proteção onde qualquer usuário existente no grupo @adm é# automaticamente rejeitado e o usuário "baduser" somente possui# permissão de leitura (read list = baduser).#[win]path = /wincomment = Disco do Windowsvolume = 3CF434CRoberto Amaral – Marcelo Farias Página 12017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídosinvalid users = @admbrowseable = yesread list = baduserCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX# Compartilha o diretório /pub (path = /pub) com o nome "publico"# ([publico]). A descrição "Diretório de acesso público" é# associada ao compartilhamento com acesso somente leitura (read# only = yes) e exibido na janela de navegação da rede (browseable# = yes). O parâmetro public = yes permite que este# compartilhamento seja acessado usando o usuário "nobody" sem o# fornecimento de senha.[publico]path =/pubcomment = Diretório de acesso públicoread only = yesbrowseable = yespublic = yesDomínio[global]# nome da máquina na redenetbios name = teste# nome do grupo de trabalho que a máquina pertenceráworkgroup = empresa# String que será mostrada junto com a descrição do servidorserver string = servidor PDC principal de testes# nível de segurança user somente aceita usuários autenticados# após o envio de login/senhasecurity = user# Utilizamos senhas criptografadas nesta configuraçãoencrypt passwords = truesmb passwd file = /etc/samba/smbpasswd# Conta que será mapeada para o usuário guestguest account = nobody# Permite restringir quais interfaces o SAMBA responderábind interfaces only = yesRoberto Amaral – Marcelo Farias Página 12117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX# Faz o samba só responder requisições vindo de eth0interfaces = eth0# como estamos planejando ter um grande número de usuários na# rede, dividimos os arquivos de log do servidor por máquina.log file = /var/log/samba/samba-%m-%I.log# O tamanho de CADA arquivo de log criado deverá ser 1MB (1024Kb).max log size = 1000# Escolhemos um nível de OS com uma boa folga para vencer as# eleições de controlador de domínio localos level = 80# Dizemos que queremos ser o Domain Master Browse (o padrão é# auto)domain master = yes# Damos algumas vantagens para o servidor ganhar a eleição caso# aconteça desempate por critériospreferred master = yes# Também queremos ser o local master browser para nosso segmento# de redelocal master = yes# Este servidor suportará logon de usuáriosdomain logons = yes# Usuários que possuem poderes para adicionar/remover máquinas no# domínio (terão seu nível de acesso igual a root)admin users = adminsamba# Unidade que será mapeada para o usuário local durante o logon# (apenas sistemas baseados no NT).logon drive = m:# Nome do script que será executado pelas máquinas clienteslogon script = logon.bat# Ação que será tomada durante o recebimento de mensagens do# Winpopup.message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &# Conjunto de caracteres utilizados para acessar osRoberto Amaral – Marcelo Farias Página 12217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX# compartilhamentos. O padrão para o Brasil e países de língua# latina é o ISO 8859-1character set = ISO8859-1# As restrições do PAM terão efeito sobre os usuários e recursos# usados do SAMBAobey pam restriction = yes# Mapeia o diretório home do usuário autenticado. Este# compartilhamento especial é descrito em mais detalhes no inicio# do capítulo sobre o SAMBA no Foca Linux.[homes]comment = Diretório do Usuáriocreate mask = 0700directory mask = 0700browseable = No# Compartilha o diretório win (path = /win) com o nome "win"# ([win]). A descrição associada ao compartilhamento será "Disco# do Windows", o nome de volume precisa ser especificado pois# usamos programas que a proteção anti cópia é o serial. Ainda# fazemos uma proteção onde qualquer usuário existente no grupo# @adm é automaticamente rejeitado e o usuário "baduser" somente# possui permissão de leitura (read list = baduser).#[win]path = /wincomment = Disco do Windowsvolume = 3CF434Cinvalid users = @admbrowseable = yesread list = baduser# Compartilha o diretório /pub (path = /pub) com o nome "publico"# ([publico]). A descrição "Diretório de acesso público" é# associada ao compartilhamento com acesso somente leitura (readRoberto Amaral – Marcelo Farias Página 12317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX# only = yes) e exibido na janela de navegação da rede (browseable# = yes). O parâmetro public = yes permite que este# compartilhamento seja acessado usando o usuário "nobody" sem o# fornecimento de senha.[publico]path =/pubcomment = Diretório de acesso públicoread only = yesbrowseable = yespublic = yes# Compartilhamento especial utilizado para o logon de máquinas na# rede[netlogon]path=/pub/samba/netlogon/logon.batread only = yesRoberto Amaral – Marcelo Farias Página 12417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXServidor de Informação (NIS)O sistema NIS (Network Information System) permite compartilhar bases de dados globais,contendo informações sobre usuários (/etc/passwd), grupos (/etc/group) e hosts (/etc/hosts) em ambienteUnix. Informações compartilhadas por servidores NIS são visíveis pelos cliente, servindo, por exemplo, paraa autenticação de usuários num domínio de redes. As informações compartilhadas pelo NIS eram chamadasde Yellow Pages – yp.A unidade de compartilhamento do NIS são os registros e não o arquivo. Um registro correspondea uma linha de configuração em um arquivo de configuração.A operação deste sistema envolve a execução de um processo servidor (ypserv) numa máquinaque será o mestre de um domínio (NIS máster) e a execução da versão cliente do programa (ypbind) nasmáquinas clientes. A utilização dos arquivos compartilhados para autenticação dos usuários nos cliente,contudo, depende ainda dos ajustes de autenticação.• ypserv: processo servidor do NIS;• ypbind: processo cliente NIS;• yppasswdd: processo de autenticação/modificação de senhas via rede. Deve ser executadono servidor mestre do domínio;• ypinit: script de configuração do servidor NIS (como principal ou secundário). Cria as tabelasa partir dos arquivos em /etc;• yppush: comando para cópia dos arquivos do mestre para os escravos;• portmap: faz o mapeamento entre chamada RPC e número de portas para o serviço NIS;• /etc/yp.conf: arquivo de configuração do cliente NIS;• /etc/ypserv.conf: arquivo de configuração do servidor NIS;• /var/yp: arquivos de configuração e tabelas de domínio exportado pelo servidor;• /var/yp/ypservers; relação dos servidores do domínio;• /var/yp/securenets: relação de redes e hosts autorizados a acessar as informações dodomínioConfiguração do servidorAntes que o servidor NIS possa ser ativado, é preciso criar as tabelas exportadas. Para simplificar aconstrução das tabelas exportadas, entretanto, há um arquivo de configuração em /var/yp. Sua operaçãorequer apenas que o nome do domínio NIS que se deseja atender esteja configurado:• Domainname: define o nome do domínio DNS. Ex: domainname gerds.utp.brRoberto Amaral – Marcelo Farias Página 12517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX• Ypdomainname, nisdomainname: define o nome do domínio NIS. Ex. ypdomainnamegerds.utp.brEmbora sejam normalmente coincidentes, não há restrições entre o nome de domínio DNS e odomínio NIS.A configuração de um servidor NIS requer a instalação do pacote ypserv. Uma vez ajustado o domínioNIS que se deseja gerenciar, é preciso ajustar os scripts de configuração das tabelas exportadas, localizadosno diretório /var/yp.• /var/yp: diretório que contém os arquivos para configuração do servidor NIS e as tabelasexportadas;• /var/yp/Makefile: arquivo de configuração das tabelas que serão criadas para exportação.Configuração (manual) de um servidor NIS:1. Definição do domínio:domainname dom.com.brypdomainname dom.com.br ounisdomaniname dom.com.brou2. Ajuste das tabelas exportadas (/var/yp/Makefile) :cd /var/yp#editar /var/yp/Makefile#editar linha all: passwd group hosts ... à contém relação dos mapas que serão criados paraexportação#editar linha MERGE_PASSWD=true à indica se passwd e shadow serão unificados paraexportação#editar linha MERGE_GROUP=true à indica se group e gshadow serão unificados paraexportação#editar linha MINUID=500 à início dos logins exportados#editar linha MINGID=500 à início dos grupos exportados3. Criação das tabelas exportadasMake à cria tabelas para domínio definido com ypdomaninname, caso não existam, ou atualizaas tabelas existente.Roberto Amaral – Marcelo Farias Página 12617/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXOBS.: O padrão é utilizar os arquivos em /etc como fonte para geração dos maas do NIS. Épossível alterar este padrão, editando o arquivo /var/yp/Makefile, modificando as variáveisYPSRCDIR e YPPWDDDIR para que indiquem o diretório onde estão os arquivos. Assim, éviável manter usuários locais e do NIS de forma independente. As opções MINUID e MINGIDtambém permitem restringir os usuários que serão exportados.Os comandos executados pelo make, equivalem a criação das tabelas, utilizando os comandosabaixo:• /usr/lib/yp/ypinit –m: script para criação das tabelas do servidor. Este script, executandocom opção –m, configura o servidor como “mestre”(ou principal), pegando comoinformações os dados contidos em /etc/passwd, /etc/group, /etc/hosts,/etc/networks, /etc/services, /etc/protocols, /etc/netgroup e /etc/rpc. Inclui, linha alinha, os servidores do NIS.• /usr/lib/yp/yp/ypinit –s nome-do-servidor-principal. A opção –s, seguida do nome doservidor mestre, configura o servidor “escravo” (ou secundário). Pode haver um únicomestre, mas várias escravos.4. Ajustes de segurança: limitar o acesso aos campos das tabelas exportadas editando/etc/ypserv.confUma vez definidas as tabelas que serão exportadas, é preciso realizar ajustes de segurança antes deativar o servidor (ypserv). O ajuste de opção de segurança dos mapas exportados é feito através doarquivo /etc/ypserv.conf.• /etc/ypserv.conf: arquivo com parâmetros para o servidor do domínio NIS:i. Dns: indica se o servidor fará consultas ao servidor DNS para a resolução denomes de domínio não atendidos por /etc/hostsii. Cada linha contém informações sobre uma tabela exportada, incluindo osseguintes campos, separados por “:”:host, mão, security, mangle e field1. host: endereço IP2. map: nome do mapa ou *, para todos os mapas3. security: nome (sempre permite acesso), port (permite acesso se porta

# /etc/ypserv.confUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX# HOST: Domain :Map :Security#* :* :passwd.byname :port # restringe o acesso a tabela* :* :passwd.byuid :port # restringe o acesso a tabela5. Restringir os hosts que poderão fazer a autenticação de usuários usando as tabelas exportadas(/var/yp/securenets)A relação de clientes autorizados a usar as tabelas do sistema (nis clients) é definida através doarquivo /var/yp/securenets. As linhas do arquivo contêm informações sobre as máscaras de rede e osendereços IP autorizados.# /var/yp/securenets#255.0.0.0 127.0.0.0 #libera acesso para o localhost255.255.255.0 200.1.1.0 #libera acesso para a rede 200.1.1.06. Ativação do serviço do servidor:A ativação do servidor é feita iniciando-se o processo ypserv (/usr/sbin/ypserv). O ajuste para suaativação automática nos níveis de execução multiusuário pode ser feita como descrito anteriormente.AplicaçõesàConfigurações do SistemaàConfigurações de ServidoràServiçosPortmapYpservO serviço ypxferd pode ser ativado para auxiliar na transferência dos mapas entre o servidor NISmáster e os servidores slave:Ypxferd7. Habilitando o ajuste de senhas pela rede (yppasswdd):A alteração de senha no ambiente NIS pode ser feita com o comando yppasswd. Para tanto, ;epreciso que o serviço yppasswdd esteja sendo executado no servidor NIS, caso contrário, os usuáriosdeverão fazer um acesso remoto ao servidor para alterar a senha localmente com o comandopasswd.Neste caso, ainda, a nova senha só se torna cálida após a reiniciação do servidor NIS (ypserv).AplicaçõesàConfigurações SistemasàConfigurações de ServidoràServiçosYppasswddNos clientes, a senha da rede pode ser alterada executando-se o comando yppasswd.Roberto Amaral – Marcelo Farias Página 12817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXConfiguração dos clientes para realizarem acessaem um servidor NIS corresponde ahabilitar a autenticação usando NIS.Roberto Amaral – Marcelo Farias Página 12917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosHTTPD - Servidor Web Apache2CURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXO Apache é o Servidor Web mais utilizado sendo utilizados para servir pedidos de Páginas WEBpor clientes. Os clientes em geral fazem requisições e visualizam Páginas da WEB usandonavegadores. Usuários utilizam URL (Uniform Resource Locator) para apontar para umservidor Web através do seu Nome de Domínio Completo (Fully Qualified Domain Name -FQDN) e um caminho. O protocolo mais comum usado para transferir páginas é o HTTP -Protocolo de transferência de hipertexto. Protocolos como HTTPS - Protocolo seguro detransferência de hipertexto e FTP - Protocolo de transferência de arquivo, protocolo para enviare receber arquivos, são também suportados. Servidores Web Apache são geralmente utilizadosem conjunto com o banco de dados MySQL, a linguagem de construção de scripts préprocessadorade hiper-texto (PHP), e outras linguagens de construção de scripts popularescomo o Python e o Perl..InstalaçãoO servidor web Apache2 está disponível no Ubuntu Linux. Para instalar o Apache2:# sudo apt-get install apache2#ConfiguraçãoO Apache é configurado colocando-se diretivas em arquivos de configuração de texto puro. Oarquivo de configuração principal é chamado apache.conf. Além disso, outros arquivos deconfiguração podem ser adicionados utilizando-se a diretiva Include. Qualquer diretiva pode sercolocada em qualquer desses arquivos de configuração. Mudanças no arquivo de configuraçãoapenas são reconhecidas quando este for iniciado ou reiniciado. O servidor também irá ler umarquivo contendo os tipos mime de documentos; o nome do arquivo é definido pela diretivaTypesConfig. O arquivo de configuração do Apache2 é o /etc/apache2/apache2.conf. Pode serconfigurado, número da porta, raiz dos documentos, módulos, arquivos de log, hosts virtuais,etc.Configurações BásicasO Apache é configurado com um host virtual único padrão (diretiva VirtualHost) o qual pode sermodificado ou utilizado como está, se você tiver apenas um site, ou ainda usado como modelopara hosts virtuais adicionais caso tenha múltiplos sites. Se não for alterado, o host virtualpadrão servirá como seu site padrão. Para modificar o virtual host padrão, edite o arquivo/etc/apache2/sites-available/default. Caso deseje configurar um novo host virtual, copie essearquivo para o mesmo diretório com um nome de sua escolha.Por exemplo:sudo cp /etc/apache2/sites-available/default /etc/apache2/sites-available/meunovosite.Roberto Amaral – Marcelo Farias Página 13017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXEdite o novo arquivo para configurar o novo site utilizando algumas das diretivas descritasabaixo.• ServerAdmin especifica o endereço de email a ser anunciado. Se website apresentarproblema, o Apache2 mostrará uma mensagem de erro contendo este endereço de email paraqual o problema poderá ser relatado.• Listen especifica a porta, e opcionalmente o endereço IP, na qual o Apache2 irá escutar. Se oendereço IP não for especificado, o Apache2 irá escutar em todos os endereços IP designadospara a máquina no qual ele esteja rodando. O valor padrão para diretiva Listen é 80. Altere issopara 127.0.0.1:80 para fazer com que o Apache apenas escute apenas na sua interface deloopback. Esta diretiva pode ser encontrada e alterada em seu próprio arquivo,/etc/apache2/ports.conf• ServerName especifica qual a FQDN seu site deverá responder. O host virtual padrão nãopossui diretiva ServerName especificada, portanto ele irá responder a todas as requisições quenão combinem com uma diretiva ServerName em outro host virtual. Por exemplo: para odomínio ubunturocks.com e adicione este nome na diretiva ServerName no arquivo deconfiguração do host virtual. Adicione esta diretiva ao novo arquivo de site virtual que vocêcriou antes (/etc/apache2/sites-available/meunovosite).• DocumentRoot especifica o local dp s arquivos padrão que formam o site. O padrão é/var/www. Nenhum site está configurado lá, mas pode descomentar a diretiva RedirectMatchem /etc/apache2/apache2.conf as requisições serão redirecionadas para /var/www/apache2-default. Altere este valor no arquivo de host virtual do seu site e lembre-se de criar aquelediretório se necessário. O diretório /etc/apache2/sites-available não é decodificado peloApache2. Links simbólicos em /etc/apache2/sites-enabled apontam para sites "disponíveis"(available). Utilize o utilitário a2ensite (Apache2 EnableSite) para criar esses links simbólicos.Configuração PadrãoEsta seção explica a configuração das definições padrão do servidor Apache2.• DirectoryIndex é a página padrão do servidor quando o usuário requisita um índice de umdiretório especificando uma barra (/) no final do nome do diretório. Por exemplo, quando umusuário solicita a página http://www.examplo.com/este_diretório/, ele vai ver: o DirectoryIndexse ele existir; uma lista do diretório gerado pelo servidor caso não exista e as opções de índicesestiverem especificadas; ou uma página de Permissão Negada se nenhuma das duas opçõesforem verdadeiras. Se ele não encontrar nenhum destes arquivos e se as Opções de Índicesestiver ajustada para aquele diretório, o servidor irá gerar e retornar uma lista, no formatoHTML, dos subdiretórios e arquivos no diretório. O valor padrão, encontrado em/etc/apache2/apache2.conf é "index.html index.cgi index.pl index.php index.xhtml".Roberto Amaral – Marcelo Farias Página 13117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX• ErrorDocument permite que você especifique um arquivo para o Apache usar para um eventoespecífico de erro. Por exemplo, se um usuário solicitar um recurso que não existe, um erro 404ocorrerá, e por padrão de configuração do Apache, o arquivo/usr/share/apache2/error/HTTP_NOT_FOUND.html. vai será mostrado. Este arquivo não está naRaiz de Documentos do servidor, mais existe uma diretiva em /etc/apache2/apache2.conf queredireciona as requisições do diretório /error para /usr/share/apache2/error/. Para ver alistagem de diretiva padrão de Documentos de Erro, use o comando: grep ErrorDocument/etc/apache2/apache2.conf• Por padrão, o servidor registra as transferências no arquivo /var/log/apache2/access.log,conforme informado no arquivo de configuração e na diretriz CustomLog,. Pode serespecificado o arquivo onde os erros serão registrados, através da diretriz ErrorLog, que porpadrão é /var/log/apache2/error.log. Estes são mantidos separados do log de transferência parapermitir eliminação de problemas. Pode ser especificado o LogLevel (o valor padrão é "alertar")e o LogFormat (veja o /etc/apache2/apache2.conf para o valor padrão).• Algumas opções são especificadas num esquema por diretórios. A diretiva Option é umadessas diretivas. Uma instância de Directory é encapsulada entre tags semelhantes ao XML,como em:...A diretiva Options com uma instância de Directory aceita um ou mais dos seguintes valores:• ExecCGI - Permite execução de scripts CGI. Scripts CGI não são executados se esta opção nãoestiver habilitada. Scripts CGI devem ser mantidos em diretórios separados, fora doDocumentRoot, e somente este diretório deve ter a opção ExecCGI habilitada. O local padrãopara os scripts CGI é /usr/lib/cgi-bin.• Includes - Permite inclusões no lado do servidor, permitindo que um arquivo HTML incluaoutros arquivos.• IncludesNOEXEC - Permite includes, mais desabilita o comandos #exec e #include nosscripts CGI• Indexes - Mostra uma lista formatada dos conteúdos dos diretórios, caso não exista umDirectoryIndex (tal como index.html). Por motivos de segurança, não deve estar habilitado.Habilite esta opção com cuidado, somente se você tem certeza de que quer que os usuáriosvejam o conteúdo inteiro do diretório.• Multiview - Suporta multi-visões negociadas pelo conteúdo; esta opção é desabilitada porsegurança.Roberto Amaral – Marcelo Farias Página 13217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX• SymLinksIfOwnerMatch - Segue os links simbólicos caso o arquivo seja do mesmo dono que olink.Configurações de Hosts VirtuaisHosts virtuais permitem que rode diferentes servidores para diferentes endereços IP, diferentesnomes, ou diferentes portas da mesma máquina. Por exemplo, pode rodar o website porhttp://www.exemplo.com.br e http://www.outroexemplo.com.br no mesmo servidor Web usandohosts virtuais. Esta opção corresponde à diretiva para o virtual host padrão evirtual hosts baseados em IP. E corresponde à diretiva para um virtualhost baseado em nomes. As diretivas para um host virtual somente são aplicadas para um hostvirtual em particular. Se a diretiva é setada para escopo de servidor e não definida dentro dasconfigurações de um virtual host, as configurações padrão serão usadas. Ajuste DocumentRootpara o diretório que contém o documento raíz para o host virtual. O DocumentRoot padrão é/var/www.A diretiva ServerAdmin dentro da instância do VirtualHost armazena o email usado no rodapéda página de erros caso você escolha mostrar um rodapé com o endereço de email na página deerro.Configurações do ServidorLockFile - A diretiva LockFile define o caminho do arquivo usado quando o servidor écompilado tanto com USE_FCNTL_SERIALIZED_ACCEPT quanto comUSE_FLOCK_SERIALIZED_ACCEPT.PidFile - A diretiva PidFile define o arquivo em que o servidor gravará o seu ID de processo(pid). Este arquivo deve ter permissões de leitura somente para o root. Na maioria dos casos, ovalor padrão deve ser deixado.User - A diretiva User seta o UserID usado pelo servidor para responder as solicitações. Estaopção determina o acesso ao servidor. Qualquer arquivo inacessível a este usuário será tambéminacessível aos visitantes do seu website. O valor padrão para o User é www-data. Usando oroot como User você irá criar brechas de segurança para seu ser servidor Web. A diretivaGroup é similar a diretiva User. Group define o grupo que o servidor irá responder assolicitações. O grupo padrão é www-data.Módulos do ApacheO Apache é um servidor modular. Isso significa que somente as funcionalidades básicas sãoinclusas no núcleo do servidor. A extensão das funcionalidades são disponibilizadas através demódulos, que podem ser carregados no Apache. Por padrão, alguns módulos básicos já estãoRoberto Amaral – Marcelo Farias Página 13317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXinclusos na hora da compilação. Se o servidor for compilado para usar o carregamentodinâmico de módulos, então os módulos podem ser compilados separadamente, e adicionados àqualquer hora usando a diretiva LoadModule. Caso contrário, o Apache2 precisa serrecompilado para adicionar ou remover módulos. As diretivas de configuração podem serincluídas condicionalmente, com a presença de um módulo em particular incluído num bloco. Você pode instalar módulos adicionais do Apache2 e usá-los com o seu servidorWEB. Você pode instalar módulos do Apache2 usando o comando apt-get. Por exemplo, parainstalar o módulo do Apache2 para autenticação por MYSQL, você pode executar o seguintecomando de um prompt de terminal (linha de comando).sudo apt-get install libapache2-mod-auth-mysqlQuando você instala um módulo, ele estará disponível no diretório /etc/apache2/mods-available.Configurações HTTPSO módulo mod_ssl adiciona uma funcionalidade importante no servidor Apache2 – a habilidadede encriptar comunicações. Portanto, quando o seu navegador se comunica utilizandoencriptação SSL, o prefixo https:// é usado no começo da URL na barra de navegação donavegador. O módulo mod_ssl está disponível no pacote apache2-common. Se você possuir estepacote instalado, você pode executar o comando a seguir de um prompt de terminal para ativaro módulo mod_ssl: sudo a2enmod sslCertificados e SegurançaPara configurar um servidor seguro, use a criptografia de chave pública para criar um par dechaves pública e privada. Na maioria dos casos, você manda o seu pedido de certificação(incluindo a sua chave pública), uma prova da identidade da sua companhia e o pagamentopara uma Autoridade de Certificados (CA). A CA verifica o pedido de certificação e suaidentidade, e depois manda de volta um certificado para o seu servidor seguro.Alternativamente, você pode criar o seu certificado auto-assinado. Note que, entretanto, ocertificado auto-assinado não deve ser usando na maioria dos ambientes de produção.Certificados auto-assinados não são automaticamente aceitos pelo navegador dos usuários. Osusuários são questionados pelo navegador para aceitar o certificado e criar uma conexãosegura. Assim que você tiver um certificado auto-assinado ou um certificado assinado por umCA de sua escolha, você precisa instalá-lo no seu servidor seguro.Tipos de CertificadosVocê precisa de uma chave e um certificado para operar o seu servidor seguro, o que significaque você tanto pode gerar uma certificado auto-assinado como comprar um certificadoassinado por um CA. Um certificado assinado por um CA provê duas capacidades importantespara o seu servidor:Roberto Amaral – Marcelo Farias Página 13417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX• Navegadores reconhecem o certificado e permitem uma conexão segura semquestionamentos ao usuário.• Quando um CA emite um certificado assinado, está garantindo a identidade da organizaçãoque está provendo as páginas da web para o navegador.Roberto Amaral – Marcelo Farias Página 13517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXSquidAtualmente, os servidores proxy deixaram de ser um simples privilégio e passaram a ser umanecessidade.Proxy e CacheUm proxy serve para basicamente uma coisa: tratar as requisições dos clientes nos protocolossuportados por ele, seja bloqueando URL's de sites indevidos ou controlando o acesso à WWW pelosusuários.O Squid além de um servidor proxy, também integra um sistema de caching para requisições feitas àInternet. Um servidor cache é armazena informações de requisições temporariamente em disco para umavisualização mais rápida posterior.O que é o Squid?O Squid é o servidor proxy HTTP para plataformas UNIX-Like, surgiu de um projeto entre o governoamericano e a Universidade do Colorado. O Squid trabalha com os protocolos HTTP, HTTPS, FTP, Gopher eWAIS e é o proxy que possui o maior número de co-projetos.Instalando via APTPartindo do princípio que você já tenha o seu APT e seus repositórios de preferência no sources.list, vocêpode simplesmente rodar este comando.# apt-get install squidO arquivo squid.confO arquivo squid.conf é o principal arquivo de configuração do Squid. Zela pela simplicidade das tags, masnão muito pelo tamanho, possuindo cerca de 2 mil linhas. Antes de mexer no arquivo, é recomendável quefaça um backup do arquivo original, em caso quaisquer problemas:# cp /etc/squid/squid.conf /etc/squid/squid.conf.defaultsAlgumas das tags mais importantesUm proxy que apenas sejam configuradas estas tags ainda não é um proxy funcional.http_portPadrão: http_port 3128 - Define a porta em que o serviço Squid irá escutar por requisições.cache_memPadrão: cache_mem 8M - Este parâmetro configura a quantidade de memória utilizada para cache e objetosem trânsito, e não a quantidade de memória reservada para o Squid.Roberto Amaral – Marcelo Farias Página 13617/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXcache_dirPadrão: cache_dir ufs /var/spool/squid 100 16 256 - Nesta opção são configurados os números de diretórios,subdiretórios e tamanho do cache. onde:• cache_dir - Nome da tag;• ufs - É a forma de armazenamento de cache. Existe também a opção aufs, mas que sóestá disponível para outras plataformas. Para mais informações, leia o squid.conf;• /var/spool/squid - Diretório onde o cache do Squid ficará;• 100 - Espaço em disco que o cache do Squid poderá ocupar, contado em MB;• 16 - Quantidade de diretórios que o cache do Squid possuirá;• 256 - Quantidade de subdiretórios que o cache do Squid possuirá;cache_access_logPadrão: cache_access_log /var/log/squid/access.log - Define o arquivo de log de acessos do Squid. Casoqueira saber quem acessou determinada página da internet, é através deste arquivo que descobrirá.cache_mgrPadrão: cache_mgr email - Este parâmetro tem a finalidade de especificar o e-mail do administrador doproxy.cache_effective_userPadrão: cache_effective_user squid - Informa ao Squid com qual nome de usuário ele deve rodar.cache_effective_groupPadrão: cache_effective_group squid - Tem a mesma função da tag acima, mas trabalhar com com o grupo.visible_hostnamePadrão: visible_hostname none - Define o hostname que fica visível nas mensagens de erro do Squidapresentadas para os clientes e caso não seja setada, o Squid não starta. Por isso coloque alguma coisaparecida com isto: visible_hostname squid.seudominio.com.brAccess Control Lists (ACL's)Uma ACL nada mais é do que a ferramenta que o Squid utiliza para especificar quem pode quem não pode, oquê pode e o que não pode.Tipos de ACL'sSrc : Endereço IP de origem. Especifica um determinado host ou uma determinada rede de origem.Dst : Endereço IP de destino. Especifica um determinado host ou uma determinada rede de destino.Dstdomain : Domínio de destino. Restringe o acesso à um determinado ou para identificar um domínio dedestino.time : Hora e dia da semana. Especifica um determinado horário.Roberto Amaral – Marcelo Farias Página 13717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXPort : Número da porta de destino, usado para especificar acesso à determinada porta de um servidor.url_regex : Compara uma string à uma URL inteira. Muito utilizado para fazer o bloqueio de sites indevidos.urlpath_regex : Tem uma função semelhante à anterior, porém procura apenas em pedaços do caminho daURL. Muito utilizado para bloquear extensões.proto: Especifica um protocolo de transferência.proxy_auth: Somente utilizada caso esteja utilizando autenticação. Serve para especificar nomes deusuários.Definindo ACL'sDentro do arquivo de configuração do Squid, o squid.conf, encontra-se uma área que é ideal paradeclarar as ACL's, onde começam a ser definidas, facilmente identificada. Para declarar ACL's, a sintaxebásica:acl |""Um exemplo prático de ACL:acl palavra_proibida url_regex -i sexoA ACL acima bloqueia todos os sites que contenham em seu endereço a palavra "sexo".A tag http_accessÉ inútil o uso de ACL's sem o uso da tag http_access. Esta trava ou libera o que a ACL está estipulando.Exemplo:http_access deny proibidoSe nós considerarmos o conjunto ACL + http_access, ficaria:acl proibido url_regex -i sexohttp_access deny proibidoO que o conjunto acima proibi qualquer site que possua em seu endereço a palavra "sexo".Ordem das ACL's• 1 - O Squid vai ler todas as ACL's e testar se todas as ACL's declaradas possuem umasintaxe correta e se elas estão sendo referenciadas por algum http_access;• 2 - Depois disso, se ele iniciar normalmente, irá começar a testar todas as requisiçõesque são feitas e tentar casar as mesmas com as regras que as ACL's estipulam emconjunto com os http_access;• 3 - Caso uma URL case com uma ACL, ele ignorará todas as outras ACL's para aquelarequisição.Roberto Amaral – Marcelo Farias Página 13817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXUma outra maneira mais prática de tentar implementar isso é fazer da seguinte maneira:• 1 - Coloque as ACL's que estipulam uma exceção à alguma regra de bloqueio que virá àseguir;• 2 - Depois coloque as suas ACL's que vão bloquear sites e tudo o mais;• 3 - Só então você coloca as suas ACL's liberando o acesso.CasosAlguns casos e alguns modos principais para configurar o Squid.Habilitando o SquidPara botar o Squid para rodar, basta encontrar a linha: http_access deny allPara: http_access allow allE depois reinicie o serviço: # /etc/init.d/squid restartRestringindo o acesso ao SquidQuando encontrar a linha http_access allow all, ela vai estar liberando acesso à todos os hosts, já quea ACL "all" está especificando todos os hosts. Para arrumar isto, você deve encontrar e comentar as linhas:acl all src 0.0.0.0/0.0.0.0http_access allow allAgora crie uma nova ACL do tipo "src", especificando a rede interna:acl redeinterna src 192.168.0.0/24Agora autorize a ACL que acabou de criar por meio de um http_access:http_access allow redeinternaComo visto acima, estamos somente permitindo o uso ao proxy pela rede interna. Agora, caso queiraespecificar uma range de IP's, faça assim:acl faixa_adm src 192.168.0.10-192.168.0.50http_access allow faixa_admBloqueando sites indevidos no proxyO tipo de ACL url_regex serve para comparar termos dentro de uma URL para saber se esta palavra estáou não liberada e se os usuários vão ou não, visualizar a página. Utilizado para bloquear sites, Exemplo:Adicione a seguinte ACL: acl palavra url_regex -i sexAgora bloqueie o acesso com o http_access: http_access deny palavraRoberto Amaral – Marcelo Farias Página 13917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXCom este exemplo, todos os sites que possuam a palavra "sex" não serão visualizados pelos usuários. Oparâmetro "-i" serve para que o Squid não distingua entre maiúsculas ou minúsculas. Porém neste momentovocê deve estar pensando que não é prático definir uma ACL para cada palavra que você deseje bloquear. Erealmente não é. Por isso nós vamos declarar listas inteiras de palavras negadas. Eis o exemplo:Primeiro nós vamos criar o arquivo texto que nos vai servir como lista de palavras bloqueadas e damos àela permissões de leitura:# touch /etc/squid/lists/blocked# chmod 755 /etc/squid/lists/blockedNele insira todas as palavras proibidas. Lembre-se que você deve adicionar uma palavra por linha.Após isto, nós criamos a ACL da seguinte maneira: acl blocked url_regex -i "/etc/squid/lists/blocked"E bloqueamos o acesso com o http_access: http_access deny blockedFeito isto, todos os sites que contém em seu endereço palavras como "sex", "sexo", "sexologia" serãobloqueados, porém nem todos os sites que contém a palavra "sex" é um site pornográfico. Para distinguir ossites que podem ser liberados dos que não podem, crie uma outra lista para as exceções como "sexologia".Vamos seguir o mesmo procedimento. Criamos uma lista também para as palavras não bloqueadas.# touch /etc/squid/lists/unblocked# chmod 755 /etc/squid/lists/unblockedNesta lista coloque todos os sites que são exceções à regra, como "www.sexologia.org", um site por linha,ou palavras somente. Depois junte as duas ACL's em um único http_access, desta maneira:http_access deny blocked !unblockedNote a utilização do sinal de exclamação, significando uma inversão no sentido da regra. Pronto, oprocedimento está feito. Agora tudo o que você deve fazer é reiniciar o serviço do Squid:# /etc/init.d/squid restartRestringindo o horário de acessoAqui é o controle que pode ser criado para controle por horário. Para fazer isto, deve ser feito o uso daACL do tipo time. Exemplo:acl horariopermitido time MTWHF 08:00-18:00http_access deny !horariopermitidoO sinal de exclamação inverte o sentido da regra, negando o uso do proxy em todos os horários, COMEXCESSÃO do horário especificado na ACL horário permitido. As letras "MTWHF" na frente da ACL,especificam os dias da semana conforme esta tabela: S - Sunday (Domingo), M - Monday (Segunda), T -Tuesday (Terça), W - Wednesday (Quarta), H - Thursday (Quinta), F - Friday (Sexta), A - Saturday (Sábado).Roberto Amaral – Marcelo Farias Página 14017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosO chefe...CURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXO seu chefe adora proibir as coisas para os usuários mortais, mas ele quer ter o controle completo. Paracontornar a situação, faça o seguinte: acl chefidap src 192.168.1.23E permitir a lista de palavras negadas para ele, assim: http_access allow blocked chefidapUma outra maneira de se fazer ambos os bloqueios é definir o IP/login do seu chefe em uma ACL e nahora em que for declarar o http_access, definir acima das ACL's de bloqueio, assim:http_access allow chefidaphttp_access deny blocked !unblockedSó site liberadoAo invés de especificar os sites negados, especifique o site que vai poder acessar. Primeiramente,especifique os sites que irão poder acessar: acl bancos url_regex -i "/etc/squid/lists/bancos"Adicione os endereços dos bancos na lista e especifique também o IP do computador do usuário:acl peao src 192.168.1.24Então junte os dois em um único http_access, desta maneira: http_access deny !bancos peaoInterpretando a regra, fica: Vamos bloquear todos os sites, COM EXCESSÃO DOS SITESESPECIFICADOS NA LISTA DE BANCOS para o IP 192.168.1.24.Bloqueando MSNBem, aqui está um problema pelo qual alguns administradores possam ter dificuldades. O MSN a partirda versão 6.x (in)felizmente passou a fazer conexões utilizando tunneling por http. Ou seja: Ele se conectapela porta 80 também! O bloqueio do Squid é simples de ser feito, bastando adicionar o termo "gateway.dll"na sua lista de palavras negadas.Bloqueando extensões e downloads de determinadosVocê pode bloquear extensões que os usuários baixam no computador por meio de HTTP ou de FTP e dequaisquer outros protocolos que o Squid suporte, fazendo os seguintes passos:Primeiramente, você deve criar a velha listinha e setar as permissões corretas:# touch /etc/squid/lists/extensoes# chmod 755 /etc/squid/lists/extensoesFeito isto, deve escrever as extensões que deseja bloquear da seguinte maneira no arquivo:\.mp3$\.wav$\.pif$Roberto Amaral – Marcelo Farias Página 14117/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX\.bat$NOTA: O "\" é um eliminador de metacaracteres e serve para cancelar a função do ".". Já o "$" serve paraque seja analizado até o final de string. Agora vamos adicionar a ACL no Squid que vai bloquear asextensões efetivamente, juntamente com o seu http_access:acl extensoes urlpath_regex -i "/etc/squid/lists/extensoes"http_access deny extensoesNote que ao invés do url_regex, eu utilizei o urlpath_regex.Segurança em um servidor SquidTodo servidor, independente de plataforma ou serviço que executa, precisa de certas configurações desegurança, para não sofrer ataques. Os principais erros de segurança na configuração do Squid:Erro I: Definição de relay do servidor SquidAssim como a maioria dos servidores, o Squid também possui suas configurações de relay. Entenda porrelay o "lado para qual o servidor está rodando, se é para a internet ou para a rede interna". Claro que éinteressante que monte um servidor para a sua rede interna. Sendo assim, deveria se preocupar com o relaydo servidor Squid, pois geralmente os usuários costumam disfarçar seus IP's utilizando servidores proxyabertos pela Internet, prática conhecida como IP Spoofing. Você pode detectar se existe alguém utilizando oseu proxy de duas maneiras: A primeira é deixar o seu servidor rodando e tirar o log de 1 dia.. Com certezaalgo aparecerá, seja um endereço IP que não é da rede interna ou um endereço de host totalmente nada aver. A segunda é monitorar a ações do seu proxy com o "tail", em tempo real. Por outro lado, temos tambémduas maneiras de resolver este problema.1ª Maneira: http_portVocê pode editar esta tag para que o Squid só escute requisições vindas da rede interna, desta maneira:Troque o valor-padrão da tag:http_port 3128Para:http_port 192.168.1.1:3128Se você resolver por aqui, o seu problema com relay morreu. Eu prefiro esta maneira por ser mais práticae por não ter que ficar mexendo com ACL's e se algum dia um abelhudo passar um portscanner na suamáquina, como o nmap, ele não irá apresentar o serviço Squid rodando.2ª Maneira: acl all src 192.168.0.0/24Você pode permitir o http_port como mencionado acima, mas deverá definir a sua rede interna quandofor utilizar as suas ACL's, desta maneira:Roberto Amaral – Marcelo Farias Página 14217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosTroque a ACL all de: acl all src 0.0.0.0/0CURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXPara: acl all src 192.168.0.0/24 (O Squid somente irá permitir conexões vindas da rede interna.)Erro II: http_access deny allColoque esta linha no final das declarações das suas ACL's. O motivo disto é que se o Squid não encontrauma ocasião pela qual encaixar uma ACL, ele simplesmente libera a sua utilização.Erro III: UsuáriosGeralmente usuários removem as configurações de proxy do navegador para navegarem sem restriçõese somente pelo NAT ou procuram por proxies abertos na Internet e configuram os navegadores parautilizarem estes endereços ou ainda vão em páginas como o "anonymizer" ou similares e navegam por lá.Por isto, é importante bloquear de tais páginas.Erro IV - Proxy Transparente sem ser no gateway da redeTambém é comum receber e-mails de pessoas perguntando como fazer isso. Não é uma idéia muitosegura, a menos que você possua uma DMZ. Isso porque os usuários podem alterar as configurações derede e fazer com que o gateway da rede aponte para o roteador final, fazendo um caminho alternativo paraos pacotes e fazendo com que os mesmos não passem pelo servidor Squid.Criando um script de relatório simplesPara a criação de um shell-script que gere o relatório que pegue as últimas requisições negadas peloproxy, devemos criar um arquivo em branco:# touch /usr/bin/squidreportCom o conteúdo abaixo: #!/bin/bashcat /var/log/squid.log | grep DENIED | tail -n 60 | mail rootMude as permissões do arquivo para: # chmod 700 relatoriosquid.shE agende o relatório para ser gerado dentro do CRON, com a seguinte linha:# crontab -e30 21 * * * squidreportPronto! Todos os dias às nove e meia da noite, será gerado o relatório de acessos negados pelo Squid eeles vão estar dentro da caixa de e-mails do administrador do sistema.Roberto Amaral – Marcelo Farias Página 14317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXNFSO que é NFS?O Network File System (NFS) foi desenvolvido para permitir que se possam montar partiçõesou diretórios remotos como se fosse um disco local, garantindo especificar diferentespermissões de acesso a cada cliente de acesso ao compartilhamento.ServidorInstalação# apt-get install nfs-user-server nfs-common statd portmapConfigurando o Servidor NFSPara começar a configurar o serviço, deve entrar no sistema como root e criar um diretório/Compartilhado, como default desse documento, ou se preferir escolha outro local ou outronome de diretório a ser compartilhado. Editar o arquivo /etc/exports para definir a pasta a sercompartilhada e permissões de acesso. A linha abaixo, por exemplo, dá acesso diretório"Compartilhado" para o IP 192.168.0.2 com direitos de leitura, escrita e execução./Compartilhado 192.168.0.2/255.255.255.0(rw,no_root_squash,sync)Onde:rw (escrita e leitura), no_root_squash (privilégios de superusuário), sync (não permite que oservidor responda a pedidos antes que as alterações feitas pelo pedido sejam salvas no disco.)O padrão de construção da linha de permissões de acesso ao compartilhamento, está abaixo:Diretório host1(opção11, opção12) host2(opção21, opção22)Diretório: Diretório a ser compartilhado (ex. /home/fabio/).HostN: IP do pc cliente do compartilhamento.OpçãoXY: Permissões de acesso ao compartilhamentoEditar o arquivo /etc/hosts.deny para definir a segurança do compartilhamento. nserir asseguintes linhas:portmap: ALLlockd: ALLmountd: ALLrquotad: ALLRoberto Amaral – Marcelo Farias Página 14417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXEditar o arquivo /etc/hosts.allow para definir o IP ou faixa de IPs que poderão "concorrer" aoscompartilhamentos, ou seja, especifica quem terá acesso a cada serviço. Inserir as seguinteslinhas para permitir que toda a rede 192.168.0.0/24 tenha direito serviços especificados.portmap: 192.168.0.0/24lockd: 192.168.0.0/24rquotad: 192.168.0.0/24mountd: 192.168.0.0/24statd: 192.168.0.0/24No exemplo é especificado uma faixa de IPs, mas pode definir os hosts separadamente dentrodo padrão abaixo:serviço: host1, host2, host3, hostXExecutar os seguintes comandos:/etc/init.d/portmap restart/etc/init.d/nfs-user-server restart/etc/init.d/nfs-common restartrpc.montdrpc.nfsdrpc.statdrpc.lockdClienteInstalação# apt-get install nfs-common statd portmapEditar o arquivo /etc/hosts.deny para definir a segurança do compartilhamento. Inserir asseguintes linhas:portmap: ALLlockd: ALLmountd: ALLrquotad: ALLExecutar os seguintes comandos:/etc/init.d/portmap restartrpc.statdrpc.lockdRoberto Amaral – Marcelo Farias Página 14517/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXmount -t nfs 192.168.1.115(end do servidor):/Compartilhado /diretorio/localSe você acha muito incômodo ter que repetir essa linha de comando enorme, adicione essalinha ao fstab:: /Compartilhado /diretorio/local nfs defaults,noauto 0 0Feito isso a montagem fica bem mais simples, basta digitar:# mount /diretorio/localRoberto Amaral – Marcelo Farias Página 14617/10/2011

SshUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXO SSH permite administrar máquinas remotamente, permite transferir arquivos de váriasformas diferentes e, como se não bastasse, permite também encapsular outros protocolos. Agrande vantagem do SSH sobre outras ferramentas de acesso remoto é a grande ênfase nasegurança. Um servidor SSH bem configurado é virtualmente impenetrável. O SSH é divididoem dois módulos. O sshd é o módulo servidor, um serviço que fica residente na máquina queserá acessada, enquanto o ssh é o módulo cliente, um utilitário que você utiliza para acessá-lo.No Debian, ambos são instalados através do pacote "ssh".InstalaçãoO padrão do Debian é já trazer o ssh instalado. Caso seja necessário instalar, use:#apt-getinstall sshIniciando o servidor ssh. Com o pacote instalado, você inicia o servidor usando ocomando:/etc/init.d/ssh startPara que ele seja inicializado durante o boot, use o comando: update-rc.d -f ssh defaultsA configuração do servidor, vai no arquivo /etc/ssh/sshd_config, enquanto a configuração docliente vai no /etc/ssh/ssh_config. Note que muda apenas um "d" entre os dois. No Debian oservidor só funcionará se o arquivo sshd_not_to_be_run, presente em /etc/ssh for renomeado ouexcluído. Renomeando o arquivo:mv /etc/ssh/sshd_not_to_be_run /etc/sshd_not_to_be_run.oldConfiguração do servidorO SSH tem dois protocolos de autenticação:• protocolo SSH versão 1:– métodos de autenticação disponíveis:* RSAAuthentication: autenticação de usuário baseado em chave de identidadeRSA* RhostsAuthentication: autenticação de máquina baseado em .rhosts (inseguro,desabilitado)* RhostsRSAAuthentication: autenticação .rhosts combinada com chave de máquina RSA* ChallengeResponseAuthentication: autenticação pergunta-resposta RSA* PasswordAuthentication: autenticação baseada em senha• protocolo SSH versão 2:– métodos de autenticação disponíveis:* PubkeyAuthentication: autenticação de usuário baseado em chave pública* HostbasedAuthentication: autenticação .rhosts ou /etc/hosts.equiv combinado comautenticação de chave pública de máquina cliente (desabilitado)* ChallengeResponseAuthentication: autenticação pergunta-respostaRoberto Amaral – Marcelo Farias Página 14717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX* PasswordAuthentication: autenticação baseada em senhaVocê pode configurar várias opções relacionadas ao servidor SSH, incluindo a porta TCP a serusada editando o arquivo "/etc/ssh/sshd_config". A maior parte das opções dentro do arquivopodem ser omitidas, pois o servidor simplesmente utiliza valores padrão para as opções quenão constarem no arquivo.- Porta: Uma das primeiras linhas é a: Port 22Esta é a porta que será usada pelo servidor SSH. O padrão é usar a porta 22. Ao mudar a portado servidor aqui, você deverá usar a opção "-p" ao conectar a partir dos clientes, para indicar aporta usada, como em:# ssh -p 2222 usuario@IP.DO.SERVIDOR.SSHOutra opção é editar o arquivo "/etc/ssh/ssh_config" (nos clientes) e alterar a porta padrão.Mudar a porta padrão do SSH é uma boa idéia se você está preocupado com a segurança.Muitos dos ataques "casuais", quando não existe um alvo definido, começam com um portscangenérico, feito em faixas inteiras de endereços IP, mas apenas em algumas portas conhecidas,como a 21, 22 e 80. A partir daí, os ataques vão sendo refinados e direcionados apenas para osservidores vulneráveis encontrados na primeira varredura. Colocar seu servidor numa portamais escondida, já dificulta um pouco as coisas.Controle de acesso: Logo abaixo vem a opção "ListenAddress", que permite limitar o SSH a umaúnica placa de rede (mesmo sem usar firewall), em casos de micros com duas ou mais placas. Otípico caso onde você quer que o SSH fique acessível apenas na rede local, mas não na internet,por exemplo. Digamos que o servidor use o endereço "192.168.0.1" na rede local e você querque o servidor SSH não fique disponível na Internet. adicionaria a linha: ListenAddress192.168.0.1Note que especificamos nesta opção o próprio IP do servidor na interface escolhida, não a faixade IP's da rede local ou os endereços que terão acesso a ele.Protocolo: Atualmente utilizamos o SSH 2, mas ainda existem alguns poucos clientes queutilizam a primeira versão do protocolo. Por padrão, o servidor SSH aceita conexões de clientesque utilizam qualquer um dos dois protocolos, o que é indicado na linha: Protocol 2,1Roberto Amaral – Marcelo Farias Página 14817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXO protocolo SSH 1 tem alguns problemas fundamentais de segurança, por isso algunsadministradores preferem desabilitar a compatibilidade com ele, aceitando apenas clientes queusam o SSH 2. Neste caso, a linha fica apenas "Protocol 2"- Usuários e senhas: Outra opção interessante, logo abaixo é a: PermitRootLogin yesEsta opção determina se o servidor aceitará que usuários se loguem como root. Do ponto devista da segurança, é melhor deixar esta opção como "no", pois assim o usuário precisaráprimeiro se logar usando um login normal e depois virar root usando o "su" ou "su -". Porpadrão, o SSH permite que qualquer usuário cadastrado no sistema logue-se remotamente, masvocê pode refinar isso através da opção "AllowUsers", que especifica uma lista de usuários quepodem usar o SSH. Quem não estiver na lista, continua usando o sistema localmente, mas nãoconsegue se logar via SSH. Isso evita que contas com senhas fracas, usadas por usuários quenão tem necessidade de acessar o servidor remotamente coloquem a segurança do sistema emrisco. Para permitir que apenas os usuários tico e teco possam usar o SSH, adicione a linha:AllowUsers tico teco. Você pode ainda inverter a lógica, usando a opção "DenyUsers". Nestecaso, todos os usuários cadastrados no sistema podem fazer login, com exceção dosespecificados na linha, como em:DenyUsers joaquim ricardaoOutra opção relacionada à segurança é a: PermitEmptyPasswords noEsta opção faz com que qualquer conta sem senha fique automaticamente desativada no SSH,evitando que alguém consiga se conectar ao servidor "por acaso" ao descobrir a contadesprotegida. Lembre-se que a senha é justamente o ponto fraco do SSH. De nada adianta usar2048 bits de encriptação se o usuário escreve a senha num post-it colado no monitor, ou deixa asenha em branco.- Banner: Alguns servidores exibem mensagens de advertência antes do prompt de login,avisando que todas as tentativas de acesso estão sendo monitoradas ou coisas do gênero. Amensagem é especificada através da opção "Banner", onde você indica um arquivo de texto como conteúdo a ser mostrado, como em:Banner = /etc/ssh/banner.txt- X11 Forwarding: Um pouco depois temos a opção:Roberto Amaral – Marcelo Farias Página 14917/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXX11Forwarding yesEsta opção determina se o servidor permitirá que os clientes executem aplicativos gráficosremotamente. Se o servidor será acessado via internet ou se possui um link lento, você podedeixar esta opção como "no" para economizar banda. Desta forma, os clientes poderão executarapenas comandos e aplicativos de modo texto.- Módulos: O SSH inclui um módulo de transferência de arquivos (o SFTP). Ele é ativadoatravés da linha:Subsystem sftp /usr/lib/sftp-serverÉ realmente necessário que esta linha esteja presente para que o SFTP funcione. Comente estalinha apenas se você realmente quiser desativá-lo.Para que as alterações entrem em vigor, reinicie o servidor SSH:# /etc/init.d/ssh restartTransferindo arquivosAlém de permitir rodar aplicativos e fazer toda a administração de um servidor remotamente, ossh também pode ser usado para transferir arquivos. Uma forma primitiva de transferirarquivos via SSH é usar o "scp", que permite especificar numa única linha o login e endereçodo servidor, junto com o arquivo que será transferido. Graças a isso, ele é muito usado emscripts. A sintaxe do scp é:scp arquivo_local login@servidor:pasta_remotacomo em:$ scp /home/arquivo.tar usuario@empresa.com.br:/var/www/downloadVocê pode adicionar também as opções "-p" (que preserva as permissões de acesso além dasdatas de criação e modificação do arquivo original), "-r" (que permite copiar pastas,recursivamente), "-v" (verbose, onde são mostradas todas as mensagens) e "-C" (que ativa acompressão dos dados, ajuda muito na hora de transferir grandes arquivos via internet). Nestecaso o comando ficaria:$ scp -prvC /home/arquivo.tar usuario@empresa.com.br:/var/www/downloadRoberto Amaral – Marcelo Farias Página 15017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXAo incluir a opção "-r", você pode especificar diretamente uma pasta no primeiro parâmetro.Outra forma mais básica de fazer isso é usar o sftp, um comando que faz parte do pacotepadrão. Ele oferece uma interface similar à dos antigos programas de FTP de modo texto, mastodos os arquivos transferidos através dele trafegam através de um túnel encriptado, criadoatravés do SSH. Na prática, temos uma espécie de VPN temporária, criada no momento em queé efetuada a conexão. A melhor parte é que o próprio SSH cuida de tudo, não é necessárioinstalar nenhum programa adicional. Para se conectar a um servidor usando o sftp, o comandoé: $ sftp usuario@IP.DO.SERVIDOR.SSHSe o servidor ssh na outra ponta estiver configurado para escutar numa porta diferente da 22, épreciso indicar a porta no comando, incluindo o parâmetro -o port=, como em:$ sftp -o port=22 usuario@IP.DO.SERVIDOR.SSHA partir daí você tem um prompt do sftp. Use o comando "put" para dar upload de um arquivo e"get" para baixar um arquivo do servidor para a pasta local. Para navegar entre as pastas doservidor, use os comandos "cd pasta/" (para acessar a pasta), "cd .." (para subir um diretório),"ls" (para listar os arquivos) e "pwd" (para ver em qual diretório está). Exemplo:user@athenas:~$ sftp -o port=2222 usuario@IP.DO.SERVIDOR.SSHConnecting to XX.XX.XX.XX...Password:sftp> lsDesktop Meu Computador OpenOffice.org1.1.1a bkp060901sftp> get bkp060901Fetching /home/user/bkp060901 to bkp060901/home/user/bkp060901 100% 825KB 825.1KB/s 00:01sftp> put RealPlayer10GOLD.binUploading RealPlayer10GOLD.bin to /home/user/RealPlayer10GOLD.binRealPlayer10GOLD.bin 100% 6726KB 3.3MB/s 00:02sftp> pwdRemote working directory: /home/userExistem ainda os comandos:lcd #(local cd)lls#(local ls)lmkdir#(local mkdir)Roberto Amaral – Marcelo Farias Página 15117/10/2011

lpwdUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídos#(local pwd)CURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXPor exemplo, digamos que você está atualmente no diretório /mnt/arquivos. Ao abrir a conexãovia sftp, tudo que você baixar será colocado automaticamente neste diretório. Mas, digamosque você queira baixar um determinado arquivo para o diretório /home/tico. Você usaria então ocomandolcd /home/ticopara mudar o diretório local e depois o get arquivo para baixá-lo já na pasta correta. Na horade dar upload de um arquivo é a mesma coisa. Você pode usar o "lpwd" para listar os arquivosno diretório local e depois o "put arquivo" para dar upload.TelnetO serviço telnet é oferece o login remoto em seu computador, que permite trabalharconectado a distância como se estivesse em frente a ele. Ele substitui o rlogin e possuimuitas melhorias em relação a ele, como o controle de acesso, personalização de seçãoe controle de terminal. Atualmente possui tanto a versão original (insegura), quantouma versão mais segura com suporte a ssl.Pacotes:telnet Cliente telnet com suporte a autenticação.telnetd Servidor telnet com suporte a autenticação.telnet-ssl Cliente telnet com suporte a autenticação e ssl. Também suporta conexão a servidorestelnet padrão quando o servidor não suporta ssl. Por padrão é tentada a conexão usando ssl, seesta falhar será assumida a transmissão em texto plano.Telnetd-ssl Servidor telnet com suporte a autenticação e ssl. Também suporta conexão declientes telnet padrão (sem suporte a ssl).Utilitários:in.telnetd Servidor telnettelnet Cliente telnet padrão (quando o pacote telnetssl está instalado, é simplesmente um linkpara telnetssl).telnet-ssl Cliente telnet com suporte a ssl.Instalaçãoapt-get install telnet telnetdouRoberto Amaral – Marcelo Farias Página 15217/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídosapt-get install telnet-ssl telnetd-sslCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXOs pacotes com o ssl no final possuem suporte a criptografia ssl. Por padrão a porta usada paraexecutar o serviço telnet é a 23 (ou outro número de porta definido no /etc/services). Ainstalação do servidor telnet é feita via inetd (no arquivo /etc/inetd.conf) e o controle de acessoao serviço é feito através dos arquivos /etc/hosts.allow e /etc/hosts.deny. O servidor tem o nomein.telnetd e este deverá ser usado para ajustar o controle de acesso nos arquivos acima.Iniciando o servidor/reiniciando/recarregando a configuraçãoO arquivo que controla o funcionamento do servidor telnet é o /etc/inetd.conf e o controle deacesso sendo feito pelos arquivos /etc/hosts.allow e /etc/hosts.deny. Será necessário reiniciar oservidor inetd caso algum destes três arquivos seja modificado:killall HUP inetdA porta de operação padrão é a 23 e pode ser modificada no arquivo /etc/services.Opções de linha de comando do servidor telnetd:-D nível_de_depuração Permite especificar o que será registrado pelo servidordurante a conexão dos clientes telnet. As seguintes opções são suportadas:options Mostra detalhes sobre a negociação das opções de conexão.report Mostra detalhe de opções e o que está sendo feito.netdata Mostra os dados transferidos na conexão telnetd.ptydata Mostra os dados mostrados na pty.-edebug Ativa a depuração do código de criptografia apenas para o servidor telnet com suportea ssl.-h Somente mostra os detalhes de configuração do seu PC após o usuário fornecer umnome/senha válidos.-L [programa] Utiliza o programa especificado para fazer o login do usuário(/usr/sbin/telnetlogin é o padrão).-n Não envia pacotes keep alive para verificar o estado da conexão. Desativando esta opçãopoderá fazer o servidor ficar rodando constantemente caso aconteça algum problema e ousuário não consiga se desconectar normalmente.-S TOS Ajusta o tipo de serviço usado na conexão para o valor especificado.Estas opções deverão ser especificadas após o servidor in.telnetd no arquivo/etc/inetd.conf.Roberto Amaral – Marcelo Farias Página 15317/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosFazendo conexões ao servidor telnetUse o comando:CURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXtelnet [endereço] [porta]para realizar conexões com uma máquina rodando o servidor telnet.Adicionalmente as seguintes opções podem ser usadas:-l [usuario] Envia o nome de usuário ao computador remoto. Muito útil com o telnetssl.-E Desativa o caracter de escape-a Tenta fazer o login automático usando o nome de usuário local. Se o login falhar, serásolicitado o nome de usuário. Esta opção é usada por padrão com o cliente telnetssl.-r Emula o comportamento do programa rlogin.Exemplo:# Conecta-se ao servidor telnet rodando na porta 23 de sua própria máquinatelnet localhost# Conecta-se ao servidor telnet 200.200.200.200 operando na porta 53454 usando o# nome de usuário johntelnet –l john 200.200.200.200 53454Roberto Amaral – Marcelo Farias Página 15417/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXUniversidade Tuiuti do Paraná – UTPFaculdade de Ciências Exatas e de TecnologiaCursos de ComputaçãoGrupo de Estudos de Redes de Computadores e Sistemas DistribuídosPRÁTICAProfessores:Marcelo Soares FariasRoberto Néia AmaralCuritiba, 2008HTTPD - Servidor Web Apache2Roberto Amaral – Marcelo Farias Página 15517/10/2011

InstalaçãoUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXO servidor web Apache2 está disponível no Ubuntu Linux. Para instalar o Apache2:# sudo apt-get install apache2#Configuraçãosudo cp /etc/apache2/sites-available/defaultCampos:• ServerAdmin especifica o endereço de email a ser anunciado.• Listen especifica a porta, e opcionalmente o endereço IP, na qual o Apache2 irá escutar.• ServerName especifica qual a FQDN seu site deverá responder.• DocumentRoot especifica o local do s arquivos padrão que formam o site.Configuração PadrãoEsta seção explica a configuração das definições padrão do servidor Apache2.• DirectoryIndex é a página padrão do servidor quando o usuário requisita um índice de umdiretório.• ErrorDocument permite que especifique um arquivo para o Apache usar para um eventoespecífico de erro.• ExecCGI - Permite execução de scripts CGI.• Includes - Permite inclusões no lado do servidor, permitindo que um arquivo HTML incluaoutros arquivos.• IncludesNOEXEC - Permite includes, mais desabilita o comandos #exec e #include nosscripts CGI• Indexes - Mostra uma lista formatada dos conteúdos dos diretórios.• Multiview - Suporta multi-visões negociadas pelo conteúdo; esta opção é desabilitada porsegurança.• SymLinksIfOwnerMatch - Segue os links simbólicos caso o arquivo seja do mesmo dono que olink.Roberto Amaral – Marcelo Farias Página 15617/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXSquidInstalando via APT# apt-get install squidO arquivo squid.confAntes de mexer no arquivo faça um backup do arquivo original:/etc/squid/squid.conf /etc/squid/squid.conf.defaults# cpAlgumas das tags mais importantesUm proxy que apenas sejam configuradas estas tags ainda não é um proxy funcional.http_port Padrão: http_port 3128 - Define a porta em que o serviço Squid irá escutarpor requisições.cache_mem Padrão: 8M - Quantidade de memória utilizada para cache e objetos emtrânsito.cache_dir Padrão: cache_dir ufs /var/spool/squid 100 16 256• cache_dir - Nome da tag;• ufs - É a forma de armazenamento de cache.• /var/spool/squid - Diretório onde o cache do Squid ficará;• 100 - Espaço em disco que o cache do Squid poderá ocupar, contado em MB;• 16 - Quantidade de diretórios que o cache do Squid possuirá;• 256 - Quantidade de subdiretórios que o cache do Squid possuirá;cache_access_logPadrão: cache_access_log /var/log/squid/access.log - Define o arquivo de log de acessos do Squidcache_mgrPadrão: cache_mgr email - Este parâmetro tem a finalidade de especificar o e-mail do administrador doproxy.cache_effective_userPadrão: cache_effective_user squid - Informa ao Squid com qual nome de usuário ele deve rodar.cache_effective_groupPadrão: cache_effective_group squid - Tem a mesma função da tag acima, mas trabalhar com com o grupo.visible_hostnamePadrão: visible_hostname none - Define o hostname que fica visível nas mensagens de erro do Squidapresentadas para os clientes e,caso não seja setada, o Squid não starta. Por isso coloque alguma coisaparecida com isto: visible_hostname squid.seudominio.com.brRoberto Amaral – Marcelo Farias Página 15717/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosAccess Control Lists (ACL's)CURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXUma ACL nada mais é do que a ferramenta que o Squid utiliza para especificar quem pode quem não pode, oquê pode e o que não pode.Tipos de ACL'sSrc : Endereço IP de origem. Especifica um determinado host ou uma determinada rede de origem.Dst : Endereço IP de destino. Especifica um determinado host ou uma determinada rede de destino.Dstdomain : Domínio de destino. Restringe o acesso ou para identificar um domínio de destino.time : Hora e dia da semana. Especifica um determinado horário.Port : Número da porta de destino, usado para especificar acesso à determinada porta de um servidor.url_regex : Compara uma string à uma URL inteira. Muito utilizado para fazer o bloqueio de sites indevidos.urlpath_regex : Tem uma função semelhante à anterior, porém procura apenas em pedaços do caminho daURL. Muito utilizado para bloquear extensões.proto: Especifica um protocolo de transferência.proxy_auth: Somente utilizada caso esteja utilizando autenticação. Serve para especificar nomes deusuários.Definindo ACL'sEm squid.conf, declarar ACL's, a sintaxe básica:acl |""Um exemplo prático de ACL: acl palavra_proibida url_regex -i sexoA tag http_accessÉ inútil o uso de ACL's sem o uso da tag http_access. Esta trava ou libera o que a ACL está estipulando.Exemplo: http_access deny proibidoExemplo:acl proibido url_regex -i sexohttp_access deny proibidoOrdem das ACL's• 1 - O Squid vai ler todas as ACL's e testar se possuem uma sintaxe correta;• 2 - Testa todas as requisições que são feitas e casa com as regras;• 3 - Caso uma URL case com uma ACL, ele ignorará todas as outras ACL's para aquelarequisição.Uma outra maneira mais prática de tentar implementar isso é fazer da seguinte maneira:• 1 - Coloque as ACL's que estipulam uma exceção à alguma regra de bloqueio que virá àseguir;• 2 - Depois coloque as suas ACL's que vão bloquear sites e tudo o mais;• 3 - Só então você coloca as suas ACL's liberando o acesso.Habilitando o SquidPara botar o Squid para rodar, basta encontrar a linha: http_access deny allPara: http_access allow all / E depois reinicie o serviço: # /etc/init.d/squid restartnetfilterAs tabelas do iptables são:Roberto Amaral – Marcelo Farias Página 15817/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUX• filter: é a tabela padrão, sobre a qual podemos nos referir a três correntes de regras, ouchains:• INPUT, pacotes que entram na interface;• OUTPUT, pacotes que saem da interface• FORWARD, pacotes que estão sendo roteados de uma interface para outra;• nat: esta tabela se refere ao uso do recurso de Network Address Translation ou NAT, naqual podemos nos referir aos chains: PREROUTING, pacotes que serão alterados antesde roteamento; OUTPUT, pacotes locais que serão alterados antes do roteamento ePOSTROUTING, pacotes que serão alterados após a aplicação das regras de roteamento;• mangle: usada para alterações especiais no pacote, PREROUTING, para alteração antesdo roteamento e OUTPUT, pacotes locais que serão alterados antes do roteamento.Dentre as ações que são feitas sobre os pacotes que atendem a um determinado chain em umadada tabela:• ACCEPT: aceita o pacote;• DROP: rejeita o pacote;• MASQUERADE: atua somente sobre a tabela nat e indica que será efetuado a conversãode endereços ou NAT, conforme indicado no comando.Compartilhando Conexão com IPTABLEmodprobe iptable_natiptables -t nat -A POSTROUTING -o INTERFACE -j MASQUERADEecho 1 > /proc/sys/net/ipv4/ip_forwardMRTGMRTG coleta informações em base de script para criar relatórios que podem ser visualizados o estado de umroteador, servidor ou link em determinados tempos.Servidor (script – MonitoraçãoHD)#chmod +x /etc/mrtg/mrtg-hd.shif [ -e $1 ] then printf "parametro ausente\n"elsetotal=`df | grep $1 | awk '{print $2}' 2>>/dev/null`livre=`df | grep $1 | awk '{print $3}' 2>>/dev/null`ocupado=`df | grep $1 | awk '{print $4}'2>> /dev/null`percent_oc=$(($ocupado * 100 / $total))Servidor (script – Monitor HD eMemória)#chmod +x /etc/mrtg/mrtg-cpu.shunset LANGmem=$(/usr/bin/free|grep ^-)load=$(cat /proc/loadavg)awk -v load="$load" -v mem="$mem" 'BEGIN {split(load,loadstats)print int(100*loadstats[2])split(mem,memstats);print int(100*memstats[3]/(memstats[3]+\percent_li=$((100 - $percent_oc))memstats[4]));Roberto Amaral – Marcelo Farias Página 15917/10/2011echo "$percent_oc"}'

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXServidor (script) – Configuraçãodo mrtg.cfgWorkDir: /usr/local/apache/htdocs/mrtg/Language: brazilianRunAsDaemon: yesInterval: 5Target[hdboot]:`/etc/mrtg/mrtg-hd.sh hdb1 2>> /dev/null`Title[hdboot]:"Uso do HD do Sistema"PageTop[hdboot]:Uso do HD do SistemaOptions[hdboot]: growright,noinfo,gaugeYLegend[hdboot]: PercentualShortLegend[hdboot]: %MaxBytes[hdboot]: 100Legend1[hdboot]: espaco livreLegend2[hdboot]: espaco ocupadoLegendI[hdboot]: LivreLegendO[hdboot]: OcupadoTarget[eth0]: `/etc/mrtg/mrtgstats-net.sh eth0`Title[eth0]:"Trafego na placa de rede - eth0"MaxBytes[eth0]:1400000PageTop[eth0]: Trafego de dados na placa de redeOptions[eth0]: growright,bits,noinfoTarget[perf]:`/etc/mrtg/mrtg-cpu.sh`Title[perf]:"Carga da CPU e Uso da Mem"PageTop[perf]:Carga da CPU e Uso da MemOptions[perf]: growright,noinfo,gaugeYLegend[perf]: PercentualShortLegend[perf]: %MaxBytes[perf]: 100Legend1[perf]: Carga da CPULegend2[perf]: Uso da mem realLegendI[perf]: CargaLegendO[perf]: MemsshA configuração do servidor, vai no arquivo /etc/ssh/sshd_configA configuração do cliente vai no /etc/ssh/ssh_config.Com o pacote instalado, você inicia o servidor usando o comando /etc/init.d/ssh startNo Debian o servidor só funcionará se o arquivo sshd_not_to_be_run, presente em /etc/ssh for renomeado ouexcluído. Renomeando o arquivo:mv /etc/ssh/sshd_not_to_be_run /etc/sshd_not_to_be_run.oldRoberto Amaral – Marcelo Farias Página 16017/10/2011

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: SERVIDORES DE REDES E GERENCIAMENTO - LINUXEm uma empresa, é padrão existir um equipamento específico para servidor de serviços,assim como roteador para acesso a Internet. Este equipamento sempre encontra-seisolado e o mesmo somente pode ser acesso através de login remoto.Para as pessoas que trabalham na empresa, este Servidor/Roteador é utilizado comofirewall, proibindo tráfego em certos horários, palavras e principalmente sites.Portanto o objetivo deste trabalho é por em prática a implementação de um equipamentoServidor/Roteador que atenda uma empresa.Rede Trabalho(10.11.12.X/24)Servidor ApacheAltere o DocumentRoot para/var/www/htmlServidor SSHAntes de fazer o Squid crie umcompartilhamento com IPTableInterface Interna 10.11.12.2Cliente ApacheCliente SquidClinete SSHServidor SquidBloqueando sexo eInterface Interna 10.11.12.1siteInterface Externa alocal/atualRedeLaboratório10.10.10.10/24Gateway10.10.10.10INTERNETRoberto Amaral – Marcelo Farias Página 16117/10/2011