Apostila Servidores - Gerds - Universidade Tuiuti do Paraná

Universidade Tuiuti do Paraná –UTPFaculdade de Ciências Exatas e de TecnologiaCursos de ComputaçãoGrupo de Estudos de Redes de Computadores e Sistemas DistribuídosProfessores:Marcelo Soares FariasRoberto Néia Amaral

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXINTRODUÇÃOInicialmente, os computadores eram máquinas caríssimas que centralizavam em um único ponto oprocessamento das aplicações de vários usuários, e muitas vezes de toda uma organização. Com a reduçãode custos do hardware e introdução dos microcomputadores no cenário da informática, a estrutura centralizadacedeu lugar a uma estrutura totalmente distribuída. Nessa estrutura diversos equipamentos dos mais variadosportes processam informações de formas isoladas, o que acarreta uma serie de problemas. Dentre osproblemas apresentados, destaca-se a duplicação desnecessária de recursos de hardware (impressoras,discos, etc.) e de software (programas, arquivos de dados etc.).Nesse cenário surgiram as redes de computadores, onde um sistema de comunicação foi introduzidopara interligar os equipamentos de processamentos de dados (estações de trabalhos), antes operandoisoladamente com o objetivo de permitir o compartilhamento de recursos.Evolução dos Sistemas de ComputaçãoNa década de 1950, computadores eram máquinas grandes e complexas, operadas por pessoasaltamente especializadas. Usuários enfileiravam-se para submeter suas leitoras de cartões ou fitas magnéticasque eram processados em lote. Não havia nenhuma forma de interação direta entre usuários e máquina.Avanços na década de 1960 possibilitaram o desenvolvimento dos primeiros terminais interativos,permitindo aos usuários acesso ao computador central através de linhas de comunicação. Usuários passavama ter então um mecanismo que possibilitava a interação direta com o computador, ao mesmo tempo em queavanços nas técnicas de processamento davam origem a sistemas de tempo compartilhado (time-sharing),permitindo que várias tarefas dos diferentes usuários ocupassem simultaneamente o computador central,através de uma espécie de revezamento no tempo de ocupação do processador.Mudanças na caracterização dos sistemas de computação ocorreram durante a década de 1970:de um sistema único centralizado e de grande porte, partia-se em direção à distribuição do podercomputacional. O desenvolvimento de minis e microcomputadores de bom desempenho, permitiu a instalaçãode considerável poder computacional concentração deste poder em uma determinada área.Embora o custo de hardware de processamento estivesse caindo, o preço dos equipamentoseletromecânicos continuava alto, tornando a interconexão entre os vários sistemas para o uso compartilhadode dispositivos periféricos importante.A capacidade de troca de informações também foi uma razão importante para a interconexão.Usuários individuais de sistemas de computação não trabalham isolados e necessitam de alguns dosbenefícios oferecidos pôr um sistema centralizado. Ambientes de trabalho cooperativos se tornaram umarealidade tanto nas empresas como nas universidades, exigindo a interconexão dos equipamentos.Para solucionar problemas de desempenho, os pesquisadores criaram novas arquiteturas quepropunham a distribuição e o paralelismo como forma de melhorar desempenho, confiabilidade e modularidadedos sistemas computacionais, alem de um sistema centralizado de repositório de informasses, ou melhor,servidores.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 3

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXEvolução das ArquiteturasA maioria dos computadores projetados até a década de 1980 teve sua concepção baseada nosmodelos original de Von Neumann. A interação perfeita entre o modo como os programas são desenvolvidos ea maneira como são interpretados foi uma das razões para o grande sucesso de tal modelo.A revolução nos sistemas de computadores começou com os avanços de tecnologia de integraçãode circuitos, que reduziram em muito os custos das partes de tais sistemas, onde várias arquiteturas foramentão propostas.Dentre as alternativas apresentadas, podemos citar os Sistemas de UCP única com múltiplasUnidades Funcionais, as Máquinas Pipeline e os Processadores de matriz (Array Processors).A idéia de seqüência múltiplas e independentes de instruções em um sistema composto por várioselementos de processamento compartilhando um espaço comum de memória aparece em uma outraarquitetura (Sistemas de Multiprocessadores) com as seguintes características:• Dois ou mais processadores de capacidade aproximadamente iguais.• Todos os processadores dividem o acesso a uma memória comum.• Todos os processadores compartilham os canais de I/O unidades de controle e dispositivos periféricos.• O sistema total é controlado pôr um único sistema operacional.Por último surgiram os Sistemas de Processamento Distribuídos por Eckhouse 78 como uma”coleção de elementos de processamentos interconectados tanto logicamente quanto fisicamente paraexecução cooperativa de programas de aplicação com controle dos recursos descentralizado”, o qual éo objetivo deste curso.Em Sistemas Distribuídos, o estado do sistema é fragmentado em partes que residem emdiferentes processadores e memórias, com comunicação entre essas partes sujeita a retardos variáveis edesconhecidos. Em sistemas distribuídos é impossível forçar a simultaneidade de eventos. A mínimainterferência em uma execução de tarefas paralelas vai permitir a obtenção de sistemas de grandedesempenho. A não existência de qualquer elemento sem o qual o sistema para totalmente lhe confere altaconfiabilidade. A possibilidade de utilização em larga escala de um pequeno número de elementos básicos dehardware e software é responsável pelo elevado grau de modularidade do sistema.Embora difícil de caracterizar, a arquitetura de múltiplos processadores tem melhor aplicação emsistemas que exigem grande disponibilidade, grandes requisitos de vazão, tempos de resposta garantidos ebaixos, alto grau de modularidade, e também onde as tarefas podem ser executadas de modo concorrente.Um Sistema Distribuído vai ser formado por um conjunto de módulos processadores interligadospor um sistema de comunicação. Vemos então que a interconexão de sistemas veio atender a duasnecessidades distintas:• Construção de sistemas com maior desempenho e maior confiabilidade• Compartilhamento de recursos.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 4

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXAlguns autores consideram como Sistema Distribuído apenas àqueles construídos para atender aprimeira necessidade, classificando como Redes de Computadores os sistemas construídos com a finalidadede permitir o compartilhamento de recursos. Outros preferem classificar todos esses sistemas como SistemasDistribuídos e subclassificá-los em Máquinas de Arquitetura Distribuída e Redes de Computadores.Uma Máquina de Arquitetura Distribuída é composta por um número ilimitado, mas finito demódulos autônomos de processamento interconectados para formar um único sistema, no qual o controleexecutivo global é implementado através da cooperação de elementos descentralizados.Uma Rede de Computadores também é formada por um número ilimitado, mas finito de módulosautônomos de processamento interconectados, no entanto a independência dos vários módulos deprocessamento é preservada na sua tarefa de compartilhamento de recursos e troca de informações.MAS ENTÃO O QUE VEM A SER UMA REDE DE COMPUTADORES?É UM MEIO FÍSICO E LÓGICO DE COMUNICAÇÃO DE DADOS,COMPARTILHADO, O QUAL POSSUI OBJETIVO DE UNIR INFORMAÇÕES ENTRETODOS OS PARCIPANTES DESTE INFODUTO CONTROLADO DE DADOS.“Quando você precisar de ir além do computador em cima desua mesa, esta na hora de instalar uma rede local”.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 5

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXClassificação das Redes de ComputadoresAs redes de computadores podem ser classificadas quanto sua abrangência geográfica. Para cada tipode rede deve existir um tipo de meio de transmissão assim como um tipo de protocolo que fará essacomunicação. Na junção de todas estas idéias, podemos considerar que cada tipo de rede, possuirá suacaracterística particular assim como seus possíveis protocolos de comunicação.TIPOS DE REDESCada tipo de rede tem suas características principais ligadas a sua abrangência, ou seja, a suacapacidade de atendimento em Km.• LAN (Local Area Network) : As redes locais tem uma abrangência limitada por um prédio, uma sala,um campus ou uma fábrica num limite de alguns quilômetros ( 2 a 3 Km).• MAN (Metropolitan Area Network) : As redes metropolitanas podem atender uma grande área comouma região metropolitana, por exemplo atendida por uma anel de fibras óticas interligando diversosmunicípios como se fosse uma infra-estrutura única, com alcance de 30 Km.• WAN (Wide Area Network) : As redes WAN também conhecidas como redes de longa distânciapodem ser redes nacionais atendendo todo o território como também redes internacionais interligadasvia satélite ou cabos submarinos.Podemos considerar a tabela abaixoRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 6

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXTopologia“Topologia para redes de computadores está relacionada como os equipamentos que compõeuma rede são distribuídos em um determinado espaço. Porem esta distribuição não está relacionada somentea questões físicas, mas sim sobre questões lógicas também.”A Topologia define a estrutura da rede. Há dois pontos na definição de topologia: a topologia física, que é olayout real do meio físico de transmissão, e a topologia lógica, que define como os meios são acessados. Astopologias físicas geralmente usadas são barramento, anel, estrela, estrela estendida, hierárquica e malha.• Barramento: usa um único segmento de transmissão, ao qual todos os hosts se conectam diretamente.• Anel: conecta um host ao próximo e o último host ao primeiro. Isso cria um anel físico do cabo.• Estrela: conecta todos ao ponto central, sendo normalmente um hub ou switch..• Estrela estendida: une as estrelas individuais vinculando os hubs/switches.• Hierárquica: forma similar a uma estrela estendida, mas em vez de unir os hubs/switches, o sistema évinculado a um computador que controla o tráfego na topologia.• Malha: Nesta, cada host tem suas próprias conexões com todos os outros hosts. Isso reflete o projetoda Internet, que possui vários caminhos para qualquer lugar.A topologia lógica de uma rede é a forma como os hosts se comunicam através dos meios. Os dois tiposmais comuns de topologias lógicas são broadcast e passagem de token.• Broadcast: simplesmente significa que cada host envia seus dados a todos os outros hosts no meioda rede. As estações não seguem nenhuma ordem para usar a rede, a primeira a solicitar é a atendida.• Passagem de token: controla o acesso à rede, passando um token eletrônico seqüencialmentepara cada host. Quando um host recebe o token, significa que esse host pode enviar dados na rede. Seo host não tiver dados a serem enviados, ele vai passar o token para o próximo host.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 7

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 8

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXDispositivos de RedesOs dispositivos que se conectam diretamente a um segmento de rede são chamados de hosts. Esseshosts incluem computadores, clientes e servidores, impressoras, scanners e muitos outros dispositivos dousuário. Esses dispositivos fornecem aos usuários conexão à rede, com a qual os usuários compartilham,criam e obtêm as informações.Placas de RedesEm termos de aparência, uma placa de rede é uma placa de circuito impresso que se encaixa no slotde expansão de um barramento em uma placa mãe do computador ou em um dispositivo periférico. É tambémchamada de placa de rede. Em computadores laptop/notebook as placas de rede são normalmente dotamanho de uma placa PCMCIA.As placas de rede são consideradas dispositivos da camada 2 do modelo OSI, porque cada placa derede em todo o mundo transporta um código exclusivo, chamado de um endereço Media Access Control(MAC). Esse endereço é usado para controlar as comunicações de dados do host na rede.Sempre que existir um dispositivo de rede acoplado ao meio de rede, há algum tipo de dispositivo deplaca de rede, mesmo que geralmente não seja exibido.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 9

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXCABEAMENTOS DE REDEPara que computadores funcionem em conjunto em uma rede, são necessários meios de transmissãoou cabos. Os meios de transmissão são utilizados em redes de computadores para ligar as estações entre si,sendo que estes meios diferem com relação à banda passante, potencial para conexão ponto a ponto oumultiponto, limitação geográfica, imunidade a ruído, custo, disponibilidade de componentes e confiabilidade.Qualquer meio físico capaz de transportar informações eletromagnéticas é passível de ser usado emredes de computadores. Os mais comuns utilizados são: o par trançado, o cabo coaxial e a fibra ótica. Sobcircunstâncias especiais, radiodifusão, infravermelho, enlaces de satélite e microondas também são escolhaspossíveis. As taxas de transmissão desses meios são medidas em bits por segundo, ou bps.Cabo coaxialÉ composto de um centro condutivo, envolto por uma camada isolante, e novamente envolto por uma camadacondutora. É bastante resistente a interferências. Este possui uma imunidade a ruído ótima, e uma fugaeletromagnética mais baixa. Os ruídos geralmente presentes em áreas urbanas e industriais são de baixafreqüência, tornando as transmissões em banda básica mais susceptíveis a eles. Quanto ao custo, o coaxial émais caro do que o par trançado, assim como é mais elevado o custo das interfaces para ligação ao cabo.Para ligar esse tipo de cabo na placa de rede de um computador, é necessário um conector BNC e um T.Vantagens de sua utilização• Baixos custos de manutenção;• Topologia simples de implementar;• Resistência à ruídos e interferências;Desvantagens de sua utilização• Distâncias limitadas;• Baixo nível de segurança;• Difícil de fazer grandes mudanças na topologia da rede.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 10

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCabo par trançadoCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXEste é composto por dois pares de fios (ou 4 pares ) envoltos por uma camada isolante de forma areduzir o ruído e manter constante as prioridades elétricas do meio através de todo o seu comprimento. Aperda de energia é um parâmetro importante quando se discute não só a taxa máxima de transmissão, mastambém a distância máxima permitida, qualquer que seja o meio de transmissão. A perda de energia aumentacom a distância, até chegar um ponto onde o receptor não consegue mais reconhecer o sinal. A energia podeser perdida por radiação ou por calor. Sua desvantagem é a sensibilidade às interferência e ruído. Com oaumento das taxas de transmissão, cabos de par trançado de melhor qualidade foram gradativamente sendoproduzidos. Uma aplicação típica para o par trançado é a ligação ponto a ponto entre terminais e computadorese entre estações da rede e o meio de transmissão. Esse é o mais utilizado atualmente e, o custo total da rede émaior pelo fato de necessitar de equipamentos extras (como hub, por exemplo). O conector utilizado é o RJ-45.ConectorizaçãoPino 1 Branco do VerdePino 2 VerdePino 3 Branco do LaranjaPino 4 AzulPino 5 Branco do AzulPino 6 LaranjaPino 7 Branco do MarromPino 8 MarromPINOSINAL1 Transmissão -2 Transmissão +3 Recepção -456 Recepção +78Roberto Amaral – Marcelo Soares Farias Página 1103/03/2010

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXFibra ópticaA transmissão em fibra ótica é realizada pelo envio de um sinal de luz. O cabo ótico consiste em umfilamento de sílica ou plástico, por onde é feita a transmissão da luz. Ao redor do filamento existem substânciasde menor índice de refração, que fazem com que os raios sejam refletidos internamente, minimizando assim asperdas de transmissão. Existem três tipos de fibras óticas: as multímodo degrau, as multímodo com índicegradual e as monomodo. Fibras ópticas não estão sujeitas a interferência e transmitem a uma taxa bastanteelevada: 100.000 Mbps, podendo chegar a 200.000 Mbps.CaracterísticasA fibra óptica é praticamente imune às influências do meio ambiente por onde está passando.Imunidade total a interferência eletromagnética e interferência por radio-frequência. Não gera camposmagnéticos e eletromagnéticos. Insensível a relâmpagos e descargas atmosféricas. Segura mesmo emcontacto com condutores de alta voltagem, pois é totalmente dielétrica. Muito segura contra grampeamento(roubo de informações). Suporta grandes distâncias entre repetidores.Sua aplicação se dá emtelecomunicações, é usada para Redes de Telecomunicações e Transmissão de sinais de processamento dedados.Redes de Telecomunicações:- Circuitos de telefonia interurbanos.- Conexões de redes locais (LANs e WANs).- Redes para controle de distribuição de energia elétrica- Redes de transmissão de dados.- Redes de distribuição de sinais de radiodifusão e televisão- Redes de estúdios, cabos de câmeras de televisão.- Redes industriais, em monitoração e controle de processos.- Transmissão de sinais de processamento de dados de computador para computador.- Interligação de circuitos dentro de equipamentos.- Aplicações de controle em geral ( fábricas, maquinários)- Em veículos motorizados, aeronaves, trens e naviosVantagens de sua utilizaçãoDesvantagens de sua utilizaçãoRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 12

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXEquipamentos de RedesExistem diversos fabricantes de equipamentos de redes de computadores, porem basicamente osequipamentos estão classificados em 3 tipos:1. Os que simplesmente repassam as informações (sinais elétricos)2. Os que tratam a informação através dos endereços físicos dos equipamentos3. Os que realizam a operação de encaminhar a informação através de redes lógicasNo grupo 1, que são replicadores de sinais elétricos, trabalhando no nível físico, estão os Hubs e RepetidoresNo grupo 2, os equipamentos que realizam a comutação no primeiro nível lógico de uma rede, são os Switch.No grupo 3 , os equipamentos que realizam o roteamento entre redes diferentes, os Roteadores.HUBA finalidade de um hub é gerar os sinais da rede novamente e os retemporizar. Isso é feito no nível debit para um grande número de hosts usando um processo conhecido como concentração. Essa definição émuito similar a dos repetidores, por essa razão um hub é também conhecido como repetidor multiportas. Adiferença é o número de cabos que se conectam ao dispositivo. Os motivos para se usar os hubs é criar umponto de conexão central para os meios de cabeamento e aumentar a confiabilidade da rede. Aumenta-se aconfiabilidade da rede permitindo qualquer cabo único a falhar sem afetar toda a rede. Isso difere da topologiade barramento onde, se houver uma falha no cabo, toda a rede será afetada. Os hubs são consideradosdispositivos da camada 1 porque apenas geram novamente o sinal e o transmite para suas portas.Existem diferentes classificações dos hubs na rede. A primeira classificação é dizer se os hubs sãoativos ou passivos. Hubs ativos obtêm energia de uma fonte de alimentação para gerar novamente os sinais darede. Alguns são denominados dispositivos passivos porque simplesmente repartem o sinal entre váriosusuários, como usando um fio "Y". Os hubs passivos não geram novamente os bits. Outra classificação é se oshubs são inteligentes ou burros. Os hubs inteligentes têm portas do console, o que significa que podem serprogramados para gerenciar o tráfego da rede. Os hubs burros simplesmente aceitam um sinal da rede deentrada e o repete em todas as portas sem realizar qualquer gerenciamento.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 13

SWITCHUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXUm switch é um dispositivo da camada 2. A diferença entre o hub e o switch é que os switches tomamas decisões com base nos endereços MAC e os hubs não tomam nenhuma decisão. Devido às decisões queos switches tomam, eles tornam uma LAN muito mais eficiente. Fazem isso "comutando" os dados apenas pelaporta à qual o host apropriado está conectado. Os switches, à primeira vista, se parecem com os hubs. Oshubs e os switches têm muitas portas de conexão, uma vez que parte de suas funções é a concentração daconectividade. A diferença entre um hub e um switch é o que acontece dentro do dispositivo.A finalidade de um switch é concentrar a conectividade, ao mesmo tempo tornando a transmissão dedados mais eficiente. Ele comuta os pacotes das portas de entrada para as portas de saída, enquanto fornecea cada porta a largura de banda completa.RoteadoresO roteador encontra-se na camada de rede OSI, conhecida como camada 3. Toma decisões com baseem grupos de endereços de rede ao invés de endereços MAC individuais. Os roteadores podem tambémconectar diferentes tecnologias da camada 2, como Ethernet, Token-ring e FDDI. No entanto, devido à suahabilidade de rotear pacotes baseados nas informações da camada 3, os roteadores se tornaram o backboneda Internet, executando o protocolo IP. A finalidade de um roteador é examinar os pacotes de entrada (dadosda camada 3), escolher o melhor caminho para eles através da rede e depois comutar os pacotes para a portade saída apropriada. São dispositivos de controle de tráfego mais importantes nas grandes redes. Permitemque qualquer tipo de computador se comunique com qualquer outro computador em qualquer parte do mundo.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 14

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXSistema de EndereçamentoDevemos considerar que existem dois tipos de endereçamento dentro de uma rede, ou melhor, umamáquina pode assumir 2 tipos de endereços. Os endereços físicos, que são atribuídos pelos fabricantes deplacas de redes e os endereços lógicos (IP) atribuídos pelo administrador de redes.Protocolo IPO protocolo IP foi projetado tendo como principal objetivo a ligação inter-redes. Por isto ele éconsiderado como elemento integrador da Internet, através dele é possível a conexão de diversas sub-redes. AInternet é composta de diversos backbones construídos através linhas de altas velocidades de diversos tiposde tecnologia. A cada um destes backbones estão conectadas várias redes locais de muitas outras instituiçõescada uma com suas características de sub-rede. Em muitas empresas é comum utilizar o IP, e outrosprotocolos de sua família, para interligar computadores de tecnologia diferentes.Endereçamento IPIdentificadores UniversaisDiz-se que um sistema provê um serviço de comunicação universal quando é possível a quaisquer doselementos deste sistema se comunicar arbitrariamente. Para tornar um sistema de comunicação universal,devemos estabelecer um método globalmente aceito para identificação dos componentes a ele conectados.Nas redes TCP/IP, a entidade que atua como identificador universal é o endereço IP, um número de 32 dígitosbinários. A idéia básica de seus mentores era a de tornar o roteamento simples e eficiente.As três Classes Primárias de EndereçoA Internet é uma gigantesca rede de computadores como qualquer outra rede física. A grandediferença, entretanto, está no fato de que a Internet é uma estrutura virtual, concebida por seus desenhistas eimplementada inteiramente em software. Assim, os projetistas tiveram liberdade de arbitrar o tamanho eformato dos pacotes, endereços, técnicas de roteamento, etc. Na questão do endereçamento, cada host éatribuído um número inteiro que será seu endereço - no caso o endereço IPCada endereço IP possui 32 bits, que se divide em duas partes: uma primeira que identifica a rede aqual esse computador está logicamente conectado e uma segunda parte que identifica o computadorpropriamente dito. Observe que todas as máquinas conectadas a uma mesma rede irão compartilhar essaprimeira parte, que se convencionou chamar net id (identificador da rede). Analogamente, à segunda porção doendereço IP é o host id (identificação da máquina).Em termos práticos, cada endereço IP deverá estar contido em uma das cinco categorias. A classe deum endereço pode ser identificada através do exame dos quatro bits de mais alta ordem, sendo que as trêsclasses básicas (A, B e C) podem ser distinguidas apenas pelos dois primeiros. A classe A, usada para umpequeno número de redes que contêm mais de 65.535 hosts, reserva 7 bits para o net id e 24 bits para o hostid. Os endereços da classe B se destinam a redes de tamanho intermediário (entre 256 e 65535 máquinas) ereservam 14 bits para o net id e 16 bits para o host id. Finalmente, a classe C, apropriada para pequenasRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 15

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXredes, aloca 21 bits para o net id e apenas 8 bits para o host id. Observe que os endereços IP são estruturadosde forma a permitir uma rápida extração da identificação da rede (net id) e da máquina a ela conectada (hostid). Os gateways dependem da extração eficiente do net id para realizar o roteamento dos pacotes IP.Endereço de uma rede e Endereço de Difusão (Broadcast)Por convenção, um host id 0 nunca é atribuído a uma máquina. Ao invés disso, esse endereço com osbits do host id todos zerados irá se referir à rede propriamente dita. O endereçamento IP permite que se façareferência a todos os hosts de uma determinada rede através do chamado endereço de difusão. Um endereçode broadcast é aquele em que os bits do host id são todos 1. Nem todas as redes suportam a difusão, algumasirão precisar de implementação de software e outras não permitirão esta facilidade.Difusão localO endereço de difusão permite que um sistema remoto mande um pacote para todos os nós de umadeterminada rede. Do ponto de vista do endereçamento, a desvantagem deste esquema é que ele requer oconhecimento do endereço de rede. Outra forma de endereço de difusão é chamada endereço de difusãolimitada ou endereço de difusão local. Este endereço consiste de 32 bits iguais a 1. Esse mecanismo possibilitaa referência a todas as máquinas de uma rede local sem que os endereços IP reais sejam conhecidos.Endereços de referência à própria rede e ao próprio host.Campos de endereço preenchidos somente com 1's indicam "todos". Um endereço com 32 bits 1,indica todas as máquinas desta rede e um endereço com todos os bits do host id iguais a 1 indica todas asmáquinas de uma determinada rede (especificada no net id). Analogamente, campos preenchidos com 0's sãogeralmente interpretados como significando "este". Assim, um endereço com 32 bits 0, indica o próprio host(este host) e um endereço com todos os bits do net id iguais a zero, se refere à rede local (esta rede).Endereço de MulticastMuitas tecnologias de rede contêm mecanismos que permitem o envio simultâneo de pacotes amúltiplos destinatários. Em redes de barramento (como a Ethernet) isso pode ser alcançado com o envio de umúnico pacote (capturado por todos os hosts). Em outras topologias, com conexões ponto-a-ponto, esse pacotedeverá ser replicado para alcançar todos os hosts.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 16

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXAlgumas redes suportam um segundo tipo de comunicação ponto multi-ponto, conhecido commulticast. Ao contrário do broadcast, a técnica de multicast permite que cada host "escolha" se deseja ou nãoparticipar daquele "canal". Quando um grupo de máquinas decide se comunicar, elas selecionam um endereçode multicast que será, então, o seu canal de comunicação.Na Internet, quando um determinado grupo de máquinas deseja criar um grupo de multicast, elasdevem todas "sintonizar", isto é, configurar suas interfaces para receber pacotes enviados para um mesmoendereço. Esse endereço deverá pertencer à Classe D. Assim, cada endereço entre 224.0.0.0 e239.255.255.255 (mais de 268 milhões de alternativas!) pode ser usado como multicast.A idéia é que hosts podem, a qualquer momento, conectar-se ou desconectar-se de um grupo demulticast. A técnica de multicasting traz como vantagem sobre a difusão, uma melhor seletividade. Isto é, osdados somente serão enviados aos hosts necessários.Notação DecimalNúmeros de 32 bits não são facilmente manipuláveis por seres humanos, e mesmo aplicação nãotratam diretamente com este tipo de representação. Uma forma mais fácil de representar endereços IP é a departicioná-lo em quatro octetos convertidos para a notação decimal e separados por pontos.Desta forma, o binário11000000 11000110 00001011 10000001passa a ser tratado como192.198.11.129Pode-se também atribuir nomes alfabéticos a hosts, facilitando ainda mais sua memorização. Estatradução é apoiada por um protocolo específico que atua sobre uma imensa base de dados distribuídaconhecida como Domain Name System (DNS).Por questões de simplificação pode-se representar um endereço IP de 32 bits agrupando-os em gruposde 8 bits e representando estes grupos em valores decimais. Por exemplo o endereço11001000100010011000001100000010 representado em forma de ponto decimal seria 200.137.131.2.Classe A 1.0.0.0 até 127.255.255.255Classe B 128.0.0.0 até 191.255.255.255Classe C 192.0.0.0 até 223.255.255.255Classe D 224.0.0.0 até 239.255.255.255Classe E 240.0.0.0 até 247.255.255.255Classes de Endereços representados sobe forma decimalRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 17

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosEndereço de LoopbackCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXO endereço 127.0.0.0 é reservado à aplicação de loopback. Isto é, qualquer pacote enviado a esteendereço não deve trafegar na rede, mas retornar ao próprio remetente (isto equivale a dizer que o pacoteretornará da própria interface de rede do host). O endereço de loopback ou localhost se presta a testes ecomunicação entre processos que rodam numa mesma máquina.Resumo EspeciaisEndereçamento de Sub-RedeUma técnica que permite que se partilhe um mesmo endereço de rede entre diversas redes é oendereçamento de sub-rede. Vamos imaginar uma instituição a qual foi atribuído um endereço classe C masque possui diversas redes interconectadas em suas instalações. Como partilhar este endereço entre estasdiversas redes? A adição de sub-redes implica uma nova subdivisão do endereço IP. O sufixo designador dohost (host id) é dividido em duas partes: a primeira designará uma sub-rede, e a segunda um host.O problema básico que surge quando realizamos esta nova divisão é que o esquema convencional deroteamento, que procura extrair a porção que designa a rede, deixa de funcionar. Para suplantar estadificuldade, introduz-se no sistema de roteamento uma nova entidade: a máscara de sub-rede. A máscara desub-rede é um número de 32 bits que permite a extração de sua "porção de rede". Isto é, ele possui bits 1 nasposições correspondentes a esta "porção de rede". Para uma rede classe C sem sub-redes a máscara seria:11111111 11111111 11111111 00000000255.255.255.0que em notação decimal corresponde a:Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 18

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXNomenclatura das interfaces no LinuxUm sistema Linux pode ter várias interfaces, cada uma com um endereço de Protocolo de Internet (IP)diferente. As interfaces podem ser de diferentes tipos, incluindo:• Loopback: lo• Ethernet: eth0, eth1, . . .• Wi-Fi: wlan0, wlan1, . . .• Token Ring: tr0, tr1, . . .• PPP: ppp0, ppp1, . . .Definindo configuraçõesAs ferramentas de configuração de rede de baixo nível tradicionais nos sistemas GNU/Linux são osprogramas ifconfig e route que vêm no pacote net-tools. Essas ferramentas oficialmente foram superadas peloip que vem no pacote iproute. O programa ip funciona no Linux 2.2 e superiores e é mais capaz que asferramentas antigas. Entretanto, as ferramentas antigas ainda funcionam e são mais familiares a muitosusuários.# ifconfig argumentos ( Usado para exibir e configurar uma interface de rede)# route ( Usado para exibir e configurar a tabela de roteamento)Exemplo:Mudando o endereço IP da interface eth0 de 192.168.0.3 para 192.168.0.111 e tornando eth0 como rota para arede 10.0.0.0 via 192.168.0.1.Executando ifconfig e route sem argumentos de interface, vamos exibir o estado atual de todas as interfaces derede e roteamento.# ifconfigeth0 Link encap:Ethernet HWaddr 08:00:46:7A:02:B0 inet addr:192.168.0.3 Bcast:192.168.0.255Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1RX packets:23363 errors:0 dropped:0 overruns:0 frame:0TX packets:21798 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:100RX bytes:13479541 (12.8 MiB) TX bytes:20262643 (19.3 MiB)Interrupt:9lo Link encap:Local Loopbackinet addr:127.0.0.1 Mask:255.0.0.0UP LOOPBACK RUNNING MTU:16436 Metric:1RX packets:230172 errors:0 dropped:0 overruns:0 frame:0TX packets:230172 errors:0 dropped:0 overruns:0 carrier:0Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 19

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXcollisions:0 txqueuelen:0RX bytes:22685256 (21.6 MiB) TX bytes:22685256 (21.6 MiB)# routeKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface192.168.0.0 * 255.255.0.0 U 0 0 0 eth0default 192.168.0.1 255.255.255.255 UG 0 0 0 eth0Desativando a interface eth0:# ifconfig eth0 inet downConferindo:# ifconfig# routeAtivando a interface com o novo endereço IP e novo roteamento.# ifconfig eth0 inet up 192.168.0.111 netmask 255.255.0.0 broadcast 192.168.255.255# route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.0.1 dev eth0Para vermos o resultado:# ifconfigeth0 Link encap:Ethernet HWaddr 08:00:46:7A:02:B0inet addr:192.168.0.111 Bcast:192.168.255.255 Mask:255.255.0.0UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1...lo Link encap:Local Loopbackinet addr:127.0.0.1 Mask:255.0.0.0# routeKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface192.168.0.0 * 255.255.0.0 U 0 0 0 eth010.0.0.0 192.168.0.1 255.0.0.0 UG 0 0 0 eth0#ipUsado para exibir e configurar uma interface de rede.Uso:ip argumentosOs equivalentes para o ip dos comandos ifconfig e route anteriores são:Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 20

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX• ip link show• ip route list• ip link set eth0 down• ip addr del dev eth0 local 192.168.0.3• ip addr add dev eth0 local 192.168.0.111/16 broadcast 192.168.255.255• ip link set eth0 up• ip route add dev eth0 to 10.0.0.0/8 src 192.168.0.111 via 192.168.0.1O programa ip mostra sua sintaxe de comando quando executado com o argumento help.Por exemplo, ip link help mostra:Usage: ip link set DEVICE { up | down | arp { on | off } | dynamic { on | off } | multicast { on | off } | txqueuelenPACKETS | name NEWNAME | address LLADDR | broadcast LLADDR | mtu MTU }ip link show [ DEVICE ]Configurando uma interface Wi-FiO programa iwconfig, que vem no pacote wireless-tools, é usado para interfaces Wi-Fi, juntamente como ifconfig ou ip.Configurando uma interface com um endereço IP estáticoSuponha que você quer configurar uma interface Ethernet que tem um endereço IP fixo 192.168.0.123. Esseendereço começa com 192.168.0 então deve estar em uma LAN. Suponha também que 192.168.0.1 é oendereço do gateway da LAN para a Internet. Edite o arquivo /etc/network/interfaces de forma que inclua umaentrada como essa:iface eth0 inet staticaddress 192.168.0.123netmask 255.255.255.0gateway 192.168.0.1Se você tiver o resolvconf instalado então pode adicionar linhas que especifiquem informação de DNS. Porexemplo:iface eth0 inet staticaddress 192.168.0.123netmask 255.255.255.0gateway 192.168.0.1dns-search meudominio.orgdns-nameservers 195.238.2.21 195.238.2.22Depois que a interface foi levantada, os argumentos das opções dns-search e dns-nameservers se tornamdisponíveis para o resolvconf para inclusão no arquivo resolv.conf. O argumento meudominio.org da opçãodns-search corresponde ao argumento de uma opção search em resolv.conf(5). Os argumentos 195.238.2.21Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 21

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXe 195.238.2.22 da opção dns-nameservers corresponde aos argumentos das opções nameserver noresolv.conf(5). Outras palavras de opção reconhecidas são dns-domain e dns-sortlist.Configurando uma interface usando DHCPPara configurar uma interface usando DHCP edite o arquivo /etc/network/interfaces de forma que inclua umaentrada como essa:iface eth0 inet dhcpPara que isso funcione você precisa ter instalado um dos clientes DHCP mencionados abaixo. A configuraçãode baixo nível de interfaces de rede pode ser automatizada por meio do Dynamic Host Configuration Protocol(DHCP) (Protocolo de Configuração Dinâmica de Sistemas). Seu firewall ou sistema roteador ou seu ISP debanda larga podem fornecer endereços IP e outros parâmetros dessa maneira. Para isso funcionar vocêprecisa instalar um dos seguintes pacotes:• dhcp3-client (versão 3, Internet Software Consortium)• dhcpcd (Yoichi Hariguchi e Sergei Viznyuk)• pump (Redhat)O pump é simples e largamente utilizado. O dhcp3-client é complexo mas mais configurável.Configurando uma interface Wi-FiO pacote wireless-tools inclui um script /etc/network/if-pre-up.d/wireless-tools que torna possível configurarhardware Wi-Fi (802.11a/b/g) antes de levantar a interface. A configuração é feita usando o programa iwconfig.Para cada parâmetro de comando possível do iwconfig você pode incluir uma opção em /etc/network/interfacesnomeada como o parâmetro com um prefixo ”wireless-“. Por exemplo, para definir o ESSID de eth0 parameuessid e a chave de encriptação para 123456789e antes de levantar a eth0 usando DHCP, edite oarquivo /etc/network/interfaces de forma a incluir uma entrada como esta:iface eth0 inet dhcpwireless-essid myessidwireless-key 123456789eConfigurando múltiplas interfaces Ethernet para um gatewaySuponha que a eth0 esteja conectada à Internet com um endereço IP configurado por DHCP e que a eth1esteja conectada à LAN com um endereço IP estático 192.168.1.1. Editando o arquivo /etc/network/interfacesde forma a incluir entradas como essas:iface eth0 inet dhcpiface eth1 inet staticaddress 192.168.1.1netmask 255.255.255.0Configurando interfaces virtuaisUsando interfaces virtuais você pode configurar uma única placa Ethernet para ser uma interface para váriassub-redes IP. Por exemplo, suponha que seu sistema esteja em uma rede LAN 192.168.0.x/24. Você querRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 22

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXconectar o sistema à Internet usando um endereço IP público provido via DHCP usando sua placa Ethernetexistente. Edite o /etc/network/interfaces de forma a incluir entradas como essas:iface eth0 inet staticaddress 192.168.0.1netmask 255.255.255.0network 192.168.0.0broadcast 192.168.0.255iface eth0:0 inet dhcpA interface eth0:0 é uma interface virtual. Quando é levantada, também é levantada a sua superior eth0.Reconfiguração de redeO que vem a seguir será importante para o leitor compreender a diferença entre uma interface física e umainterface lógica. Uma interface física é o que temos chamado de ”a interface“, a coisa que é chamada eth0,ppp1, ou o que você tiver. Uma interface lógica é um conjunto de valores que pode ser atribuído aosparâmetros variáveis de uma interface física. Se você achar isso confuso, substitua a expressão ”configuradocomo interface lógica X“ pela expressão ”configurado com o perfil de interface X“ conforme você ler.As definições iface no arquivo /etc/network/interfaces são na verdade definições de interfaces lógicas, não deinterfaces físicas. Se você nunca quiser reconfigurar suas interfaces então pode ignorar esse fato já que ainterface física X por padrão será configurada como interface lógica X. Entretanto, suponha que seucomputador seja um laptop que você transporta entre a casa e o trabalho. Quando você conecta o computadorà rede corporativa ou à sua LAN doméstica você precisa configurar a eth0 apropriadamente.Primeiro defina duas interfaces lógicas casa e trabalho (ao invés de eth0 como fizemos anteriormente) quedescrevem como a interface deve ser configurada para a rede doméstica e a rede do trabalho,respectivamente.iface casa inet staticaddress 192.168.0.123netmask 255.255.255.0gateway 192.168.0.1iface work inet staticaddress 81.201.3.123netmask 255.255.0.0gateway 81.201.1.1Então a interface física eth0 pode ser levantada para a rede doméstica com a configuração apropriadaespecificando na linha de comando:# ifup eth0=casaPara configurar a eth0 para a rede do trabalho execute os comandos:Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 23

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX# ifdown eth0# ifup eth0=workNote que com o arquivo interfaces escrito como acima não será mais possível levantar a eth0 usando apenasifup eth0. A razão para isso é que o ifup usa o nome da interface física como o nome padrão da interface lógicae agora em nosso exemplo não há uma interface lógica eth0 definida.Configuração de rede durante a inicializaçãoNa inicialização o script /etc/rcS.d/S40networking executa o comando ifup -a. Isso levanta todas as interfacesfísicas listadas em entradas auto no etc/network/interfaces. Atualmente é freqüentemente melhor gerenciar aconfiguração de rede usando métodos dinâmicos. Uma vez que estão disponíveis mecanismos para suportarhardware que mude dinamicamente se torna mais simples tratar hardware estático como se fosse dinâmicotambém. Entretanto, na maioria dos casos se deseja que pelo menos a interface de loopback lo seja levantadana inicialização. Assim, certifique-se de que o /etc/network/interfaces inclua as seguintes entradas.auto loiface lo inet loopbackVocê pode listar nomes de interfaces físicas adicionais em entradas auto se desejar que também sejamlevantadas durante a inicialização. Nunca liste interfaces PCMCIA em entradas auto. O programa cardmgr dePCMCIA é iniciado mais tarde na seqüência de inicialização que quando o /etc/rcS.d/S40networking éexecutado.Configuração de rede via hotplugPara obter suporte a hot plug instale o pacote hotplug. Hardware de rede pode ser conectado com ocomputador ligado durante a inicialização ou depois que um cartão (por exemplo, um cartão PCMCIA) éinserido na máquina ou depois que um utilitário como o discover é executado e carrega os módulos decontroladores necessários. Quando o kernel detecta um novo hardware ele inicializa o controlador (driver) parao hardware e então executa o programa hotplug para configurá-lo. Mais tarde, se o hardware for removido,então o kernel executa o hotplug novamente com ajustes de variáveis de ambiente diferentes. No Debian,quando o hotplug é chamado ele executa scripts em /etc/hotplug/ e /etc/hotplug.d/.O hardware de rede recentemente inserido é configurado pelo script /etc/hotplug/net.agent. Suponha que seucartão de rede PCMCIA tenha sido inserido resultando na interface eth0 se tornando disponível para uso. O/etc/hotplug/net.agent faz o seguinte:ifup eth0=hotplugA menos que você tenha adicionado uma definição de interface lógica ou um mapeamento chamado hotplugem /etc/network/interfaces, esse comando não fará nada. Para fazer com que o comando configure a eth0,adicione a seguinte entrada em /etc/network/interfaces:Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 24

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXmapping hotplugscript echo(Não inclua uma entrada mapping como essa se você estiver usando pedidos do ifplugd iniciados pelo hotplugpara controlar a interface, como descrito em ‘Gatilhando a configuração de rede – ifplugd’ on the current page.)Se você quiser que apenas a eth0 e mais nenhuma outra interface seja levantada com hot plug então use grepao invés de echo como a seguir:mapping hotplugscript grepmap eth0Resolução de problemas com redeSe você encontrar problemas então verifique a saída seguinte como primeira verificação do que estáacontecendo:# ifconfig# cat /proc/pci# cat /proc/interrupts# dmesg | moreTestes de rede básicosInstale os pacotes netkit-ping, traceroute, dnsutils, ipchains (para kernel 2.2), iptables (para kernel 2.4) e nettoolse :$ ping yahoo.com # checa a conexão Internet$ traceroute yahoo.com # rastrea pacotes IP$ ifconfig # checa configuração do host$ route -n # checa configuração de roteamento$ dig [@servidor-dns.com] host.domínio [{a|mx|any}] |less# checa os registros DNS de host.domínio usando servidor-dns.com para um registro a {mx|any}$ ipchains -L -n |less # checa o filtro de pacotes (kernel 2.2)$ iptables -L -n |less # checa o filtro de pacotes (kernel 2.4)$ netstat -a # encontra todas as portas abertas$ netstat -l --inet # encontra as portas em escuta$ netstat -ln --tcp # encontra todas as portas TCP em escuta (numérico)RoteamentoRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 25

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXO primeiro endereço em uma rede IP é o endereço da própria rede. O último endereço é o endereço debroadcast da rede. Todos os outros endereços podem ser alocados a sistemas na rede. Desses, o primeiro ouo último endereço normalmente é alocado para o gateway de Internet para a rede.A tabela de roteamento contém a informação do kernel sobre como enviar pacotes IP aos seus destinos. Aquiestá um exemplo de tabela de roteamento para um sistema Debian em uma rede local (LAN) com endereço IP192.168.50.x/24. O sistema 192.168.50.1 (também na LAN) é um roteador para a rede corporativa172.20.x.x/16 e o sistema 192.168.50.254 (também na LAN) é um roteador para a Internet para todos.# routeKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface127.0.0.0 * 255.0.0.0 U 0 0 2 lo192.168.50.0 * 255.255.255.0 U 0 0 137 eth0172.20.0.0 192.168.50.1 255.255.0.0 UG 1 0 7 eth0default 192.168.50.254 0.0.0.0 UG 1 0 36 eth0A primeira linha depois do cabeçalho diz que o tráfego destinado à rede 127.x.x.x será roteado para lo ainterface de loopback.• A segunda linha diz que o tráfego destinado aos sistemas na LAN serão roteados através de eth0.• A terceira linha diz que o tráfego destinado à rede corporativa será roteado para o gateway192.168.50.1 e também através de eth0.• A quarta linha diz que o tráfego destinado à Internet será roteado para o gateway 192.168.50.254 etambém através de eth0.Os endereços IP na tabela também podem aparecer como nomes que são obtidos procurando endereços em/etc/networks ou usando o resolvedor da Biblioteca C.Configuração de rotasPara inserir uma rota use o comando no formato:route add [ -net | -host ] target [ netmask Nm ] [ gw Gw ] [[ dev ] If ].Exemplos:Inserir uma rota para uma rede:# route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.1.3Inserir uma rota para um host, utilizando uma determinada interface ponto-aponto:# route add -net 192.168.10.1 dev ppp0Para selecionar a rota default:# route add default gw 192.168.1.200Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 26

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXPara remover rotas usamos praticamente a mesma sintaxe, mas ao invés do "add" usamos o "del". Sequisermos adicionar uma rota ao subir uma determinada interface, poderíamos usar a seguinte linha dentro dasopções da interface:iface eth0 inet static...up ip route add 10.0.0.0/24 via 200.X.X.YEntradas na Tabela de Roteamento.Cada tabela de roteamento pode ter várias entradas. Abaixo temos alguns tipos de rotas que podem seradicionadas com o comando ip route.• unicast: Uma rota unicast é a mais comum na tabela. Isto é tipicamente um rota para uma rede dedestino. Se o tipo de rota não é especificado é assumido como sendo unicast. Ex:# ip route add unicast 192.168.0.0/24 via 192.168.100.5# ip route add default via 193.7.255.1# ip route add unicast default via 206.59.29.193# ip route add 10.40.0.0/16 via 10.72.75.254• broadcast: Esta rota é usada pela camada de link de dispositivos (placas Ethernet) o qual suportam anotação de endereço broadcast. Este tipo de rota é usado somente na tabela local e é tipicamentemanuseado pelo kernel. Ex:# ip route add table local broadcast 10.10.20.255 dev eth0 proto kernel scope link src10.10.20.67# ip route add table local broadcast 192.168.43.31 dev eth4 proto kernel scope link src192.168.43.14• local: O kernel irá adicionar entradas para a tabela de roteamento local quando endereços IP sãoadicionados para uma interface. Isto significa que os IP's estão no próprio host.# ip route add table local local 10.10.20.64 dev eth0 proto kernel scope host src 10.10.20.67# ip route add table local local 192.168.43.12 dev eth4 proto kernel scope host src192.168.43.14• nat: Esta rota é adicionada para o kernel na tabela de roteamento local, quando o usuário tentaconfigurar stateless NAT. (Re-escreve o destino do pacote) Ex:# ip route add nat 193.7.255.184 via 172.16.82.184# ip route add nat 10.40.0.0/16 via 172.40.0.0• unreachable: Quando um requisição para uma decisão de roteamento retorna um destino com rota dotipo unreachable, um ICMP unreachable é gerado e retornado para o endereço de origem. Ex:# ip route add unreachable 172.16.82.184# ip route add unreachable 192.168.14.0/26# ip route add unreachable 209.10.26.51Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 27

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX• prohibit: Análogo ao unreachable mas gera um ICMP prohibit. Ex:# ip route add prohibit 10.21.82.157# ip route add prohibit 172.28.113.0/28# ip route add prohibit 209.10.26.51• blackhole: Um pacote que casa com uma rota do tipo blackhole é descartado. Ex:# ip route add blackhole default# ip route add blackhole 202.143.170.0/24# ip route add blackhole 64.65.64.0/18• throw: Este tipo de rota é conveniente, quando deseja-se que uma consulta na tabela de roteamentofalhe, fazendo com que o pacote continue sendo analizado no RPDB. Ex:# ip route add throw 10.79.0.0/16# ip route add throw 172.16.0.0/12Configuração do NetfilterO projeto netfilter/iptables é um subsistema de firewalling para o kernel Linux 2.4 e superiores. Com o usodesta ferramenta definimos regras especiais para entrada, saída e passagem de pacotes entre interfaces,podendo atuar antes ou após as ações referentes ao roteamento.O iptables atua sobre as tabelas presentes no Kernel, que indicam situações de roteamento, de acordo com asituação em que se encontra o pacote, a qual é referida por uma corrente de regras, ou chain.Básico do netfilterAs tabelas do iptables são:• filter: é a tabela padrão, sobre a qual podemos nos referir a três correntes de regras, ou chains:• INPUT, pacotes que entram na interface;• OUTPUT, pacotes que saem da interface• FORWARD, pacotes que estão sendo roteados de uma interface para outra;• nat: esta tabela se refere ao uso do recurso de Network Address Translation ou NAT, na qual podemosnos referir aos chains: PREROUTING, pacotes que serão alterados antes de roteamento; OUTPUT,pacotes locais que serão alterados antes do roteamento e POSTROUTING, pacotes que serãoalterados após a aplicação das regras de roteamento;• mangle: usada para alterações especiais no pacote, PREROUTING, para alteração antes doroteamento e OUTPUT, pacotes locais que serão alterados antes do roteamento.Dentre as ações que são feitas sobre os pacotes que atendem a um determinado chain em uma dada tabela,temos:• ACCEPT: aceita o pacote;• DROP: rejeita o pacote;Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 28

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX• MASQUERADE: atua somente sobre a tabela nat e indica que será efetuado a conversão deendereços ou NAT, conforme indicado no comando.Podemos definir regras padrão para um determinado chain e regras mais específicas, usando:iptables [–t TABELA] –P CHAIN AÇÃOonde TABELA é a tabela sobre a qual estamos atuando – caso não especificarmos, será assumida a tabelafilter; CHAIN é a corrente de regras à qual o pacote está associado; e AÇÃO é a ação a ser executada.Para adicionarmos uma regra usando iptables, procedemos da seguinte forma:iptables [–t TABELA] –A CHAIN {OPÇÕES} –j AÇÃOsendo OPÇÕES é um conjunto diverso de opções que podemos especificar, como interface de origem ou dedestino e TABELA, CHAIN e AÇÃO definidos como anteriormente. De modo análogo,iptables [–t TABELA] –D CHAIN {OPÇÕES} –j AÇÃOpermite removermos uma regra.Para limparmos todas as regras existentes de um chain usamos:iptables [–t TABELA] –F CHAIN.Alvo NetfilterRegras de firewall possuem diversos alvos:• quatro alvos básicos :oooo• alvos extendidos :oooACCEPT significa deixar o pacote passar.DROP significa descartar o pacote.QUEUE significa passar o pacote para o userspace (caso suportado pelo kernel).RETURN significa parar de atravessar esta chain e continuar na próxima regra na chainanterior (a chain que chamou esta).LOG liga o logging do kernel.REJECT envia como resposta um pacote de erro e descarta o pacote.SNAT altera o endereço de origem de pacote e é usado somente na chain POSTROUTING.(somente tabela nat)--to-source endereçoip[-endereçoip][:porta-porta]Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 29

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX– MASQUERADE é o mesmo que SNAT mas para conexões com endereços IP atribuídos dinamicamente(discadas). (somente tabela nat)--to-ports porta[-porta]– DNAT altera o endereço de destino do pacote e é usado nas chains PREROUTING e OUTPUT e em chainsdefinidas pelo usuário que são chamadas somente a partir destas chains. (somente tabela nat)--to-destination endereçoip[-endereçoip][:porta-porta]– REDIRECT altera o endereço IP de destino para enviar o pacote para a própria máquina.--to-ports porta[-porta]Comandos do NetfilterOs comandos básicos do iptables são :iptables -N chain # cria uma chainiptables -A chain \ # adiciona regra na chain-t tabela \ # usa tabela (filter, nat, mangle)-p protocolo \ # tcp, udp, icmp ou all,-s endereço-origem[/máscara] \--sport porta[:porta] \ # porta de origem caso -p seja tcp ou udp-d endereço-origem[/máscara] \--dport porta[:porta] \ # porta de destino caso -p seja tcp ou udp-j alvo \ # o que fazer se o pacote casar-i nome-interface-entrada \# para INPUT, FORWARD, PREROUTING-o nome-interface-saída # para FORWARD, OUTPUT, POSTROUTINGFazendo NATDicas:Qualquer regra aplicada a SNAT usa somente a chain POSTROUTING. Antes de iniciar o uso da tabela NATtemos que habilitar o roteamento no kernel, usando:# echo “1” > /proc/sys/net/ipv4/ip_forwardPara que não percamos o roteamento é necessário editar o arquivo /etc/sysctl.conf e inserirmos oumodificarmos a linha do modo que fique assim:net.ipv4.ip_forward= 1Exemplos de SNAT:iptables –t nat –A POSTROUTING –s 10.0.3.1 –o eth0 –j SNAT --to 192.111.22.33iptables –t nat –A POSTROUTING –s 10.0.3.0/8 –o eth0 –j SNAT --to 192.111.22.33iptables –t nat –A POSTROUTING –s 10.0.3.1 –o eth0 –j SNAT --to 192.111.22.33-192.11.22.66Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 30

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosExemplos de DNAT:CURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXiptables –t nat –A PREROUTING –s 10.0.3.1 –i eth0 –j DNAT --to 192.111.22.33iptables –t nat –A PREROUTING –s 10.0.3.1 –i eth0 –j DNAT --to 192.111.22.33-192.11.22.66iptables –t nat –A PREROUTING –i eth0 –j DNAT --to 192.111.22.33:22Teste seus conhecimentos:iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADECompartilhando Conexão com IPTABLEmodprobe iptable_natecho 1 > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A POSTROUTING -o INTERFACE -j MASQUERADESubstitua o "INTERFACE" pela placa conectada na Internet. Este comando simplesmente compartilhaa conexão proveniente da placa da Internet com todas as demais placas de rede espetadas no servidor, porisso não é necessário especificar a placa de rede local.• O primeiro comando ativa o "iptable_nat", o módulo do Iptables responsável por oferecersuporte ao roteamento de pacotes via NAT.• O segundo comando ativa o "ip_forward", o módulo responsável pelo encaminhamento depacotes, utilizado pelo módulo iptable_nat.• O terceiro comando cria uma regra de roteamento, que orienta o servidor a direcionar para aInternet todos os pacotes (recebidos dos clientes) que se destinarem a endereços que nãofaçam parte da rede local (ou seja, qualquer coisa fora da faixa 192.168.0.x). A partir daí, oservidor passa a ser o gateway da rede.Nem todas as distribuições instalam o executável do Iptables por padrão. Em muitas distribuições como Kernel 2.6, é necessário usar um quarto comando ao compartilhar uma conexão, por exemplo ADSL. Estecomando ajusta os tamanhos dos pacotes recebidos do modem ao MTU usado na rede local.iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clampmss-to-pmtuCaso a conexão seja via via ADSL com autenticação (PPPoE), e precise usar o pppoeconf ou o adslsetuppara estabelecer a conexão, lembre-se de substituir "eth0" no comando por "ppp0".DHCPDe um modo geral o trabalho de um servidor DHCP é bastante simples. Ele responde aos pacotes debroadcast das estações, enviando um pacote com um dos endereços IP disponíveis e os demais dados daRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 31

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXrede. Periodicamente o servidor DHCP verifica se as estações ainda estão lá, exigindo uma renovação do"aluguel" do endereço IP (opção lease time). Assim os endereços IP são gastos apenas com quem realmenteestiver online, evitando que os endereços disponíveis se esgotem.No Linux o serviço de DHCP é exercido pelo dhcp3-server que nas distribuições baseadas no Debian pode serinstalado através do comando:# apt-get install dhcp3-serverOs comandos "/etc/init.d/dhcp3-server start" e "/etc/init.d/dhcp3-server stop" comandam a atividade do serviço.O arquivo de configuração é o dhcpd.conf. No Debian o caminho completo para ele é: /etc/dhcp3/dhcpd.confA configuração do arquivo é igual independentemente da distribuição. Um arquivo de configuração básico,contém o seguinte:ddns-update-style none;default-lease-time 600;max-lease-time 7200;authoritative;subnet 192.168.0.0 netmask 255.255.255.0 {range 192.168.0.100 192.168.0.201;option routers 192.168.0.10;option domain-name-servers 200.177.250.10,200.204.0.10;option broadcast-address 192.168.0.255;}A opção " default-lease-time" controla o tempo de renovação dos endereços IP. O "600" indica que oservidor verifica a cada dez minutos se as estações ainda estão ativas. Se você tiver mais endereços IP doque máquinas os endereços IP das estações raramente vai precisar mudar. Mas, no caso de uma redecongestionada, o " max-lease-time" determina o tempo máximo que uma estação pode usar um determinadoendereço IP. Isso foi planejado para ambientes onde haja escassez de endereços IP.A opção "range" determina a faixa de endereços IP que será usada pelo servidor. Se você utiliza a faixa deendereços 192.168.0.1 até 192.168.0.254 por exemplo, pode reservar os endereços de 192.168.0.1 a192.168.0.100 para estações configuradas com IP fixo e usar os demais para o DHCP.Na "option routers" vai o endereço do default gateway da rede, ou seja, o endereço do servidor que estácompartilhando a conexão. Não é necessário que o mesmo micro que está compartilhando a conexão rodetambém o servidor DHCP.A opção "option domain-name-servers" contém os servidores DNS que serão usados pelas estações. Ao usardois ou mais endereços eles devem ser separados por vírgula, sem espaços.Ao fazer qualquer alteração no arquivo, você deve reiniciar o servidor DHCP usando o comando:# /etc/init.d/dhcp3-server restartRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 32

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXSempre que configurar um servidor com duas placas de rede, é importante que o servidor DHCP sejaconfigurado para escutar apenas na placa da rede local. No Debian, esta configuração vai no arquivo"/etc/default/dhcp3-server". Procure pela linha:INTERFACES=""... e adicione a placa que o servidor DHCP deve escutar, como em:INTERFACES="eth0"Para que a configuração entre em vigor, basta reiniciar o serviço novamente.Trabalho prático sobre conhecimentos adquiridos:Juntar a um amigo, utilize um dos computadores para ser o roteador (compartilhamento de conexão).1º) ExecícioMáquina 1Crie um alias (192.168.0.X) x = número da máquina.Crie um compartilhamento com iptable.Máquina 2Coloque o endereço desta como 192.168.0.x x = número da máquinaColoque o Máquina 1 como gateway.Ping o site www.utp.brCom o Lynx verifique se sua conexão ficou correta, acessando o www.google.com.br2º) ExecícioMáquina 1Crie um alias (192.168.0.X) x = número da máquina.Crie um compartilhamento com iptables.Filtre com iptable o protocolo ICMPMáquina 2Coloque o endereço desta como 192.168.0.x x = número da máquinaColoque o Máquina 1 como gateway.Ping o site www.utp.brCom o Lynx verifique se sua conexão ficou correta, acessando o www.google.com.brRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 33

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXUniversidade Tuiuti do Paraná –UTPFaculdade de Ciências Exatas e de TecnologiaCursos de ComputaçãoGrupo de Estudos de Redes de Computadores e Sistemas DistribuídosProfessores:Marcelo Soares FariasRoberto Néia AmaralRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 34

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXCuritiba, 2008SambaCom o SAMBA é possível compartilhar diretórios, impressoras, acessar arquivos na rede exatamente como emredes Microsoft. Mas neste caso, seu servidor é um Linux rodando uma aplicação específica.InstalaçãoPara instalar o SAMBA é necessário executar o comando: ( apt-get install samba smbclient smbfs )Algumas perguntas aparecerão e aparecem com a resposta sugerida:Senhas criptografadas? SimModificar para usar conf Wins do dhcp? NãoComo deseja executar o Samba? DaemonsGerar a base de dados? SimConfiguraçãoToda a configuração do SAMBA é centralizada no arquivo smb.conf, que deve ser guardado no diretório/etc/samba. Nele é que são descritos os compartilhamentos, permissões de acesso, impressoras, dentre outrasconfigurações disponíveis. Quando instalado, o SAMBA disponibiliza os seguintes componentes:smbd - O servidor SAMBA.nmbd - O Servidor de nomes NetBios.smbclient - Cliente SMB para sistemas Unix.smbpasswd - Alterar senhas (encriptadas) de usuários smb.smbspool - Cliente para envio de impresão a sistemas Linux.smbstatus - Apresenta a situação atual das conexoes SMB no Host.testparm - Verifica o arquivo smb.conf (configuração do SAMBA).testprns - Verifica a comunicação via rede com as impressoras.O smb.conf é dividido basicamente em três partes: a configuração do servidor SAMBA (parâmetros na seção[global]), a configuração dos diretórios/pastas pessoais dos usuários (parâmetros na seção [homes]) e asdemais seções que correspondem aos diretórios compartilhados ou impressoras.Nome de máquina (nome NetBios)Toda a máquina em uma rede NetBEUI é identificada por um nome, este nome deve ser único na rede epermite que outras máquinas acessem os recursos disponibilizados ou que sejam enviadas mensagens para amáquina. Este nome é composto de 16 caracteres, sendo 15 que identificam a máquina e o último o tipo deserviço que ela disponibiliza. O tipo de serviço é associado com o nome da máquina e registrado em servidoresde nomes confirme a configuração da máquina.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 35

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXGrupo de trabalhoO grupo de trabalho organiza a estrutura de máquinas da rede em forma de árvore, facilitando sua pesquisa elocalização. Tomemos como exemplo uma empresa grande com os departamentos comunicação, redes, web,rh, as máquinas que pertencem ao grupo de redes serão agrupadas no programa de navegação:redestécnico; marcelo; henrique; michellerhburnswebweb1; web2; web3comunicacaocomunic1; comunic2; comunic3A segurança no acesso a arquivos e diretórios na configuração de grupo de trabalho é controlada pela própriamáquina, normalmente usando segurança a nível de compartilhamento. Esta segurança funciona definindo umusuário/senha para acessar cada compartilhamento que a máquina possui. O Lan Manager, Windows forWorkgroups, Windows 95, Windows 98, XP Home Edition usam este nível de acesso por padrão.DomínioO funcionamento é semelhante ao grupo de trabalho, com a diferença que a segurança é controlada pelamáquina central (PDC) usando diretivas de acesso e grupos. O PDC (Primary Domain Controller) deverá tertodas as contas de acesso que serão utilizadas pelo usuário para acessar os recursos existentes em outrasmáquinas, script de logon que poderá ser executado em cada máquina para fazer ajustes, sincronismo,manutenção ou qualquer outra tarefa programada pelo administrador do sistema.CompartilhamentoUm compartilhamento é um recurso da máquina local que é disponibilizado para acesso via rede, que poderáser mapeada por outra máquina. O compartilhamento pode ser um diretório, arquivo, impressora. Além depermitir o acesso do usuário, o compartilhamento pode ser protegido por senha, e ter controle de acesso deleitura/gravação, monitoração de acessos, diretórios ocultos, autenticação via PDC e outras formas pararestringir e garantir segurança na disponibilidade dos dados.Um compartilhamento no SAMBA pode ser acessível publicamente (sem senha) ou estar rigidamente protegidotendo que passar por diversas barreiras para chegar ao seu conteúdo, como senhas, endereço de origem,interfaces, usuários autorizados, permissões de visualização, etc.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 36

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosMapeamentoCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXMapear significa pegar um diretório/arquivo/impressora compartilhado por alguma máquina da rede para seracessada pela máquina local. Para mapear algum recurso de rede, é necessário que ele seja compartilhado naoutra máquina. Por exemplo, o diretório /usr compartilhado com o nome usr, pode ser mapeado por umamáquina Windows como a unidade F:, ou mapeado por uma máquina Linux no diretório /mnt/samba.O programa responsável por mapear unidades compartilhadas no Linux é o smbmount e smbclient.Navegação na Rede e controle de domínioEsta função é controlada pelo nmbd que fica ativo o tempo todo disponibilizando os recursos da máquina narede, participando de eleições NetBIOS, fazer logon de máquinas no domínio, etc.A função de navegação na rede é feita utilizando o compartilhamento IPC$. Este compartilhamento possuiacesso público somente leitura e utiliza o usuário "guest" para disponibilização de seus recursos.OBS: A função de navegação (browsing) poderá não funcionar corretamente caso a máquina não consigaresolver nomes NetBIOS para endereços IP.smbmountO smbmount é uma ferramenta que permite a montagem de um disco compartilhado por uma máquinaNetBEUI remota como uma partição. Alguns exemplos:smbmount //servidor/discoc /mnt/discocMonta o compartilhamento de //servidor/discoc em /mnt/discoc usando o nome de usuário atual. Será pedidouma senha para acessar o conteúdo do compartilhamento, caso ele seja público, você pode digitar qualquersenha ou simplesmente pressionar enter.smbmount //servidor/discoc /mnt/discoc -NSemelhante ao comando cima, com a diferença que o parâmetro -N não pergunta por uma senha. Isto é idealpara acessar compartilhamentos anônimos.smbmount //servidor/discoc /mnt/discoc -o username=adminsamba,workgroup=testeSemelhante aos anteriores, mas acessa o compartilhamento usando adminsamba como nome de usuário eteste como grupo de trabalho. Este método é ideal para redes que tem o nível de acesso por usuário ou paraacessar recursos compartilhados em um domínio.smbclientO smbclient é uma ferramenta de navegação em servidores SAMBA. Ao invés dela montar o compartilhamentocomo um disco local, você poderá navegar na estrutura do servidor de forma semelhante a um cliente FTP eexecutar comandos como ls, get, put para fazer a transferência de arquivos entre a máquina remota e amáquina local. Também é através dele que é feita a interface com impressoras compartilhadas remotamente.Alguns exemplos do uso do smbclient:Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 37

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídossmbclient -L samba1CURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXLista todos os compartilhamentos existentes (-L) no servidor samba1.smbclient //samba1/discocAcessa o conteúdo do compartilhamento discoc no servidor samba1.smbclient //samba1/discoc -NIdêntico ao acima, mas não utiliza senha (ideal para compartilhamentos com acesso anônimo).smbclient //samba1/discoc -I 192.168.1.2Se conecta ao compartilhamento usando o endereço IP 192.168.1.2 ao invés da resolução de nomes.smbclient //samba1/discoc -U user -W testeSe conecta ao compartilhamento como usuário user usando o grupo de trabalho teste.smbclient //samba1/discoc -U user%senha01 -W testeIdêntico ao acima, mas também envia a senha senha01 para fazer a conexão diretamente.Caso receba a mensagem NT Status Access Denied, isto quer dizer que não possui direitos de acessoadequados para listas ou acessar os compartilhamentos da máquina. Nesse caso, utilize as opções -U usuárioe -W grupo/domínio para fazer acesso com uma conta válida de usuário existente na máquina.OBS:Note que a ordem das opções faz diferença no smbmount.O smb.confUm parâmetro é definido no formato nome = valor. Na configuração de booleanos, a seguinte sintaxe pode serusada: 0 ou 1 - yes ou no - true ou falseLinhas iniciadas por # ou ; são tratadas como comentário. Quebras de linha podem ser especificadas com uma\ no final da linha.Nomes e grupos de trabalhonetbios name = [nome do servidor]Especifica o nome NetBIOS primário do servidor samba. Caso não seja ajustado, ele usará o hostname de suamáquina como valor padrão. Ex.: netbios name = Servidorsamba.workgroup = [grupo de trabalho/domínio]Diz qual o nome do grupo de trabalho/domínio que a máquina samba pertencerá. Ex.: workgroup = empresa.netbios aliases = [nomes alternativos ao sistema]Permite o uso de nomes alternativos ao servidor, separados por espaços. Ex.: teste1 teste2.server string = [identificação]Identificação enviada do servidor samba para o ambiente de rede. A string padrão é Samba %v (%v ésubstituída pela versão do samba) Ex: server string = Servidor Samba versão %v.name resolve order = [ordem]Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 38

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXDefine a ordem de pesquisa para a resolução de nomes no samba. A ordem padrão é: lmhosts host wins bcast,que é a melhor para resolução rápida e que tente gerar menos tráfego broadcast possível.Restrições de acesso/mapeamento de usuáriosguest account = [conta]Define a conta local de usuário que será mapeada quando um usuário se conectar sem senha (usuário guest).invalid usersDefine uma lista de usuários que não terão acesso aos recursos do servidor ou compartilhamento. É segurorestringir o acesso samba a usuários com grande poder no sistema (como o root).valid usersSemelhante a opção invalid users mas permite que somente os usuários especificados tenham acesso aosistema.default service = nomeCaso o serviço que o usuário deseja se conectar não for encontrado no servidor, o SAMBA mapeará o serviçoespecificado nesta diretiva como alternativa. A variável "%S" e o caracter "_" podem ser interessantes emalgumas alternativas de configuração. A opção default é um sinônimo para esta opção. Caso utilize esta opção,crie o compartilhamento em modo somente leitura e com acesso público, caso contrário (dependendo doplanejamento de partições e segurança do sistema de arquivos) a máquina poderá ser derrubada semdificuldades.username map = [arquivo]Especifica um arquivo que faz o mapeamento entre nomes fornecidos por clientes e nomes de contas Unixlocais.obey pam restrictions = yesIndica se as restrições do usuário nos módulos PAM terão efeito também no SAMBA.Níveis de autenticaçãoDefine o nível de segurança do servidor. Os seguintes valores são válidos:share - Usada principalmente quando apenas a senha é enviada por compartilhamento acessado para oservidor, caso muito típico em sistemas Lan Manager e Windows for Workgroups.Mesmo assim o samba tenta mapear para um UID de usuário local do sistema usando os seguintes métodos(retirado da página de manual do samba):Se o parâmetro guest only é usado no compartilhamento junto com o guest ok, o acesso éimediatamente permitido, sem verificar inclusive a senha.Caso um nome de usuário seja enviado junto com a senha, ele é utilizado para mapear o UID e aplicaras permissões deste usuário (como acontece no nível de segurança user).Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 39

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXSe ele usou um nome para fazer o logon no Windows este nome será usado como usuário local doSAMBA. Caso ele seja diferente, você deverá usar o mapeamento de nomes para associar o nomeremoto do nome localO nome do serviço é tentado como nome de usuário.O nome da máquina NetBios é tentada como nome de usuárioOs usuários especificados na opção user dos compartilhamentos são utilizados.Caso nenhum destes métodos acima for satisfeito, o acesso é NEGADO.Hoje em dia, o uso do nível de acesso share é raramente usado, porque todos os sistemas a partir do Windows95 e acima enviam o nome de usuário ao acessar um compartilhamento (caindo na segunda checagem donível share), sendo equivalente a usar o nível user. Entretanto, o nível de segurança share é recomendadopara servidores onde TODO o conteúdo deve ter acesso público (seja leitura ou gravação) e o parâmetro guestshares também funciona nativamente.As senhas criptografadas (encrypt passwords = 1) NÃO funcionarão no nível share, lembre-se deste detalhe.user - Este é o padrão. O usuário precisa ter uma conta de usuário no Linux para acessar seuscompartilhamentos. A mesma conta de usuário/senha deverá ser usada no Windows para acessar seusrecursos ou realizado um mapeamento de nomes de usuários. Este é o padrão do SAMBA. No nível de acessouser o usuário precisa ser autenticado de qualquer forma, inclusive se for usado o parâmetro guest only ouuser. Os seguintes passos são usados para autorizar uma conexão usando o nível user (retirado dadocumentação do SAMBA):É tentada a validação usando o nome/senha passados pelo cliente. Se tudo estiver OK, a conexão é permitida.Caso já tenha se autenticado anteriormente para acessar o recurso e forneceu a senha correta, o acesso épermitido.O nome NetBIOS da máquina do cliente e qualquer nome de usuário que foi usado é novamente tentado juntocom a senha para tentar permitir o acesso ao recurso compartilhado.Caso o cliente tenha validado o nome/senha com o servidor e o cliente enviou novamente o token de validação,este nome de usuário é usado.É tentada a checagem com o parâmetro user no compartilhamento..É verificado se o serviço é público, então a conexão é feita usando o usuário guest account e ignorando asenha.domain - Neste nível, o acesso só será permitido quando a máquina for adicionada ao domínio com osmbpasswd. Neste nível de acesso, a conta de usuário será validada em um servidor PDC (controlador dedomínio) e o acesso aos recursos das máquinas que fazem parte do domínio será feito a partir do PDC.server - A máquina samba tentara autenticar o usuário em outro servidor NT (ou samba). No caso daautenticação falhar, será usado o nível de acesso user na base de usuários local (será necessário o arquivo desenhas criptografado do samba para que a autenticação local funcione. Este nível é bastante usado quandoconfiguramos um servidor de perfis de usuários ou logon separado do PDC.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 40

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXLog de acessos/serviçoslog file= [arquivo]Define a localização e nome do arquivo de log gerado pelo samba. As variáveis de expansão podem serusadas caso o administrador queira ter um melhor controle dos logs gerados. Ex.: /var/log/samba/samba-log-%m.OBS: Se possível coloque uma extensão no arquivo de log gerado pelo SAMBA (como .log). O motivo disto éporque se estes logs forem rotacionados pelo logrotate você terá problemas de recompactação múltiplas casoutilize um coringa samba-log-*, gerando arquivos como .gz.gz.gz.., lotando a tabela de arquivos do diretório edeixando sua máquina em um loop de compactação.max log size = [tamanho]Especifica o tamanho máximo em Kb do arquivo de log gerado pelo samba. O valor padrão é 5000Kb (5MB).debug pid = [valor]Este processo adiciona a pid aos logs gerados pelo processo smbd Isto é útil para depuração caso existammúltiplos processos rodando. O valor padrão é no e a opção debug timestamp deve ser yes para esta opção terefeito.debug timestamp = [valor]Ativa ou desativa a gravação de data/hora nos arquivos de log gerados pelo samba. O valor padrão é yes.debug level = [valor]Aumenta o nível de depuração dos daemons do SAMBA de 0 a 9. Um nível de depuração interessante e queproduz uma quantidade razoável de dados para configuração de um logrotate só para o SAMBA é o 2,produzindo a lista de todos os compartilhamentos acessados, quem acessou, data/hora (dependendo dasoutras opções de depuração). Isto permite ao administrador saber exatamente o que está sendo acessado epor quem, quais as tentativas de acesso. Assim terá certeza que o conteúdo não está sendo acessadoindevidamente. O nível de depuração 0 é o padrão.debug uid = [valor]Este parâmetro inclui o euid, egid, uid, gid nos arquivos de log. O valor padrão é no.lock directory = [diretório]Define onde serão gravados os arquivos de lock gerados pelo samba.Navegação no servidor/tipo de servidoros level=[num]Especifica o nível do sistema operacional. Este número é usado para as eleições netbios para definir onavegador de grupo local e controlador de domínio. O valor pode ser de 0 a 255, o padrão é 32.announce as = [sistema]Selecione o nome que o samba (nmbd) se anunciará na lista de pesquisa de rede. Os seguintes nomes podemser usados: NT Server (ou NT) - Anuncia como Windows NT Server. Este é o padrão.NT Workstation - Anuncia-se como um NT Workstation.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 41

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXWin95 ou WfW - Anuncia-se na rede como uma estação Windows 9x, Windows for Workgroups, Windows NTServer e Windows NT Workstation de uma só vez.domain master = [valor]Diz se o servidor tentará se tornar o navegador principal de domínio. Os valores que podem ser especificadossão: yes, no e auto. O valor padrão é auto.local master = [valor]Diz se o servidor participará ou não das eleições para navegador local do grupo de trabalho (workgroup). Osvalores que podem ser especificados são: yes, no. O valor padrão é yes. Para vencer a eleição, o sambaprecisa ter o valor de os level maior que os demais.Note também que o Windows NT não aceita perder as eleições e convoca uma nova eleição caso ele perca.Como esta eleição é feita via broadcasting, isso gera um tráfego grande na rede. Desta forma, se tiver umcomputador NT na rede configure este valor para "no".preferred master = [valor]Diz se o servidor samba terá ou não vantagens de ganhar uma eleição local. Se estiver configurado para "yes",o servidor samba pedirá uma eleição e terá vantagens para ganha-la. O servidor poderá se tornargarantidamente o navegador principal do domínio se esta opção for usada em conjunto com domain master =1. Os valores especificados podem ser yes, no e auto, o padrão é auto.Antes de ajustar este valor para yes, verifique se existem outros servidores NetBIOS em sua rede que tempreferência para se tornar o master principal, pois poderá ocorrer um tráfego alto de broadcasting causadopelas eleições solicitadas pelas outras máquinas.Seção [homes]Esta seção tem a função especial de disponibilizar o diretório home do usuário. Quando o usuário envia seunome de login como compartilhamento é feita uma busca no arquivo smb.conf procurando por um nome decompartilhamento que confira. Caso nenhum seja encontrado, é feita uma busca por um nome de usuáriocorrespondente no arquivo /etc/passwd, se um nome conferir e a senha enviada também, o diretório de usuárioé disponibilizado como um compartilhamento com o mesmo nome do usuário local. O diretório home do usuáriopoderá ser modificado com o uso de mapeamento de nomes. Quando o caminho do compartilhamento não forespecificado, o SAMBA utilizará o diretório home do usuário (no /etc/passwd).Para maior segurança da instalação, principalmente porque o diretório home do usuário não é um requerimentopara a autenticação de usuário, recomendo usar a variável de substituição %S apontando para um diretóriocom as permissões apropriadas configuradas em seu sistema, por exemplo:[homes]comment = Diretórios de Usuáriospath=/pub/usuarios/%SRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 42

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXVocê apenas terá o trabalho extra de criar os diretórios de usuários que farão acesso ao sistema. Isto não seránenhum problema após você programar um shell script simples que verifique os nomes de contas em/etc/passwd e crie os diretórios com as permissões/grupos adequados.Os parâmetros aceitos em [homes] aqui são os mesmos usados para compartilhamentos normais.OBS1:Caso nenhum caminho de compartilhamento seja utilizado, o diretório home do usuário serácompartilhado.OBS2:Não utilize o parâmetro public yes na seção guest, caso contrário todos os diretórios de usuários serãolidos por todos.Seção [printers]Esta seção tem a função de disponibilizar as impressoras existentes no sistema (lp, lp1, lp2, etc) existentes no/etc/printcap como compartilhamento de sistemas Windows. O método que os nomes de impressoras sãopesquisados é idêntico a forma feita para a seção [homes]: Primeiro o nome do compartilhamento épesquisado como um nome de serviço, depois se ele é um nome de usuário (tentando mapear o serviçodisponibilizado em [homes]), depois será verificado a seção [printers].OBS:É importante lembrar que a seção [printers] DEVE ser definida como printable usando o parâmetroprintable = yes para funcionar. O utilitário testparm poderá ser usado para verificar problemas no arquivo deconfiguração do SAMBA.Compartilhamento de arquivos e diretóriosEsta seção documenta como disponibilizar arquivos e impressoras com o SAMBA e os parâmetros usadospara realizar restrições de compartilhamento, modo que os dados serão disponibilizados e itens deperformance. A maior parte destes parâmetros é empregada em serviços do SAMBA, mas nada impede quetambém sejam colocados na seção [global] do arquivo de configuração, principalmente quando isto é válidopara diversos serviços compartilhados.Descrição de parâmetros usados em compartilhamentoAbaixo temos algumas das opções que podem ser usadas para controlar o comportamento docompartilhamento de arquivos por serviços no servidor SAMBA: pathIndica o diretório que será compartilhado. Lembre-se que o usuário terá as permissões de acesso que ele teriacaso estivesse logado no sistema como um usuário UNIX normal, exceto se estiver fazendo mapeamento paraoutros nomes de usuários. Ex: path=/pub - Compartilha o diretório local /pub.OBS: Quando não é definido um path, o diretório /tmp é usado como padrão.commentDescrição do compartilhamento que será mostrada na janela de procura de rede ou no smbclient -L maquina.Ex: comment=Pasta de conteúdo público do sistema.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 43

owseableUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXDefine se o compartilhamento será ou não exibido na janela de procura de rede. Mesmo não sendo exibido, ocompartilhamento poderá ser acessado. Ex: browseable=yes - Lista o compartilhamento na janela de pesquisade servidores.guest accountConta que será usada para fazer acesso sem senha (convidado) quando o parâmetro guest ok ou public foremusados em um compartilhamento. Por padrão ela é mapeada para o usuário nobody. É importante especificaruma nome de usuário guest (convidado), principalmente porque seu UID será usado para fazer váriasoperações no SAMBA, como exibir os recursos disponíveis na máquina para a rede. Por motivos claros, érecomendável que este usuário não tenha acesso login ao sistema.Caso não tenha a intenção de ocultar o SAMBA na lista de máquinas da rede (fazendo apenas acesso diretoaos recursos), especifique um valor para esta opção.Ex: guest account = sambausr - Mapeia os usuários se conectando sem senha para o usuário sambausr, desdeque o acesso guest seja permitido pela opção public.publicPermitem aos usuários usuários se conectarem ao compartilhamento sem fornecer uma senha usando ousuário guest. O UID que o usuário guest será mapeado é especificado pelo parâmetro guest account. Oparâmetro guest ok é equivalente a public. Ex: public = no - Não permiteguest onlyPermite somente conexões guest ao recurso. O UID do usuário é mapeado para guest, mesmo que forneçauma senha correta. O valor padrão é no. Ex: guest only = no.write listLista de usuários separados por espaço ou vírgula que poderão ler e gravar no compartilhamento. Caso onome for iniciado por "@", o nome especificado será tratado como um grupo UNIX (/etc/group) e todos osusuários daquele grupo terão acesso de gravação. O uso deste parâmetro ignora o read only = yes.Ex: write list = adminsamba, @usuarios - Permite acesso gravação somente do usuário adminsamba e todosos usuários pertencentes ao grupo @usuarios.OBS: - O significado de "@" nos parâmetros "invalid users"/"valid users" é diferente das opções write list e readlist.read listLista de usuários separados por espaço ou vírgula que poderão apenas ler o compartilhamento. O caracter "@"pode ser especificado para fazer referência a grupos, como no write list. O uso deste parâmetro ignora o readonly = no. Ex: read list = nobody, system, operador, @usuarios - Permite acesso de leitura somente do usuárionobody, system, operador e todos os usuários pertencentes ao grupo @usuarios.userEspecifica um ou mais nomes de usuários ou grupos (caso o nome seja seguido de "@") para checagem desenha. Quando o cliente somente fornece uma senha (especialmente na rede Lan Manager, Windows forRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 44

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXWorkgroups e primeira versão do Windows 95) ela será validada no banco de dados de senhas usando ousuário especificado nesta opção. Ex: user = john @usuariosredeonly userEspecifica se somente serão permitidas conexões vindas de usuários da diretiva user. O padrão é no. Casodeseje restringir o acesso a determinados usuários, o certo é faze-lo usando valid users e invalid users. O usode only user é apropriado quando é necessário um controle específico de acesso sobre a diretiva user. Ex:only user = no.lockingPermite ao SAMBA fazer um lock real de arquivo ou apenas simular. Caso seja especificado como "0", oarquivo não é bloqueado para acesso exclusivo no servidor mas uma resposta positiva de lock é retornada aocliente. Se definido como "1", um lock real é feito. O padrão é yes. Ex: locking = yesavailableFaz o SAMBA ignorar o compartilhamento (como se tivesse retirado do servidor). O valor padrão é "no".follow symlinksPermite o uso de links simbólicos no compartilhamento (veja também a opção wide links). A desativação destaopção diminui um pouco a performance de acesso aos arquivos. Como é restrita a compartilhamento, oimpacto de segurança depende dos dados sendo compartilhados. O valor padrão desta opção é "YES". Ex:follow symlinks = yeswide linksPermite apontar para links simbólicos para fora do compartilhamento exportado pelo SAMBA. O valor padrãoesta opção é "YES". Ex: wide links = yes.OBS: - A desativação desta opção causa um aumento na performance do servidor SAMBA, evitando achamada de funções do sistema para resolver os links. Entretanto, diminui a segurança do seu servidor, poisfacilita a ocorrência de ataques usando links simbólicos.Lembre-se mais uma vez que a segurança do seu sistema começa pela política e uma instalação bemconfigurada, isso já implica desde a escolha de sua distribuição até o conhecimento de permissões eplanejamento na implantação do servidor de arquivos.dont descendNão mostra o conteúdo de diretórios especificados. Ex: dont descend = /root, /proc, /win/windows,"/win/Arquivos de Programas", "/win/program files".printableEspecifica se o compartilhamento é uma impressora (yes) ou um compartilhamento de arquivo/diretório (no). Opadrão é "no".read onlyEspecifica se o compartilhamento é somente para leitura (yes) ou não (no) para todos os usuários. Oparâmetro writable é um antônimo equivalente a este parâmetro, só que utiliza as opções invertidas. Porsegurança, o valor padrão é somente leitura. Ex: read only = yes.create maskRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 45

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXModo padrão para criação de arquivos no compartilhamento. O parâmetro "create mode" é um sinônimo paraeste. O modo de arquivos deve ser especificado em formato octal. Ex: create mask = 0600.directory maskModo padrão para a criação de diretórios no compartilhamento. O parâmetro "directory mode" é um sinônimopara este. O modo de diretório deve ser especificado em formato octal. Ex: directory mask = 0700.getwd cachePermite utilizar um cache para acesso as requisições getwd, diminuindo o número de ciclos de processamentopara acesso a arquivos/diretórios. O valor padrão é "Yes".write cache sizeTamanho do cache de leitura/gravação do compartilhamento. Este valor é especificado em bytes e o padrão é"0". Ex: write cache size = 384000.inherit permissionsPermite herdar permissões de arquivos/diretórios do diretório pai quando novos arquivos/diretórios são criados,isto inclui bits SGID (set group ID). O padrão é NÃO herdar permissões. O uso desta opção substitui as opçõesfornecidas por create mask, directory mask, force create mask e force directory mask. Ex: inherit permissions.preexecExecuta um comando antes a abertura de um compartilhamento. O parâmetro exec é um sinônimo para este.postexecExecuta um comando depois da utilização do compartilhamento.preexec closeFecha imediatamente o compartilhamento caso o valor do comando executado pela opção preexec sejadiferente de 0. O uso desta opção só faz sentido em conjunto com preexec. O valor padrão é "no". Exemplo:preexec close = yes.volume = nomeRetorna o nome de volume especificado quando é feito o acesso ao compartilhamento. Isto é muito útil parainstalações onde o serial do CD, disquete ou HD é verificado durante o acesso. Isto acontece com freqüênciaem produtos de fabricantes proprietários como forma de evitar a execução ilegal do programa.WINSEste é um serviço de resolução de nomes que funciona de forma semelhante ao DNS, só que voltado para oNetBIOS. Quando uma máquina cliente NetBIOS entra na rede, o servidor WINS pega seu nome e IP e incluiem uma tabela para futura consulta pelos clientes da rede.Esta tabela consultada toda vez que um cliente NetBIOS solicita um nome de máquina, componentes do grupode trabalho ou domínio na rede. Uma outra aplicação importante de um servidor WINS é permitir a resoluçãode nomes em pontos de redes que requerem roteamento, a simplicidade de um protocolo não roteável como oNetBIOS fica limitada a simplicidade das instalações de rede. Um servidor WINS pode ser instalado em cadaponta da rede e eles trocarem dados entre si e atualizar suas tabelas de nomes/grupos de trabalhos/IPs.A resolução de nomes de máquinas será feita consultando diretamente a máquina WINS ao invés debroadcasting (que geram um tráfego alto na rede).Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 46

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXConfigurando o servidor WINSPara ativar o servidor WINS no samba, inclua as seguinte linha na seção [global] do seu arquivo/etc/samba/smb.conf:[global]wins support = yeswins proxy = nodns proxy = nomax wins ttl = 518400O parâmetro wins proxy pode ser necessário para alguns clientes antigos que tenham problemas no envio desuas requisições WINS. O dns proxy permite que o servidor WINS faça a pesquisa no DNS para localização denomes de máquinas caso não exista no cache. Ambas as opções wins support, wins proxy e dns proxy temcomo valor padrão não.Se estiver configurando uma subrede com masquerade para acesso a um PDC ou um servidor WINS, vocêterá que mexer no gateway central para apontar uma rota para o gateway masquerade. O motivo disto éporque o masquerade do Linux atua somente nos cabeçalhos, mas o IP da estação é enviada e processadapelo PDC para retornar uma resposta. Da mesma forma, este IP é registrado no servidor WINS para uso dasestações de trabalho. Isto só vai ser resolvido quando for escrito um módulo de conntrack para conexõesSAMBA.OBS1: NUNCA configure mais de um servidor WINS em uma mesma rede.OBS2: NÃO especifique o parâmetro wins server caso esteja usando o suporte a WINS.Ativando o suporte a senhas criptografadasO uso de senhas criptografadas é um requisito quando você deseja configurar o SAMBA para ser um servidorPDC ou um cliente de um domínio. Quando utiliza senhas criptografadas, elas trafegam em formato seguroatravés da rede, dificultando a captura por outras pessoas. Em versões mais recentes do Windows (a partir daOSR/2 e NT 4 service pack3) o suporte a senhas criptografadas vem habilitado como padrão para login eutilização de serviços da rede.O utilitário smbpasswd é o programa utilizado para gerenciar o arquivo de senhas e também o status de contasde usuários/máquinas do domínio.Edite o arquivo /etc/samba/smb.conf e altere as seguintes linhas na seção [global] para adicionar o suporte asenhas criptografadas:[global]encrypt passwords = truesmb passwd file =/etc/samba/smbpasswdA linha encrypt passwords = true diz para usar senhas criptografadas e que o arquivo /etc/samba/smbpasswdcontém as senhas (smb passwd file =/etc/samba/smbpasswd).Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 47

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXuseradd -g grupo-dominio -c "Usuário de Domínio" -s /bin/false -d /dev/null joãoEste comando adiciona o usuário "joao" no grupo grupo-dominio e não define nem uma shell, diretório homenem senha para este usuário. Isto mantém o sistema mais seguro e não interfere no funcionamento doSAMBA, pois somente é necessário para fazer o mapeamento de UID/GID de usuários com as permissões dosistema UNIX.É interessante padronizar os usuários criados no domínio para um mesmo grupo para pesquisa e outrascoisas.Crie o usuário "joao" no SAMBA:smbpasswd -a joaoSerá solicitada a senha do usuário.Removendo usuários do smbpasswdUtilize o comandosmbpasswd -x usuariopara remover um usuário do arquivo smbpasswd. Se desejar, você pode manter o usuário no /etc/passwd ouremove-lo com o userdel.OBS: Removendo um usuário deste arquivo fará que ele não tenha mais acesso ao SAMBA. Utilize o comandosmbpasswd -a testeDesabilitando uma conta no smbpasswdComo administrador, pode ser necessário que precise desativar temporariamente uma conta de usuário poralguma situação qualquer (má utilização de recursos, dúvida se a conta está sendo usada, etc.). Remover umaconta e novamente adicioná-la então não é uma situação muito prática. Utilize então o seguinte comando paradesativar uma conta de usuário:smbpasswd -d usuárioQuando a conta de usuário é desativada, uma flag "D" é adicionada às opções do usuário (junto com as opções"UX").Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 49

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXHabilitando uma conta no smbpasswdUma conta desativada com o uso do comando smbpasswd -d pode ser novamente ativada usando:smbpasswd -e usuarioAlterando a senha de um usuárioO utilitário smbpasswd pode ser usado tanto para alterar a senha de usuários locais do SAMBA ou de umaconta em um servidor remoto (seja SAMBA, NT, W2K). Para alterar a senha de um usuário local, digite:smbpasswd -U usuarioSerá pedida a antiga senha, a nova senha e a confirmação. Caso seja o usuário root, somente a nova senha ea confirmação. Isto é mecanismo de proteção para usuários que esquecem a senha.Para alterar a senha de um usuário remoto, utilize:smbpasswd -r servidor -U usuárioNote que apenas foi adicionada a opção -r servidor comparado com a opção anterior. A diferença é que asenha antiga do usuário sempre será solicitada para troca (pois o root das 2 máquinas pode não ser o mesmo).Definindo acesso sem senha para o usuárioPara fazer um usuário acessar sem senha, use o comando:smbpasswd -n usuarioIsto é completamente desencorajado e necessita que a opção null passwords da seção [global] no arquivosmb.conf esteja ajustada para yes (que NÃO é o padrão).Ativando o suporte a senhas em texto planoEsta forma de autenticação é enviada por implementações NetBIOS antigas, como a encontrada no LanManager, Windows for Workgroups e Windows 95 OSR1. As versões mais novas destas implementaçõesenviam a senha em formato criptografado, sendo necessário também usar o formato criptografado no SAMBApara que possa se autenticar.Em geral, o administrador prefere a utilização da autenticação usando texto plano quando deseja usar o/etc/passwd para autenticação e está usando grupos de trabalho é necessário usar senhas criptografadas paraautenticação).Para configurar o SAMBA para utilizar senhas em texto, modifique o parâmetro encrypt passwords para no:[global]encrypt passwords = noRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 50

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXReinicie o SAMBA e a partir de agora, ele usará o /etc/passwd para autenticação.OBS: Tenha certeza de não estar participando de um domínio ou que sua máquina seja o PDC antes de fazeresta modificação.Configuração em DomínioEsta seção descreve todos os passos necessários para configurar um servidor de domínio PDC (PrimaryDomain Control) com perfis móveis e outros recursos que tornam úteis e seguras a administração de uma redeNetBEUI.Uma breve introdução a um Domínio de redeUm domínio de rede consiste em uma máquina central chamada de PDC, que mantém o controle de todas ascontas de usuários/grupos e permissões para acesso a rede NetBEUI. O acesso desta forma é centralizado,como vantagem disto você pode usar o nível de acesso por usuários nas máquinas, definindo quais usuáriosou grupos terão acesso de leitura/gravação.É permitido criar scripts de logon, assim comandos programados pelo administrador serão executados nasmáquinas clientes durante o logon no.O nome da máquina é protegido contra hijacking através de contas de máquinas que fazem parte do domínio.Isto só é possível em clientes Linux, Windows NT, Windows 2000 e Windows XP.Você poderá usar perfis móveis, copiando todas as personalizações do seu desktop para qualquer máquina narede que você faça o logon. Para o administrador, ele poderá definir políticas com o Poledit e outros programasque serão salvas junto com o perfil do usuário, valendo para qualquer máquina que ele se autentique na rede.Local Master BrowserÉ a máquina que ganhou a eleição no segmento local de rede. Logo que é declarada o local master browser,ela começa a receber via broadcasting a lista de recursos compartilhados por cada máquina para montar a listaprincipal que será retornada para outras máquinas do grupo de trabalho ou outras subredes que solicite osrecursos compartilhados por aquele grupo.Uma nova eleição é feita a cada 36 minutos ou quando a máquina escolhida é desligada.Domain Master BrowserQuando o local master browse é eleito no segmento de rede, uma consulta é feita ao servidor WINS para saberquem é o Domain Master Browse da rede para enviar a lista de compartilhamentos. A máquina escolhida comoLocal Master Browse envia pacotes para a porta UDP 138 do Domain Master e este responde pedindo a listade todos os nomes de máquinas que o local master conhece, e também o registra como local master paraaquele segmento de rede.Caso tenha configurado sua máquina para ser o domain master browser da rede (também chamado decontrolador principal de domínio ou PDC), ela tentará se tornar a máquina que terá a lista completa de recursosRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 51

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXenviados pelos locais master browsers de cada segmento de rede. Um PDC também é o local master browsede seu próprio segmento de rede.É possível ter mais de um domain master browse, desde que cada um controle seu próprio domínio, mas não épossível ter 2 domain master browsers em um mesmo domínio. Caso utilize um servidor WINS em sua rede, oPDC fará consultas constantes em sua base de dados para obter a lista de domínios registrados. O domínio éidentificado pelo caracter 1b na rede.OBS: O Windows NT configurado como PDC sempre tenta se tornar o domain master browser em seu grupode trabalho. Não sendo possível retirar o Windows NT configurado como PDC do domínio (por alguma outrarazão), a única forma será deixar ele ser o domain master browser. Se este for o caso, você poderá continuarlendo este documento para aprender mais sobre NetBIOS e talvez ainda mudar de idéia sobre manter o NT narede após ver as características do SAMBA ;-)Configurando um servidor PDC no SAMBAPara configurar uma máquina para ser o PDC (Controladora Principal de Domínio ou Primary Domain Control),siga esta seqüência:Habilite o suporte a senhas criptografadas. Na seção [global], insira/modifique os seguintes parâmetros:;Identificação da máquina e domínionetbios name = adminsambaworkgroup = empresa;níveis de acesso e funções do servidorsecurity = userdomain master = yesprefered master = yeslocal master = yes; senhas criptografadasencrypt passwords = yessmb passwd file = /etc/samba/smbpasswd.dbOnde os parâmetros significam:netbios name = adminsamba - Nome do computador. Este também será o nome usado pelas outras máquinasclientes quando for configurar o PDC (controlador de domínio).workgroup = empresa - Nome do domínio que está criando. Todas as máquinas que pertencerem a estedomínio terão o nível de acesso definido pelo PDC. Note que o parâmetro workgroup também é usado aoespecificar o nome do grupo de trabalho quando se é usado a configuração grupo de trabalho.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 52

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXsecurity = user - Requerido para controle de acesso por domínio, já que é utilizado o controle de acesso localusando usuários e grupos locais.domain master = yes - Especifica se está máquina está sendo configurada para ser o PDC da rede.OBS: Certifique-se que não existe outro PDC no domínio.prefered master = yes - Força uma eleição com algumas vantagens para seu servidor ser eleito sempre como ocontrolador de domínio. Isto garante que a máquina SAMBA sempre seja o PDC.local master = yes - Define se a máquina será o controlador principal do grupo de trabalho local que elapertence.Pronto, agora teste se existem erros em sua configuração executando o comando testparm e corrija-os seexistir. Resta agora reiniciar o servidor nmbd para que todas as suas alterações tenham efeito.Contas de máquinas de domínioUma conta de máquina de domínio garante que nenhum outro computador possa utilizar o mesmo nome deuma máquina confiável e assim utilizar os compartilhamentos que ela tem permissão. Os clientes Windows NT,Windows XP e Windows 2000 precisam de uma conta de máquina para ter acesso ao domínio e seus recursos.A criação de uma conta de máquina é bastante semelhante a criação da conta de um usuário normal nodomínio.Existe uma coisa que precisa sempre ter em mente quando estiver configurando uma conta de máquina dedomínio: Quando você cria uma conta para a máquina, ela entra e altera sua senha no próximo logon usandoum "segredo" entre ela e o PDC, este segredo a identifica sempre como dona daquele nome NetBIOS, ou seja,até o primeiro logon no NT, outra máquina com o mesmo nome NetBIOS poderá ser a dona do netbios naqueledomínio caso faça o logon no domínio. A única forma de se evitar isto é logar imediatamente no domínio NTassim que criar as contas de máquinas.Existem duas formas para criação de contas de máquinas: manual e automática.Criando contas de máquinas manualmentePara criar uma conta de domínio para a máquina master, siga estes 2 passos:Crie uma conta de máquina no arquivo /etc/passwd:useradd -g domainmac -c "Maquina de Dominio" -s /bin/false -d /dev/null master$O comando acima cria uma conta para a máquina master$ e torna ela parte do grupo domainmac. Énecessário especificar o caracter $ após o nome da máquina para criar uma conta de máquina no domínio,caso contrário o próximo passo irá falhar. Acredito que nas próximas versões do SAMBA seja desnecessário ouso do arquivo /etc/passwd para a criação de contas de máquina.Crie uma conta de máquina no arquivo /etc/samba/smbpasswd:smbpasswd -m -a masterRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 53

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXIsto cria uma conta de máquina para o computador master no arquivo /etc/samba/smbpasswd. Note que acriação de uma conta de máquina é muito semelhante a criação de um usuário apenas precisa adicionar aopção -m. Quando for criar uma conta com o smbpasswd Não é necessário especificar $ no final do nome damáquina.O mais importante: Entre IMEDIATAMENTE no domínio após criar a conta de máquina usando a conta deadministrador de domínio criada no SAMBA. Como a máquina ainda não se autenticou pela primeira vez,qualquer máquina que tenha o mesmo nome e entre no domínio, poderá alocar o nome recém criado. A únicaforma de resolver este problema, é apagando a conta de máquina e criando-a novamente no domínio. Siga ospassos de acordo com o sistema operacional em Configurando clientes em Domínio para colocar seus clientesem domínio.Criando contas de máquinas automaticamenteAtravés deste método, as máquinas clientes terão sua conta criada automaticamente assim que seja feita aentrada no domínio usando a conta do administrador de domínio no SAMBA. Este é o método recomendávelde colocação de máquinas no domínio por ser mais prática ao invés do método manual. Note que normalmenteisto funciona para o WinXP e Win2000 mas não funciona em redes com o NT4, devendo ser criadas contas demáquinas usando o método manual.Para fazer a configuração automática, coloque a seguinte linha no arquivo smb.conf na seção [global]:add user script = useradd -g domainmac -c "Maquina de Dominio" -s /bin/false -d /dev/null %uAssim, a conta de máquina será automaticamente criada quando o administrador fizer sua configuração nodomínio. No SAMBA 3.0, a opção add machine script deverá ser usada no lugar de add user script paraadicionar uma máquina no domínio.Criando uma conta de administrador de domínioA conta de administrador do domínio é a conta que tem permissões para realizar operações de manutenção eadministração de máquinas que compõem o domínio de rede. Com ela é possível, entre outras coisas,adicionar e remover máquina que compõem o domínio. Para especificar que contas de usuários do arquivo/etc/samba/smbpasswd que terão poderes administrativos, utilize a opção domain admin group ou admin usersna seção [global] do arquivo /etc/samba/smb.conf.O parâmetro admin users permite que todas as operações realizadas pelo usuário sejam feitas com poderes deusuário root. Isto é necessário porque o arquivo smbpasswd (usado para ajustar as contas de máquinas)normalmente tem permissões de leitura/gravação somente para root. O domain admin group permite queusuários específicos ou usuários do grupo especificado sejam parte do grupo de administradores do domíniopara adicionar máquinas, etc. Por exemplo, para tornar o usuário adminsamba com privilégios paraadicionar/remover máquinas no domínio:Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 54

[global]...Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXadmin users = adminsambaoudomain admin group = @admins adminsambaIsto permite que o usuário adminsamba possa adicionar/remover máquinas do domínio NT entre outras tarefas.Por segurança, recomendo que coloque esta conta no invalid users de cada compartilhamento para que sejautilizada somente para fins de gerenciamento de máquinas no domínio, a menos que deseje ter acesso totalaos compartilhamentos do servidor (nesse caso, tenha consciência do nível de acesso que esta conta possui edos problemas que pode causar caso caia em mãos erradas).Compartilhamento de impressão no servidor SAMBAConfigurando o Linux como um servidor de impressão WindowsSerá necessário ter o pacote samba instalado e adicionar as seguintes linhas no seu arquivo/etc/samba/smb.conf:[hp-printer]path = /tmpprinter name=HP DeskJet 690Cprintable = yesprint command = lpr -r -h -P %p %svalid users = winuser winuser2create mode = 0700O compartilhamento acima tornará disponível a impressora local "lp" as máquinas Windows com o nome "HPDeskJet 690C". Uma impressora alternativa pode ser especificada modificando a opção -P da linha decomando do lpr. Note que somente os usuários "winuser" e "winuser2" poderão usar esta impressora. Osarquivos de spool (para gerenciar a fila de impressão) serão gravador em /tmp (path = /tmp) e ocompartilhamento [hp-printer] será mostrado como uma impressora (printable = yes).Agora será necessário instalar o driver desta impressora no Windows (HP 690C) e escolher impressorainstalada via rede e seguir os demais passos de configuração.Controle de acesso ao servidor SAMBANível de acesso de usuários conectados ao SAMBAQuando acessa um compartilhamento, o usuário do samba é mapeado com o UID respectivo de usuário dosistema ou o usuário guest (especificado pela opção "guest account") no caso de um acesso público. Quandoisto ocorre, um processo filho do smbd é executado sobre o UID e GID deste usuário. Isto significa que emRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 55

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXnenhuma ocasião o SAMBA dará mais permissões que as necessárias para o usuário (com excessão dequando é usado o parâmetro admin users).Restringindo o acesso por IP/redeEsta restrição pode ser feita pelos parâmetros allow hosts e deny hosts tanto em serviços individuais ou emtodo o servidor. Os parâmetros hosts allow e hosts deny são equivalentes a estes acima. O allow hosts permiteo acesso a máquina especificadas como argumento. São permitidos os seguintes métodos para permitir oacesso a uma máquina/rede:192.168.1.1 - IP da máquinaservidor - Nome da máquina192.168.1.0/255.255.255.0 - IP com máscara de rede192.168.1.0/24 - IP com máscara de rede octal192.168.1. - Porção de rede sem o host (como no hosts.allow e hosts.deny.@nome - Pesquisa por máquinas no grupo NIS.É permitido usar mais de um endereço IP separando-os por vírgulas ou espaços. A palavra chave EXCEPTpode ser usada para fazer excessão de um ou mais endereços IPs, por exemplo:hosts allow = 192.168.1. EXCEPT 192.168.1.20Que permite o acesso a toda as máquinas da faixa de rede 192.168.1.0/24 exceto para a 192.168.1.20.O deny hosts possui a mesma sintaxe do allow hosts mas bloqueia o acesso das máquinas especificadas comoargumento. Quando o allow hosts e deny hosts são usados juntos, as máquinas em allow hosts terãoprioridade (processa primeiro as diretivas em allow hosts e depois em deny hosts).Se você está executando o SAMBA via inetd, os arquivos hosts.allow e hosts.deny são verificados antes docontrole e acesso ao smbd. Caso estiver usando o SAMBA via inetd e deseja restringir o acesso usando TCPWrappers.OBS: Lembre-se de usar o testparm para verificar a sintaxe do arquivo smb.conf sempre que desconfiar deproblemas.Testando a restrição de Acesso por IP/RedesUm método interessante e útil para testar se a nossa configuração vai bloquear o acesso a serviços é usando otestparm da seguinte forma:testparm /etc/samba/smb.conf IP/hostVocê precisará dizer para o testparm qual é o arquivo de configuração que está usando e o endereço IP/nomede host que fará a simulação de acesso. Este método não falsifica o endereço IP para testes, apenas usa osvalores em allow hosts e deny hosts para checagem. Por exemplo, para verificar o acesso vindo do IP192.168.1.50:testparm /etc/samba/smb.conf 192.168.1.50Load smb config files from /etc/samba/smb.confRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 56

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXProcessing section "[homes]"Processing section "[printers]"Processing section "[tmp]"Processing section "[cdrom]"Loaded services file OK.Allow connection from /etc/samba/smb.conf (empresa) to homesAllow connection from /etc/samba/smb.conf (empresa) to printersAllow connection from /etc/samba/smb.conf (empresa) to tmpAllow connection from /etc/samba/smb.conf (empresa) to cdromRestringindo o acesso por interface de redeEsta restrição de acesso permite que façamos o SAMBA responder requisições somente para a interfacesindicadas. O método de segurança descrito em Restringindo o acesso por IP/rede serão analisadas logo apósesta checagem.Para restringir o serviço SAMBA a interfaces, primeiro será necessário ativar o parâmetro bind interfaces onlyusando 1, yes ou true (o padrão é desativado). Depois, definir que interfaces serão servidas pelo samba com oparâmetro interfaces. Os seguintes formatos de interfaces são permitidos:eth0, sl0, plip0, etc - Um nome de interface local. É permitido o uso de * para fazer o SAMBA monitorar todasas interfaces que iniciam com aquele nome (por exemplo, eth*).192.168.1.1, 192.168.1.2, etc - Um endereço IP de interface local.192.168.1.2/24, 192.168.1.2/255.255.255.0 - Um par de endereço/máscara de rede.Mais de uma interface pode ser usada separando-as com vírgula ou espaços. A escolha do uso de nome dainterface ou do IP é feita de acordo com a configuração da máquina. Em uma máquina DHCP por exemplo, érecomendado o uso do nome da interface. Quando bind interfaces only estiver ativado, o padrão é esperarconexões em todas as interfaces que permitem broadcast exceto a loopback.Exemplo:bind interfaces only = 1interfaces = loopback eth0Permite o recebimento de requisições de acesso ao SAMBA somente da interface loopback (desnecessário,pois como notou durante a leitura, sempre é permitida a conexão) e eth0.Restringindo o acesso por usuáriosPermite que você controle quem poderá ou não acessar o compartilhamento da máquina. Este controle é feitopelos parâmetros valid users e invalid users.O invalid users lista de usuário que NÃO terão acesso ao compartilhamento. Se o nome for iniciado por "+" oparâmetro será tratado como um nome de grupo UNIX (/etc/group). O caracter "&" faz ele pesquisar o nome deRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 57

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXgrupo no banco de dados NIS. O caracter "@" permite fazer a busca do grupo primeiro no banco de dados NISe caso ele não seja encontrado, no arquivo de grupos do sistema (/etc/group).É possível usar a combinação de caracteres "+&" e "&+" para alternar a ordem de busca enter o /etc/group e oNIS.Exemplos:invalid users = junior, marcio, +badusersNão permite que os usuários especificados e os usuários do grupo +badusers tenham acesso aocompartilhamento.invalid users = &;semacessoBloqueia o acesso de todos os usuários NIS que pertençam ao grupo semacesso.invalid users = bruno, henrique, +@users,Bloqueia o acesso dos usuários bruno, henrique e de todos os usuários que pertençam ao grupo users. Apesquisa de grupo é feita primeiro no /etc/group e em seguida no NIS.invalid users = @semacessoBloqueia o acesso dos usuários que pertencem ao grupo "semacesso". A pesquisa é feita primeiro no NIS edepois no /etc/group (equivalente ao uso de "&+").O valid users possui a mesma sintaxe de funcionamento do invalid users, mas permite somente o acesso paraos usuários/grupos listados. Caso a opção valid users não seja especificada ou a lista esteja vazia, o acesso épermitido. Se um mesmo nome de usuário estiver na lista valid users e invalid users, o padrão é ser maisrestritivo, negando o acesso.valid users = adminsamba, michelle, geoA segurança deste método de acesso depende muito da forma de autenticação dos nomes antes de passar ocontrole para o SAMBA, pois uma autenticação fraca põe em risco a segurança da sua máquina.Evite o uso do parâmetro hosts equiv!Este parâmetro permite que máquinas tenham acesso sem senha a um servidor.Evite o uso de senhas em branco!O parâmetro null passwords é usado na seção [global] permitindo que contas de usuários sem senha tenhamacesso permitido ao servidor. ISTO É TOTALMENTE INSEGURO e deve ser sempre evitado.Criando um compartilhamento para acesso sem senhaEm algumas situações (mesmo em instalações seguras) é preciso tornar um compartilhamento acessívelpublicamente, exemplos disto incluem um diretório que contém drivers de impressoras, arquivos comuns, umdiretório temporário, etc.Para configurar um acesso público utilizamos a opção public = yes ou guest ok = yes (que é um sinônimo parao último comando). O UID utilizado no acesso público é especificado pelo parâmetro guest account, portantoRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 58

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXele deverá ser um usuário válido do sistema. Caso você queira somente definir acesso guest a umcompartilhamento, especifique a opção guest only para o serviço, desta forma, mesmo que o usuário tenhaacesso, ele será mapeado para o usuário guest.Uma boa medida de segurança é usar o usuário nobody pois a maioria das distribuições de Linux segurasadotam-o como padrão como usuário que não é dono de quaisquer arquivos/diretórios no sistema, não possuilogin, senha ou sequer um diretório home.Veja um exemplo disponibilizando o compartilhamento [download] para acesso público com acesso a gravação:[global]guest account = nobody....[download]path = /downloadscomment = Espaço público para abrigar downloads de Usuáriosguest ok = yes (aqui poderá ser também "public = yes").writable = yesfollow symlinks = falseO parâmetro guest account também poderá ser especificado no compartilhamento, isto é útil quando não quiserque o usuário que acesse o compartilhamento não seja o mesmo usado na diretiva [global].Caso seu servidor somente disponibiliza compartilhamentos para acesso público, é mais recomendado utilizaro nível security = share pra diminuir a carga máquina, pois o usuário guest será o primeiro a ser checado pelasregras de acesso (ao contrário do nível user, onde o acesso guest é o último checado).Criando um compartilhamento com acesso somente leituraEsta proteção é útil quando não desejamos que pessoas alterem o conteúdo de um compartilhamento. Istopode ser feito de duas formas: negando o acesso de gravação para todo o compartilhamento ou permitindoleitura somente para algumas pessoas. O parâmetro usado para fazer a restrição de acesso somente leitura éo read only = yes ou seu antônimo writable = no. Abaixo seguem os dois exemplos comentados:[teste]comment = Acesso a leitura para todospath = /tmpread only = yespublic = yesNo exemplo acima, o diretório /tmp (path = /tmp) foi compartilhado com o nome teste ([teste]), de forma pública(acesso sem senha - public = yes), e todos podem apenas ler seu conteúdo read only = yes).Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 59

[teste]Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXcomment = Acesso a gravação para todos com excessõespath = /tmpread only = noread list = @users, adminsambainvalid users = rootNeste, o mesmo compartilhamento teste ([teste]) foi definido como acesso leitura/gravação para todos (readonly = no), mas os usuários do grupo @users e o usuário adminsamba terão sempre acesso leitura (read list =@users, adminsamba). Adicionalmente foi colocada uma proteção para que o superusuário não tenha acesso aele (invalid users = root). Esta forma de restrição é explicada melhor em Excessão de acesso na permissãopadrão de compartilhamento).Criando um compartilhamento com acesso leitura/gravaçãoEsta forma de compartilhamento permite a alteração do conteúdo do compartilhamento dos usuários quepossuem as permissões de acesso apropriadas. Este controle pode ser feito de duas formas: Acesso total degravação para os usuários e acesso de gravação apenas para determinados usuários. Este controle é feitopela opção read only = no e seu antônimo equivalente writable = yes. Abaixo dois exemplos:[teste]comment = Acesso de gravação para todos.path = /tmpwritable = yespublic = yesNo exemplo acima, o diretório /tmp (path = /tmp) foi compartilhado com o nome teste ([teste]), de forma pública(acesso sem senha - public = yes) e todos podem ler/gravar dentro dele (writable = yes).[teste]comment = Acesso a leitura para todos com excessõespath = /tmpwritable = nowrite list = @users, adminsambaNeste, o mesmo compartilhamento teste ([teste]) foi definido como acesso de leitura para todos (writable = no),mas os usuários do grupo @users e o usuário adminsamba serão os únicos que terão também acesso agravação (write list = @users, adminsamba). Esta forma de restrição é explicada melhor em Excessão deacesso na permissão padrão de compartilhamento).Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 60

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXExcessão de acesso na permissão padrão de compartilhamentoÉ possível alterar o nível de acesso para determinados usuários/grupos em um compartilhamento, paraentender melhor: Caso tenha criado um compartilhamento somente leitura e queira permitir que apenas algunsusuários ou grupos tenham acesso a gravação, isto é possível e será explicado nesta seção. Estecomportamento é controlado por duas opções: read list e write list. Veja alguns exemplos:[temporario]comment = Diretório temporáriopath = /tmpwritable = yesread list = adminsamba, rootbrowseable = noavailable = yesNeste exemplo, disponibilizamos o diretório /tmp (path = /tmp) como compartilhamento de nome temporario([temporario]), seu acesso padrão é leitura/gravação para todos (writable = yes), exceto para os usuários root eadminsamba (read list = root, adminsamba). Em adição, tornamos o compartilhamento invisível no "Ambientede Rede" do Windows (browseable = no) e ele será lido e disponibilizado pelo SAMBA (available = yes).[temporario]comment = Diretório temporáriopath = /tmpwritable = nowrite list = adminsamba, @operadoresbrowseable = yesNeste exemplo, disponibilizamos o diretório /tmp (path = /tmp) como compartilhamento de nome temporario([temporario]), seu acesso padrão é apenas leitura para todos (writable = no), exceto para o usuárioadminsamba e usuários do grupo Unix operadores, que tem acesso a leitura/gravação (write list =adminsamba, @operadores). Tornamos o compartilhamento visível no "Ambiente de Rede" do Windows(browseable = yes - que é o padrão).Criando um compartilhamento invisívelPara não exibir um compartilhamento da lista de compartilhamentos das máquinas, utilize o parâmetrobrowseable = no. Por exemplo:[teste]path = /tmpcomment = Diretório temporárioread only = yesbrowseable = noRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 61

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXNeste exemplo, o diretório /tmp (path = /tmp) foi compartilhado através de teste ([teste]) com acesso somenteleitura (read only = yes) e ele não será mostrado na listagem de compartilhamentos do ambiente de rede doWindows (browseable = no).Note que o compartilhamento continua disponível, porém ele poderá ser acessado da estação Windows,especificando a \\maquina\compartilhamento. Para acessar o compartilhamento do exemplo acima:# Clique em Iniciar/Executar e digite:\\nome_do_servidor_samba\testeAo contrário das máquinas Windows onde é necessário adicionar um "$" do nome de compartilhamento paracriar um compartilhamento oculto (como teste$) o SAMBA cria um compartilhamento realmente oculto, nãoaparecendo mesmo na listagem do smbclient.Exemplos de configuração do servidor SAMBAOs exemplos existentes nesta seção cobrem diferentes tipos de configuração do servidor, tanto em modo decompartilhamento com acesso público ou um domínio restrito de rede. Todos os exemplos estão bemcomentados e explicativos, apenas pegue o que se enquadre mais em sua situação para uso próprio eadaptações.Grupo de Trabalho com acesso públicoEste exemplo pode ser usado de modelo para construir uma configuração baseada no controle de acessousando o nível de segurança share e quando possui compartilhamentos de acesso público. Esta configuraçãoé indicada quando necessita de compatibilidade com softwares NetBIOS antigos.[global]# nome da máquina na redenetbios name = teste# nome do grupo de trabalho que a máquina pertenceráworkgroup = empresa# nível de segurança share permite que clientes antigos# mantenham a compatibilidade enviando somente a senha para# acesso ao recurso, determinando o nome de usuário de outras# formassecurity = share# O recurso de senhas criptografadas não funciona quando usamos# o nível share de segurança. O motivo disto é porque# automaticamente é assumido que você está selecionando este# nível por manter compatibilidade com sistemas antigos ou paraRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 62

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX# disponibilizar compartilhamentos públicos, ondeencrypt passwords = false# Conta que será mapeada para o usuário guestguest account = nobody# Como todos os compartilhamentos desta configuração são de# acesso público coloquei este parâmetro na seção [global],# assim esta opção afetará todos os compartilhamentos.guest ok = 1# Conjunto de caracteres utilizados para acessar os# compartilhamentos. O padrão para o Brasil e países de língua# latina é o ISO 8859-1character set = ISO8859-1# Compartilha o diretório /tmp (path = /tmp) com o nome# "temporario" ([temporario]),# é adicionada a descrição "Diretório temporário" com acesso# leitura/gravação (read only = no) e exibido na janela de# navegação da rede (browseable = yes).[temporario]path = /tmpcomment = Diretório temporárioread only = nobrowseable = yes# Compartilha o diretório /pub (path = /pub) com o nome# "publico" ([publico]). A descrição "Diretório de acesso# público" é associada ao compartilhamento com acesso somente# leitura (read only = yes) e exibido na janela de navegação# da rede (browseable = yes).[publico]path =/pubcomment = Diretório de acesso públicoread only = yesbrowseable = yes# Compartilha todas as impressoras encontradas no /etc/printcap# do sistema.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 63

[printers]Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídoscomment = All Printerspath = /tmpcreate mask = 0700printable = Yesbrowseable = NoCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXGrupo de Trabalho com acesso por usuárioO exemplo abaixo descreve uma configuração a nível de segurança por usuário onde existemcompartilhamentos que requerem login e usuários específicos, e restrições de IPs e interface onde o servidoropera. Esta configuração utiliza senhas em texto claro para acesso dos usuários, mas pode ser facilmentemodificada para suportar senhas criptografadas.[global]# nome da máquina na redenetbios name = teste# nome do grupo de trabalho que a máquina pertenceráworkgroup = empresa# nível de segurança user somente aceita usuários autenticados# após o envio de login/senhasecurity = user# É utilizada senhas em texto claro nesta configuraçãoencrypt passwords = false# Conta que será mapeada para o usuário guestguest account = nobody# Permite restringir quais interfaces o SAMBA responderábind interfaces only = yes# Faz o samba só responder requisições vindo de eth0interfaces = eth0# Supondo que nossa interface eth0 receba conexões roteadas de# diversas outras redes, permite somente as conexões vindas da# rede 192.168.1.0/24hosts allow = 192.168.1.0/24# A máquina 192.168.1.57 possui gateway para acesso interno, como# medida de segurança, bloqueamos o acesso desta máquina.hosts deny = 192.168.1.57/32# Conjunto de caracteres utilizados para acessar osRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 64

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX# compartilhamentos. O padrão para o Brasil e países de língua# latina é o ISO 8859-1character set = ISO8859-1# As restrições do PAM terão efeito sobre os usuários e recursos# usados do SAMBAobey pam restriction = yes# Mapeia o diretório home do usuário autenticado.[homes]comment = Diretório do Usuáriocreate mask = 0700directory mask = 0700browseable = No# Compartilha o diretório win (path = /win) com o nome "win"#([win]). A descrição associada ao compartilhamento será "Disco do Windows", o nome de volume precisa serespecificado pois usamos# programas que a proteção anti cópia é o serial. Ainda fazemos# uma proteção onde qualquer usuário existente no grupo @adm é# automaticamente rejeitado e o usuário "baduser" somente possui# permissão de leitura (read list = baduser).#[win]path = /wincomment = Disco do Windowsvolume = 3CF434Cinvalid users = @admbrowseable = yesread list = baduser# Compartilha o diretório /pub (path = /pub) com o nome "publico"# ([publico]). A descrição "Diretório de acesso público" é# associada ao compartilhamento com acesso somente leitura (read# only = yes) e exibido na janela de navegação da rede (browseable# = yes). O parâmetro public = yes permite que este# compartilhamento seja acessado usando o usuário "nobody" sem o# fornecimento de senha.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 65

[publico]path =/pubUniversidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXcomment = Diretório de acesso públicoread only = yesbrowseable = yespublic = yesDomínio[global]# nome da máquina na redenetbios name = teste# nome do grupo de trabalho que a máquina pertenceráworkgroup = empresa# String que será mostrada junto com a descrição do servidorserver string = servidor PDC principal de testes# nível de segurança user somente aceita usuários autenticados# após o envio de login/senhasecurity = user# Utilizamos senhas criptografadas nesta configuraçãoencrypt passwords = truesmb passwd file = /etc/samba/smbpasswd# Conta que será mapeada para o usuário guestguest account = nobody# Permite restringir quais interfaces o SAMBA responderábind interfaces only = yes# Faz o samba só responder requisições vindo de eth0interfaces = eth0# como estamos planejando ter um grande número de usuários na# rede, dividimos os arquivos de log do servidor por máquina.log file = /var/log/samba/samba-%m-%I.log# O tamanho de CADA arquivo de log criado deverá ser 1MB (1024Kb).max log size = 1000# Escolhemos um nível de OS com uma boa folga para vencer as# eleições de controlador de domínio localos level = 80# Dizemos que queremos ser o Domain Master Browse (o padrão éRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 66

# auto)Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídosdomain master = yesCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX# Damos algumas vantagens para o servidor ganhar a eleição caso# aconteça desempate por critériospreferred master = yes# Também queremos ser o local master browser para nosso segmento# de redelocal master = yes# Este servidor suportará logon de usuáriosdomain logons = yes# Usuários que possuem poderes para adicionar/remover máquinas no# domínio (terão seu nível de acesso igual a root)admin users = adminsamba# Unidade que será mapeada para o usuário local durante o logon# (apenas sistemas baseados no NT).logon drive = m:# Nome do script que será executado pelas máquinas clienteslogon script = logon.bat# Ação que será tomada durante o recebimento de mensagens do# Winpopup.message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &# Conjunto de caracteres utilizados para acessar os# compartilhamentos. O padrão para o Brasil e países de língua# latina é o ISO 8859-1character set = ISO8859-1# As restrições do PAM terão efeito sobre os usuários e recursos# usados do SAMBAobey pam restriction = yes# Mapeia o diretório home do usuário autenticado. Este# compartilhamento especial é descrito em mais detalhes no inicio# do capítulo sobre o SAMBA no Foca Linux.[homes]comment = Diretório do Usuáriocreate mask = 0700Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 67

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídosdirectory mask = 0700browseable = NoCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX# Compartilha o diretório win (path = /win) com o nome "win"# ([win]). A descrição associada ao compartilhamento será "Disco# do Windows", o nome de volume precisa ser especificado pois# usamos programas que a proteção anti cópia é o serial. Ainda# fazemos uma proteção onde qualquer usuário existente no grupo# @adm é automaticamente rejeitado e o usuário "baduser" somente# possui permissão de leitura (read list = baduser).#[win]path = /wincomment = Disco do Windowsvolume = 3CF434Cinvalid users = @admbrowseable = yesread list = baduser# Compartilha o diretório /pub (path = /pub) com o nome "publico"# ([publico]). A descrição "Diretório de acesso público" é# associada ao compartilhamento com acesso somente leitura (read# only = yes) e exibido na janela de navegação da rede (browseable# = yes). O parâmetro public = yes permite que este# compartilhamento seja acessado usando o usuário "nobody" sem o# fornecimento de senha.[publico]path =/pubcomment = Diretório de acesso públicoread only = yesbrowseable = yespublic = yes# Compartilhamento especial utilizado para o logon de máquinas na# rede[netlogon]path=/pub/samba/netlogon/logon.batread only = yesRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 68

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXServidor de Informação (NIS)O sistema NIS (Network Information System) permite compartilhar bases de dados globais,contendo informações sobre usuários (/etc/passwd), grupos (/etc/group) e hosts (/etc/hosts) em ambiente Unix.Informações compartilhadas por servidores NIS são visíveis pelos cliente, servindo, por exemplo, para aautenticação de usuários num domínio de redes. As informações compartilhadas pelo NIS eram chamadas deYellow Pages – yp.A unidade de compartilhamento do NIS são os registros e não o arquivo. Um registro correspondea uma linha de configuração em um arquivo de configuração.A operação deste sistema envolve a execução de um processo servidor (ypserv) numa máquinaque será o mestre de um domínio (NIS máster) e a execução da versão cliente do programa (ypbind) nasmáquinas clientes. A utilização dos arquivos compartilhados para autenticação dos usuários nos cliente,contudo, depende ainda dos ajustes de autenticação.• ypserv: processo servidor do NIS;• ypbind: processo cliente NIS;• yppasswdd: processo de autenticação/modificação de senhas via rede. Deve ser executadono servidor mestre do domínio;• ypinit: script de configuração do servidor NIS (como principal ou secundário). Cria as tabelas apartir dos arquivos em /etc;• yppush: comando para cópia dos arquivos do mestre para os escravos;• portmap: faz o mapeamento entre chamada RPC e número de portas para o serviço NIS;• /etc/yp.conf: arquivo de configuração do cliente NIS;• /etc/ypserv.conf: arquivo de configuração do servidor NIS;• /var/yp: arquivos de configuração e tabelas de domínio exportado pelo servidor;• /var/yp/ypservers; relação dos servidores do domínio;• /var/yp/securenets: relação de redes e hosts autorizados a acessar as informações dodomínioConfiguração do servidorAntes que o servidor NIS possa ser ativado, é preciso criar as tabelas exportadas. Para simplificar aconstrução das tabelas exportadas, entretanto, há um arquivo de configuração em /var/yp. Sua operaçãorequer apenas que o nome do domínio NIS que se deseja atender esteja configurado:Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 69

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX• Domainname: define o nome do domínio DNS. Ex: domainname gerds.utp.br• Ypdomainname, nisdomainname: define o nome do domínio NIS. Ex. ypdomainnamegerds.utp.brEmbora sejam normalmente coincidentes, não há restrições entre o nome de domínio DNS e o domínioNIS.A configuração de um servidor NIS requer a instalação do pacote ypserv. Uma vez ajustado o domínioNIS que se deseja gerenciar, é preciso ajustar os scripts de configuração das tabelas exportadas, localizadosno diretório /var/yp.• /var/yp: diretório que contém os arquivos para configuração do servidor NIS e as tabelasexportadas;• /var/yp/Makefile: arquivo de configuração das tabelas que serão criadas para exportação.Configuração (manual) de um servidor NIS:1. Definição do domínio:domainname dom.com.br ouypdomainname dom.com.br ounisdomaniname dom.com.br2. Ajuste das tabelas exportadas (/var/yp/Makefile) :cd /var/yp#editar /var/yp/Makefile#editar linha all: passwd group hosts ... contém relação dos mapas que serão criados para exportação#editar linha MERGE_PASSWD=true indica se passwd e shadow serão unificados para exportação#editar linha MERGE_GROUP=true indica se group e gshadow serão unificados para exportação#editar linha MINUID=500 início dos logins exportados#editar linha MINGID=500 início dos grupos exportados3. Criação das tabelas exportadasMake cria tabelas para domínio definido com ypdomaninname, caso não existam, ou atualiza astabelas existente.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 70

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXOBS.: O padrão é utilizar os arquivos em /etc como fonte para geração dos maas do NIS. Épossível alterar este padrão, editando o arquivo /var/yp/Makefile, modificando as variáveisYPSRCDIR e YPPWDDDIR para que indiquem o diretório onde estão os arquivos. Assim, éviável manter usuários locais e do NIS de forma independente. As opções MINUID eMINGID também permitem restringir os usuários que serão exportados.Os comandos executados pelo make, equivalem a criação das tabelas, utilizando os comandosabaixo:• /usr/lib/yp/ypinit –m: script para criação das tabelas do servidor. Este script, executandocom opção –m, configura o servidor como “mestre”(ou principal), pegando comoinformações os dados contidos em /etc/passwd, /etc/group, /etc/hosts, /etc/networks,/etc/services, /etc/protocols, /etc/netgroup e /etc/rpc. Inclui, linha a linha, os servidoresdo NIS.• /usr/lib/yp/yp/ypinit –s nome-do-servidor-principal. A opção –s, seguida do nome doservidor mestre, configura o servidor “escravo” (ou secundário). Pode haver um únicomestre, mas várias escravos.4. Ajustes de segurança: limitar o acesso aos campos das tabelas exportadas editando/etc/ypserv.confUma vez definidas as tabelas que serão exportadas, é preciso realizar ajustes de segurança antes deativar o servidor (ypserv). O ajuste de opção de segurança dos mapas exportados é feito através doarquivo /etc/ypserv.conf.• /etc/ypserv.conf: arquivo com parâmetros para o servidor do domínio NIS:i. Dns: indica se o servidor fará consultas ao servidor DNS para a resolução denomes de domínio não atendidos por /etc/hostsii. Cada linha contém informações sobre uma tabela exportada, incluindo osseguintes campos, separados por “:”:host, mão, security, mangle e field1. host: endereço IP2. map: nome do mapa ou *, para todos os mapas3. security: nome (sempre permite acesso), port (permite acesso se porta

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXExemplo:# /etc/ypserv.conf# HOST: Domain :Map :Security#* :* :passwd.byname :port # restringe o acesso a tabela* :* :passwd.byuid :port # restringe o acesso a tabela5. Restringir os hosts que poderão fazer a autenticação de usuários usando as tabelas exportadas(/var/yp/securenets)A relação de clientes autorizados a usar as tabelas do sistema (nis clients) é definida através doarquivo /var/yp/securenets. As linhas do arquivo contêm informações sobre as máscaras de rede e osendereços IP autorizados.# /var/yp/securenets#255.0.0.0 127.0.0.0 #libera acesso para o localhost255.255.255.0 200.1.1.0 #libera acesso para a rede 200.1.1.06. Ativação do serviço do servidor:A ativação do servidor é feita iniciando-se o processo ypserv (/usr/sbin/ypserv). O ajuste para suaativação automática nos níveis de execução multiusuário pode ser feita como descrito anteriormente.AplicaçõesConfigurações do SistemaConfigurações de ServidorServiçosPortmapYpservO serviço ypxferd pode ser ativado para auxiliar na transferência dos mapas entre o servidor NISmáster e os servidores slave:Ypxferd7. Habilitando o ajuste de senhas pela rede (yppasswdd):A alteração de senha no ambiente NIS pode ser feita com o comando yppasswd. Para tanto, ;e precisoque o serviço yppasswdd esteja sendo executado no servidor NIS, caso contrário, os usuários deverãofazer um acesso remoto ao servidor para alterar a senha localmente com o comandopasswd. Nestecaso, ainda, a nova senha só se torna cálida após a reiniciação do servidor NIS (ypserv).AplicaçõesConfigurações SistemasConfigurações de ServidorServiçosYppasswddRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 72

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXNos clientes, a senha da rede pode ser alterada executando-se o comando yppasswd.Configuração dos clientes para realizarem acessaem um servidor NIS corresponde a habilitar aautenticação usando NIS.HTTPD - Servidor Web Apache2O Apache é o Servidor Web mais utilizado sendo utilizados para servir pedidos de Páginas WEB por clientes.Os clientes em geral fazem requisições e visualizam Páginas da WEB usando navegadores. Usuários utilizamURL (Uniform Resource Locator) para apontar para um servidor Web através do seu Nome de DomínioCompleto (Fully Qualified Domain Name - FQDN) e um caminho. O protocolo mais comum usado paratransferir páginas é o HTTP - Protocolo de transferência de hipertexto. Protocolos como HTTPS - Protocoloseguro de transferência de hipertexto e FTP - Protocolo de transferência de arquivo, protocolo para enviar ereceber arquivos, são também suportados. Servidores Web Apache são geralmente utilizados em conjuntocom o banco de dados MySQL, a linguagem de construção de scripts pré-processadora de hiper-texto (PHP), eoutras linguagens de construção de scripts populares como o Python e o Perl..InstalaçãoO servidor web Apache2 está disponível no Ubuntu Linux. Para instalar o Apache2:# sudo apt-get install apache2#ConfiguraçãoO Apache é configurado colocando-se diretivas em arquivos de configuração de texto puro. O arquivo deconfiguração principal é chamado apache.conf. Além disso, outros arquivos de configuração podem seradicionados utilizando-se a diretiva Include. Qualquer diretiva pode ser colocada em qualquer desses arquivosde configuração. Mudanças no arquivo de configuração apenas são reconhecidas quando este for iniciado oureiniciado. O servidor também irá ler um arquivo contendo os tipos mime de documentos; o nome do arquivo édefinido pela diretiva TypesConfig. O arquivo de configuração do Apache2 é o /etc/apache2/apache2.conf.Pode ser configurado, número da porta, raiz dos documentos, módulos, arquivos de log, hosts virtuais, etc.Configurações BásicasO Apache é configurado com um host virtual único padrão (diretiva VirtualHost) o qual pode ser modificado ouutilizado como está, se você tiver apenas um site, ou ainda usado como modelo para hosts virtuais adicionaisRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 73

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXcaso tenha múltiplos sites. Se não for alterado, o host virtual padrão servirá como seu site padrão. Paramodificar o virtual host padrão, edite o arquivo /etc/apache2/sites-available/default. Caso desejeconfigurar um novo host virtual, copie esse arquivo para o mesmo diretório com um nome de sua escolha.Por exemplo:sudo cp /etc/apache2/sites-available/default /etc/apache2/sites-available/meunovosite.Edite o novo arquivo para configurar o novo site utilizando algumas das diretivas descritas abaixo.• ServerAdmin especifica o endereço de email a ser anunciado. Se website apresentar problema, o Apache2mostrará uma mensagem de erro contendo este endereço de email para qual o problema poderá ser relatado.• Listen especifica a porta, e opcionalmente o endereço IP, na qual o Apache2 irá escutar. Se o endereço IPnão for especificado, o Apache2 irá escutar em todos os endereços IP designados para a máquina no qual eleesteja rodando. O valor padrão para diretiva Listen é 80. Altere isso para 127.0.0.1:80 para fazer com que oApache apenas escute apenas na sua interface de loopback. Esta diretiva pode ser encontrada e alterada emseu próprio arquivo, /etc/apache2/ports.conf• ServerName especifica qual a FQDN seu site deverá responder. O host virtual padrão não possui diretivaServerName especificada, portanto ele irá responder a todas as requisições que não combinem com umadiretiva ServerName em outro host virtual. Por exemplo: para o domínio ubunturocks.com e adicione este nomena diretiva ServerName no arquivo de configuração do host virtual. Adicione esta diretiva ao novo arquivo desite virtual que você criou antes (/etc/apache2/sites-available/meunovosite).• DocumentRoot especifica o local dp s arquivos padrão que formam o site. O padrão é /var/www. Nenhumsite está configurado lá, mas pode descomentar a diretiva RedirectMatch em /etc/apache2/apache2.conf asrequisições serão redirecionadas para /var/www/apache2-default. Altere este valor no arquivo de host virtual doseu site e lembre-se de criar aquele diretório se necessário. O diretório /etc/apache2/sites-available não édecodificado pelo Apache2. Links simbólicos em /etc/apache2/sites-enabled apontam para sites "disponíveis"(available). Utilize o utilitário a2ensite (Apache2 EnableSite) para criar esses links simbólicos.Configuração PadrãoEsta seção explica a configuração das definições padrão do servidor Apache2.• DirectoryIndex é a página padrão do servidor quando o usuário requisita um índice de um diretórioespecificando uma barra (/) no final do nome do diretório. Por exemplo, quando um usuário solicita a páginahttp://www.examplo.com/este_diretório/, ele vai ver: o DirectoryIndex se ele existir; uma lista do diretório geradopelo servidor caso não exista e as opções de índices estiverem especificadas; ou uma página de PermissãoNegada se nenhuma das duas opções forem verdadeiras. Se ele não encontrar nenhum destes arquivos e seas Opções de Índices estiver ajustada para aquele diretório, o servidor irá gerar e retornar uma lista, no formatoHTML, dos subdiretórios e arquivos no diretório. O valor padrão, encontrado em /etc/apache2/apache2.conf é"index.html index.cgi index.pl index.php index.xhtml".• ErrorDocument permite que você especifique um arquivo para o Apache usar para um evento específico deerro. Por exemplo, se um usuário solicitar um recurso que não existe, um erro 404 ocorrerá, e por padrão deRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 74

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXconfiguração do Apache, o arquivo /usr/share/apache2/error/HTTP_NOT_FOUND.html. vai será mostrado. Estearquivo não está na Raiz de Documentos do servidor, mais existe uma diretiva em /etc/apache2/apache2.confque redireciona as requisições do diretório /error para /usr/share/apache2/error/. Para ver a listagem de diretivapadrão de Documentos de Erro, use o comando: grep ErrorDocument /etc/apache2/apache2.conf• Por padrão, o servidor registra as transferências no arquivo /var/log/apache2/access.log, conforme informadono arquivo de configuração e na diretriz CustomLog,. Pode ser especificado o arquivo onde os erros serãoregistrados, através da diretriz ErrorLog, que por padrão é /var/log/apache2/error.log. Estes são mantidosseparados do log de transferência para permitir eliminação de problemas. Pode ser especificado o LogLevel (ovalor padrão é "alertar") e o LogFormat (veja o /etc/apache2/apache2.conf para o valor padrão).• Algumas opções são especificadas num esquema por diretórios. A diretiva Option é uma dessas diretivas.Uma instância de Directory é encapsulada entre tags semelhantes ao XML, como em:...A diretiva Options com uma instância de Directory aceita um ou mais dos seguintes valores:• ExecCGI - Permite execução de scripts CGI. Scripts CGI não são executados se esta opção não estiverhabilitada. Scripts CGI devem ser mantidos em diretórios separados, fora do DocumentRoot, e somente estediretório deve ter a opção ExecCGI habilitada. O local padrão para os scripts CGI é /usr/lib/cgi-bin.• Includes - Permite inclusões no lado do servidor, permitindo que um arquivo HTML inclua outros arquivos.• IncludesNOEXEC - Permite includes, mais desabilita o comandos #exec e #include nos scripts CGI• Indexes - Mostra uma lista formatada dos conteúdos dos diretórios, caso não exista um DirectoryIndex (talcomo index.html). Por motivos de segurança, não deve estar habilitado. Habilite esta opção com cuidado,somente se você tem certeza de que quer que os usuários vejam o conteúdo inteiro do diretório.• Multiview - Suporta multi-visões negociadas pelo conteúdo; esta opção é desabilitada por segurança.• SymLinksIfOwnerMatch - Segue os links simbólicos caso o arquivo seja do mesmo dono que o link.Configurações de Hosts VirtuaisHosts virtuais permitem que rode diferentes servidores para diferentes endereços IP, diferentes nomes, oudiferentes portas da mesma máquina. Por exemplo, pode rodar o website por http://www.exemplo.com.br ehttp://www.outroexemplo.com.br no mesmo servidor Web usando hosts virtuais. Esta opção corresponde àdiretiva para o virtual host padrão e virtual hosts baseados em IP. E corresponde à diretiva para um virtual host baseado em nomes. As diretivas para um host virtual somente sãoaplicadas para um host virtual em particular. Se a diretiva é setada para escopo de servidor e não definidadentro das configurações de um virtual host, as configurações padrão serão usadas. Ajuste DocumentRootpara o diretório que contém o documento raíz para o host virtual. O DocumentRoot padrão é /var/www.A diretiva ServerAdmin dentro da instância do VirtualHost armazena o email usado no rodapé da página deerros caso você escolha mostrar um rodapé com o endereço de email na página de erro.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 75

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXConfigurações do ServidorLockFile - A diretiva LockFile define o caminho do arquivo usado quando o servidor é compilado tanto comUSE_FCNTL_SERIALIZED_ACCEPT quanto com USE_FLOCK_SERIALIZED_ACCEPT.PidFile - A diretiva PidFile define o arquivo em que o servidor gravará o seu ID de processo (pid). Este arquivodeve ter permissões de leitura somente para o root. Na maioria dos casos, o valor padrão deve ser deixado.User - A diretiva User seta o UserID usado pelo servidor para responder as solicitações. Esta opção determinao acesso ao servidor. Qualquer arquivo inacessível a este usuário será também inacessível aos visitantes doseu website. O valor padrão para o User é www-data. Usando o root como User você irá criar brechas desegurança para seu ser servidor Web. A diretiva Group é similar a diretiva User. Group define o grupo que oservidor irá responder as solicitações. O grupo padrão é www-data.Módulos do ApacheO Apache é um servidor modular. Isso significa que somente as funcionalidades básicas são inclusas nonúcleo do servidor. A extensão das funcionalidades são disponibilizadas através de módulos, que podem sercarregados no Apache. Por padrão, alguns módulos básicos já estão inclusos na hora da compilação. Se oservidor for compilado para usar o carregamento dinâmico de módulos, então os módulos podem sercompilados separadamente, e adicionados à qualquer hora usando a diretiva LoadModule. Caso contrário, oApache2 precisa ser recompilado para adicionar ou remover módulos. As diretivas de configuração podem serincluídas condicionalmente, com a presença de um módulo em particular incluído num bloco . Vocêpode instalar módulos adicionais do Apache2 e usá-los com o seu servidor WEB. Você pode instalar módulosdo Apache2 usando o comando apt-get. Por exemplo, para instalar o módulo do Apache2 para autenticaçãopor MYSQL, você pode executar o seguinte comando de um prompt de terminal (linha de comando).sudo apt-get install libapache2-mod-auth-mysqlQuando você instala um módulo, ele estará disponível no diretório /etc/apache2/mods-available.Configurações HTTPSO módulo mod_ssl adiciona uma funcionalidade importante no servidor Apache2 – a habilidade de encriptarcomunicações. Portanto, quando o seu navegador se comunica utilizando encriptação SSL, o prefixo https:// éusado no começo da URL na barra de navegação do navegador. O módulo mod_ssl está disponível no pacoteapache2-common. Se você possuir este pacote instalado, você pode executar o comando a seguir de umprompt de terminal para ativar o módulo mod_ssl: sudo a2enmod sslCertificados e SegurançaPara configurar um servidor seguro, use a criptografia de chave pública para criar um par de chaves pública eprivada. Na maioria dos casos, você manda o seu pedido de certificação (incluindo a sua chave pública), umaprova da identidade da sua companhia e o pagamento para uma Autoridade de Certificados (CA). A CA verificao pedido de certificação e sua identidade, e depois manda de volta um certificado para o seu servidor seguro.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 76

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXAlternativamente, você pode criar o seu certificado auto-assinado. Note que, entretanto, o certificado autoassinadonão deve ser usando na maioria dos ambientes de produção. Certificados auto-assinados não sãoautomaticamente aceitos pelo navegador dos usuários. Os usuários são questionados pelo navegador paraaceitar o certificado e criar uma conexão segura. Assim que você tiver um certificado auto-assinado ou umcertificado assinado por um CA de sua escolha, você precisa instalá-lo no seu servidor seguro.Tipos de CertificadosVocê precisa de uma chave e um certificado para operar o seu servidor seguro, o que significa que você tantopode gerar uma certificado auto-assinado como comprar um certificado assinado por um CA. Um certificadoassinado por um CA provê duas capacidades importantes para o seu servidor:• Navegadores reconhecem o certificado e permitem uma conexão segura sem questionamentos ao usuário.• Quando um CA emite um certificado assinado, está garantindo a identidade da organização que estáprovendo as páginas da web para o navegador.SquidAtualmente, os servidores proxy deixaram de ser um simples privilégio e passaram a ser uma necessidade.Proxy e CacheUm proxy serve para basicamente uma coisa: tratar as requisições dos clientes nos protocolos suportadospor ele, seja bloqueando URL's de sites indevidos ou controlando o acesso à WWW pelos usuários.O Squid além de um servidor proxy, também integra um sistema de caching para requisições feitas àInternet. Um servidor cache é armazena informações de requisições temporariamente em disco para umavisualização mais rápida posterior.O que é o Squid?O Squid é o servidor proxy HTTP para plataformas UNIX-Like, surgiu de um projeto entre o governo americanoe a Universidade do Colorado. O Squid trabalha com os protocolos HTTP, HTTPS, FTP, Gopher e WAIS e é oproxy que possui o maior número de co-projetos.Instalando via APTPartindo do princípio que você já tenha o seu APT e seus repositórios de preferência no sources.list, vocêpode simplesmente rodar este comando.# apt-get install squidRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 77

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXO arquivo squid.confO arquivo squid.conf é o principal arquivo de configuração do Squid. Zela pela simplicidade das tags, masnão muito pelo tamanho, possuindo cerca de 2 mil linhas. Antes de mexer no arquivo, é recomendável que façaum backup do arquivo original, em caso quaisquer problemas:# cp /etc/squid/squid.conf /etc/squid/squid.conf.defaultsAlgumas das tags mais importantesUm proxy que apenas sejam configuradas estas tags ainda não é um proxy funcional.http_portPadrão: http_port 3128 - Define a porta em que o serviço Squid irá escutar por requisições.cache_memPadrão: cache_mem 8M - Este parâmetro configura a quantidade de memória utilizada para cache e objetosem trânsito, e não a quantidade de memória reservada para o Squid.cache_dirPadrão: cache_dir ufs /var/spool/squid 100 16 256 - Nesta opção são configurados os números de diretórios,subdiretórios e tamanho do cache. onde:• cache_dir - Nome da tag;• ufs - É a forma de armazenamento de cache. Existe também a opção aufs, mas que só está disponívelpara outras plataformas. Para mais informações, leia o squid.conf;• /var/spool/squid - Diretório onde o cache do Squid ficará;• 100 - Espaço em disco que o cache do Squid poderá ocupar, contado em MB;• 16 - Quantidade de diretórios que o cache do Squid possuirá;• 256 - Quantidade de subdiretórios que o cache do Squid possuirá;cache_access_logPadrão: cache_access_log /var/log/squid/access.log - Define o arquivo de log de acessos do Squid. Casoqueira saber quem acessou determinada página da internet, é através deste arquivo que descobrirá.cache_mgrPadrão: cache_mgr email - Este parâmetro tem a finalidade de especificar o e-mail do administrador do proxy.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 78

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXcache_effective_userPadrão: cache_effective_user squid - Informa ao Squid com qual nome de usuário ele deve rodar.cache_effective_groupPadrão: cache_effective_group squid - Tem a mesma função da tag acima, mas trabalhar com com o grupo.visible_hostnamePadrão: visible_hostname none - Define o hostname que fica visível nas mensagens de erro do Squidapresentadas para os clientes e caso não seja setada, o Squid não starta. Por isso coloque alguma coisaparecida com isto: visible_hostname squid.seudominio.com.brAccess Control Lists (ACL's)Uma ACL nada mais é do que a ferramenta que o Squid utiliza para especificar quem pode quem não pode, oquê pode e o que não pode.Tipos de ACL'sSrc : Endereço IP de origem. Especifica um determinado host ou uma determinada rede de origem.Dst : Endereço IP de destino. Especifica um determinado host ou uma determinada rede de destino.Dstdomain : Domínio de destino. Restringe o acesso à um determinado ou para identificar um domínio dedestino.time : Hora e dia da semana. Especifica um determinado horário.Port : Número da porta de destino, usado para especificar acesso à determinada porta de um servidor.url_regex : Compara uma string à uma URL inteira. Muito utilizado para fazer o bloqueio de sites indevidos.urlpath_regex : Tem uma função semelhante à anterior, porém procura apenas em pedaços do caminho daURL. Muito utilizado para bloquear extensões.proto: Especifica um protocolo de transferência.proxy_auth: Somente utilizada caso esteja utilizando autenticação. Serve para especificar nomes de usuários.Definindo ACL'sDentro do arquivo de configuração do Squid, o squid.conf, encontra-se uma área que é ideal para declararas ACL's, onde começam a ser definidas, facilmente identificada. Para declarar ACL's, a sintaxe básica:acl |""Um exemplo prático de ACL:acl palavra_proibida url_regex -i sexoA ACL acima bloqueia todos os sites que contenham em seu endereço a palavra "sexo".A tag http_accessÉ inútil o uso de ACL's sem o uso da tag http_access. Esta trava ou libera o que a ACL está estipulando.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 79

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosExemplo:http_access deny proibidoCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXSe nós considerarmos o conjunto ACL + http_access, ficaria:acl proibido url_regex -i sexohttp_access deny proibidoO que o conjunto acima proibi qualquer site que possua em seu endereço a palavra "sexo".Ordem das ACL's• 1 - O Squid vai ler todas as ACL's e testar se todas as ACL's declaradas possuem uma sintaxe corretae se elas estão sendo referenciadas por algum http_access;• 2 - Depois disso, se ele iniciar normalmente, irá começar a testar todas as requisições que são feitas etentar casar as mesmas com as regras que as ACL's estipulam em conjunto com os http_access;• 3 - Caso uma URL case com uma ACL, ele ignorará todas as outras ACL's para aquela requisição.Uma outra maneira mais prática de tentar implementar isso é fazer da seguinte maneira:• 1 - Coloque as ACL's que estipulam uma exceção à alguma regra de bloqueio que virá à seguir;• 2 - Depois coloque as suas ACL's que vão bloquear sites e tudo o mais;• 3 - Só então você coloca as suas ACL's liberando o acesso.CasosAlguns casos e alguns modos principais para configurar o Squid.Habilitando o SquidPara botar o Squid para rodar, basta encontrar a linha: http_access deny allPara: http_access allow allE depois reinicie o serviço: # /etc/init.d/squid restartRestringindo o acesso ao SquidQuando encontrar a linha http_access allow all, ela vai estar liberando acesso à todos os hosts, já que aACL "all" está especificando todos os hosts. Para arrumar isto, você deve encontrar e comentar as linhas:acl all src 0.0.0.0/0.0.0.0Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 80

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas Distribuídoshttp_access allow allCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXAgora crie uma nova ACL do tipo "src", especificando a rede interna:acl redeinterna src 192.168.0.0/24Agora autorize a ACL que acabou de criar por meio de um http_access:http_access allow redeinternaComo visto acima, estamos somente permitindo o uso ao proxy pela rede interna. Agora, caso queiraespecificar uma range de IP's, faça assim:acl faixa_adm src 192.168.0.10-192.168.0.50http_access allow faixa_admBloqueando sites indevidos no proxyO tipo de ACL url_regex serve para comparar termos dentro de uma URL para saber se esta palavra estáou não liberada e se os usuários vão ou não, visualizar a página. Utilizado para bloquear sites, Exemplo:Adicione a seguinte ACL: acl palavra url_regex -i sexAgora bloqueie o acesso com o http_access: http_access deny palavraCom este exemplo, todos os sites que possuam a palavra "sex" não serão visualizados pelos usuários. Oparâmetro "-i" serve para que o Squid não distingua entre maiúsculas ou minúsculas. Porém neste momentovocê deve estar pensando que não é prático definir uma ACL para cada palavra que você deseje bloquear. Erealmente não é. Por isso nós vamos declarar listas inteiras de palavras negadas. Eis o exemplo:Primeiro nós vamos criar o arquivo texto que nos vai servir como lista de palavras bloqueadas e damos àela permissões de leitura:# touch /etc/squid/lists/blocked# chmod 755 /etc/squid/lists/blockedNele insira todas as palavras proibidas. Lembre-se que você deve adicionar uma palavra por linha.Após isto, nós criamos a ACL da seguinte maneira: acl blocked url_regex -i "/etc/squid/lists/blocked"E bloqueamos o acesso com o http_access: http_access deny blockedFeito isto, todos os sites que contém em seu endereço palavras como "sex", "sexo", "sexologia" serãobloqueados, porém nem todos os sites que contém a palavra "sex" é um site pornográfico. Para distinguir ossites que podem ser liberados dos que não podem, crie uma outra lista para as exceções como "sexologia".Vamos seguir o mesmo procedimento. Criamos uma lista também para as palavras não bloqueadas.# touch /etc/squid/lists/unblockedRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 81

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX# chmod 755 /etc/squid/lists/unblockedNesta lista coloque todos os sites que são exceções à regra, como "www.sexologia.org", um site por linha,ou palavras somente. Depois junte as duas ACL's em um único http_access, desta maneira:http_access deny blocked !unblockedNote a utilização do sinal de exclamação, significando uma inversão no sentido da regra. Pronto, oprocedimento está feito. Agora tudo o que você deve fazer é reiniciar o serviço do Squid:# /etc/init.d/squid restartRestringindo o horário de acessoAqui é o controle que pode ser criado para controle por horário. Para fazer isto, deve ser feito o uso da ACLdo tipo time. Exemplo:acl horariopermitido time MTWHF 08:00-18:00http_access deny !horariopermitidoO sinal de exclamação inverte o sentido da regra, negando o uso do proxy em todos os horários, COMEXCESSÃO do horário especificado na ACL horário permitido. As letras "MTWHF" na frente da ACL,especificam os dias da semana conforme esta tabela: S - Sunday (Domingo), M - Monday (Segunda), T -Tuesday (Terça), W - Wednesday (Quarta), H - Thursday (Quinta), F - Friday (Sexta), A - Saturday (Sábado).O chefe...O seu chefe adora proibir as coisas para os usuários mortais, mas ele quer ter o controle completo. Paracontornar a situação, faça o seguinte: acl chefidap src 192.168.1.23E permitir a lista de palavras negadas para ele, assim: http_access allow blocked chefidapUma outra maneira de se fazer ambos os bloqueios é definir o IP/login do seu chefe em uma ACL e na horaem que for declarar o http_access, definir acima das ACL's de bloqueio, assim:http_access allow chefidaphttp_access deny blocked !unblockedSó site liberadoAo invés de especificar os sites negados, especifique o site que vai poder acessar. Primeiramente,especifique os sites que irão poder acessar: acl bancos url_regex -i "/etc/squid/lists/bancos"Adicione os endereços dos bancos na lista e especifique também o IP do computador do usuário:acl peao src 192.168.1.24Então junte os dois em um único http_access, desta maneira: http_access deny !bancos peaoRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 82

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXInterpretando a regra, fica: Vamos bloquear todos os sites, COM EXCESSÃO DOS SITESESPECIFICADOS NA LISTA DE BANCOS para o IP 192.168.1.24.Bloqueando MSNBem, aqui está um problema pelo qual alguns administradores possam ter dificuldades. O MSN a partir daversão 6.x (in)felizmente passou a fazer conexões utilizando tunneling por http. Ou seja: Ele se conecta pelaporta 80 também! O bloqueio do Squid é simples de ser feito, bastando adicionar o termo "gateway.dll" na sualista de palavras negadas.Bloqueando extensões e downloads de determinadosVocê pode bloquear extensões que os usuários baixam no computador por meio de HTTP ou de FTP e dequaisquer outros protocolos que o Squid suporte, fazendo os seguintes passos:Primeiramente, você deve criar a velha listinha e setar as permissões corretas:# touch /etc/squid/lists/extensoes# chmod 755 /etc/squid/lists/extensoesFeito isto, deve escrever as extensões que deseja bloquear da seguinte maneira no arquivo:\.mp3$\.wav$\.pif$\.bat$NOTA: O "\" é um eliminador de metacaracteres e serve para cancelar a função do ".". Já o "$" serve paraque seja analizado até o final de string. Agora vamos adicionar a ACL no Squid que vai bloquear as extensõesefetivamente, juntamente com o seu http_access:acl extensoes urlpath_regex -i "/etc/squid/lists/extensoes"http_access deny extensoesNote que ao invés do url_regex, eu utilizei o urlpath_regex.Segurança em um servidor SquidTodo servidor, independente de plataforma ou serviço que executa, precisa de certas configurações desegurança, para não sofrer ataques. Os principais erros de segurança na configuração do Squid:Erro I: Definição de relay do servidor SquidAssim como a maioria dos servidores, o Squid também possui suas configurações de relay. Entenda porrelay o "lado para qual o servidor está rodando, se é para a internet ou para a rede interna". Claro que éRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 83

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXinteressante que monte um servidor para a sua rede interna. Sendo assim, deveria se preocupar com o relaydo servidor Squid, pois geralmente os usuários costumam disfarçar seus IP's utilizando servidores proxyabertos pela Internet, prática conhecida como IP Spoofing. Você pode detectar se existe alguém utilizando oseu proxy de duas maneiras: A primeira é deixar o seu servidor rodando e tirar o log de 1 dia.. Com certezaalgo aparecerá, seja um endereço IP que não é da rede interna ou um endereço de host totalmente nada a ver.A segunda é monitorar a ações do seu proxy com o "tail", em tempo real. Por outro lado, temos também duasmaneiras de resolver este problema.1ª Maneira: http_portVocê pode editar esta tag para que o Squid só escute requisições vindas da rede interna, desta maneira:Troque o valor-padrão da tag:http_port 3128Para:http_port 192.168.1.1:3128Se você resolver por aqui, o seu problema com relay morreu. Eu prefiro esta maneira por ser mais prática epor não ter que ficar mexendo com ACL's e se algum dia um abelhudo passar um portscanner na sua máquina,como o nmap, ele não irá apresentar o serviço Squid rodando.2ª Maneira: acl all src 192.168.0.0/24Você pode permitir o http_port como mencionado acima, mas deverá definir a sua rede interna quando forutilizar as suas ACL's, desta maneira:Troque a ACL all de: acl all src 0.0.0.0/0Para: acl all src 192.168.0.0/24 (O Squid somente irá permitir conexões vindas da rede interna.)Erro II: http_access deny allColoque esta linha no final das declarações das suas ACL's. O motivo disto é que se o Squid não encontrauma ocasião pela qual encaixar uma ACL, ele simplesmente libera a sua utilização.Erro III: UsuáriosGeralmente usuários removem as configurações de proxy do navegador para navegarem sem restrições esomente pelo NAT ou procuram por proxies abertos na Internet e configuram os navegadores para utilizaremestes endereços ou ainda vão em páginas como o "anonymizer" ou similares e navegam por lá. Por isto, éimportante bloquear de tais páginas.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 84

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXErro IV - Proxy Transparente sem ser no gateway da redeTambém é comum receber e-mails de pessoas perguntando como fazer isso. Não é uma idéia muitosegura, a menos que você possua uma DMZ. Isso porque os usuários podem alterar as configurações de redee fazer com que o gateway da rede aponte para o roteador final, fazendo um caminho alternativo para ospacotes e fazendo com que os mesmos não passem pelo servidor Squid.Criando um script de relatório simplesPara a criação de um shell-script que gere o relatório que pegue as últimas requisições negadas pelo proxy,devemos criar um arquivo em branco:# touch /usr/bin/squidreportCom o conteúdo abaixo: #!/bin/bashcat /var/log/squid.log | grep DENIED | tail -n 60 | mail rootMude as permissões do arquivo para: # chmod 700 relatoriosquid.shE agende o relatório para ser gerado dentro do CRON, com a seguinte linha:# crontab -e30 21 * * * squidreportPronto! Todos os dias às nove e meia da noite, será gerado o relatório de acessos negados pelo Squid eeles vão estar dentro da caixa de e-mails do administrador do sistema.NFSO que é NFS?O Network File System (NFS) foi desenvolvido para permitir que se possam montar partições ou diretóriosremotos como se fosse um disco local, garantindo especificar diferentes permissões de acesso a cada clientede acesso ao compartilhamento.ServidorInstalação# apt-get install nfs-user-server nfs-common statd portmapConfigurando o Servidor NFSPara começar a configurar o serviço, deve entrar no sistema como root e criar um diretório /Compartilhado,como default desse documento, ou se preferir escolha outro local ou outro nome de diretório a sercompartilhado. Editar o arquivo /etc/exports para definir a pasta a ser compartilhada e permissões de acesso. Alinha abaixo, por exemplo, dá acesso diretório "Compartilhado" para o IP 192.168.0.2 com direitos de leitura,escrita e execução./Compartilhado 192.168.0.2/255.255.255.0(rw,no_root_squash,sync)Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 85

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXOnde:rw (escrita e leitura), no_root_squash (privilégios de superusuário), sync (não permite que o servidor respondaa pedidos antes que as alterações feitas pelo pedido sejam salvas no disco.)O padrão de construção da linha de permissões de acesso ao compartilhamento, está abaixo:Diretório host1(opção11, opção12) host2(opção21, opção22)Diretório: Diretório a ser compartilhado (ex. /home/fabio/).HostN: IP do pc cliente do compartilhamento.OpçãoXY: Permissões de acesso ao compartilhamentoEditar o arquivo /etc/hosts.deny para definir a segurança do compartilhamento. nserir as seguintes linhas:portmap: ALLlockd: ALLmountd: ALLrquotad: ALLEditar o arquivo /etc/hosts.allow para definir o IP ou faixa de IPs que poderão "concorrer" aoscompartilhamentos, ou seja, especifica quem terá acesso a cada serviço. Inserir as seguintes linhas parapermitir que toda a rede 192.168.0.0/24 tenha direito serviços especificados.portmap: 192.168.0.0/24lockd: 192.168.0.0/24rquotad: 192.168.0.0/24mountd: 192.168.0.0/24statd: 192.168.0.0/24No exemplo é especificado uma faixa de IPs, mas pode definir os hosts separadamente dentro do padrãoabaixo:serviço: host1, host2, host3, hostXExecutar os seguintes comandos:/etc/init.d/portmap restart/etc/init.d/nfs-user-server restart/etc/init.d/nfs-common restartrpc.montdrpc.nfsdrpc.statdrpc.lockdRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 86

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXClienteInstalação# apt-get install nfs-common statd portmapEditar o arquivo /etc/hosts.deny para definir a segurança do compartilhamento. Inserir as seguintes linhas:portmap: ALLlockd: ALLmountd: ALLrquotad: ALLExecutar os seguintes comandos:/etc/init.d/portmap restartrpc.statdrpc.lockdmount -t nfs 192.168.1.115(end do servidor):/Compartilhado /diretorio/localSe você acha muito incômodo ter que repetir essa linha de comando enorme, adicione essa linha ao fstab:: /Compartilhado /diretorio/local nfs defaults,noauto 0 0Feito isso a montagem fica bem mais simples, basta digitar:# mount /diretorio/localSshO SSH permite administrar máquinas remotamente, permite transferir arquivos de várias formas diferentes e,como se não bastasse, permite também encapsular outros protocolos. A grande vantagem do SSH sobreoutras ferramentas de acesso remoto é a grande ênfase na segurança. Um servidor SSH bem configurado évirtualmente impenetrável. O SSH é dividido em dois módulos. O sshd é o módulo servidor, um serviço que ficaresidente na máquina que será acessada, enquanto o ssh é o módulo cliente, um utilitário que você utiliza paraacessá-lo. No Debian, ambos são instalados através do pacote "ssh".InstalaçãoO padrão do Debian é já trazer o ssh instalado. Caso seja necessário instalar, use:#apt-get install sshIniciando o servidor ssh. Com o pacote instalado, você inicia o servidor usando o comando:/etc/init.d/ssh startPara que ele seja inicializado durante o boot, use o comando: update-rc.d -f ssh defaultsA configuração do servidor, vai no arquivo /etc/ssh/sshd_config, enquanto a configuração do cliente vai no/etc/ssh/ssh_config. Note que muda apenas um "d" entre os dois. No Debian o servidor só funcionará se oarquivo sshd_not_to_be_run, presente em /etc/ssh for renomeado ou excluído. Renomeando o arquivo:mv /etc/ssh/sshd_not_to_be_run /etc/sshd_not_to_be_run.oldRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 87

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXConfiguração do servidorO SSH tem dois protocolos de autenticação:• protocolo SSH versão 1:– métodos de autenticação disponíveis:* RSAAuthentication: autenticação de usuário baseado em chave de identidadeRSA* RhostsAuthentication: autenticação de máquina baseado em .rhosts (inseguro, desabilitado)* RhostsRSAAuthentication: autenticação .rhosts combinada com chave de máquina RSA* ChallengeResponseAuthentication: autenticação pergunta-resposta RSA* PasswordAuthentication: autenticação baseada em senha• protocolo SSH versão 2:– métodos de autenticação disponíveis:* PubkeyAuthentication: autenticação de usuário baseado em chave pública* HostbasedAuthentication: autenticação .rhosts ou /etc/hosts.equiv combinado com autenticação dechave pública de máquina cliente (desabilitado)* ChallengeResponseAuthentication: autenticação pergunta-resposta* PasswordAuthentication: autenticação baseada em senhaVocê pode configurar várias opções relacionadas ao servidor SSH, incluindo a porta TCP a ser usada editandoo arquivo "/etc/ssh/sshd_config". A maior parte das opções dentro do arquivo podem ser omitidas, pois oservidor simplesmente utiliza valores padrão para as opções que não constarem no arquivo.- Porta: Uma das primeiras linhas é a: Port 22Esta é a porta que será usada pelo servidor SSH. O padrão é usar a porta 22. Ao mudar a porta do servidoraqui, você deverá usar a opção "-p" ao conectar a partir dos clientes, para indicar a porta usada, como em:# ssh -p 2222 usuario@IP.DO.SERVIDOR.SSHOutra opção é editar o arquivo "/etc/ssh/ssh_config" (nos clientes) e alterar a porta padrão. Mudar a portapadrão do SSH é uma boa idéia se você está preocupado com a segurança. Muitos dos ataques "casuais",quando não existe um alvo definido, começam com um portscan genérico, feito em faixas inteiras de endereçosIP, mas apenas em algumas portas conhecidas, como a 21, 22 e 80. A partir daí, os ataques vão sendorefinados e direcionados apenas para os servidores vulneráveis encontrados na primeira varredura. Colocarseu servidor numa porta mais escondida, já dificulta um pouco as coisas.Controle de acesso: Logo abaixo vem a opção "ListenAddress", que permite limitar o SSH a uma única placade rede (mesmo sem usar firewall), em casos de micros com duas ou mais placas. O típico caso onde vocêquer que o SSH fique acessível apenas na rede local, mas não na internet, por exemplo. Digamos que oRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 88

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXservidor use o endereço "192.168.0.1" na rede local e você quer que o servidor SSH não fique disponível naInternet. adicionaria a linha: ListenAddress 192.168.0.1Note que especificamos nesta opção o próprio IP do servidor na interface escolhida, não a faixa de IP's da redelocal ou os endereços que terão acesso a ele.Protocolo: Atualmente utilizamos o SSH 2, mas ainda existem alguns poucos clientes que utilizam a primeiraversão do protocolo. Por padrão, o servidor SSH aceita conexões de clientes que utilizam qualquer um dos doisprotocolos, o que é indicado na linha: Protocol 2,1O protocolo SSH 1 tem alguns problemas fundamentais de segurança, por isso alguns administradorespreferem desabilitar a compatibilidade com ele, aceitando apenas clientes que usam o SSH 2. Neste caso, alinha fica apenas "Protocol 2"- Usuários e senhas: Outra opção interessante, logo abaixo é a: PermitRootLogin yesEsta opção determina se o servidor aceitará que usuários se loguem como root. Do ponto de vista dasegurança, é melhor deixar esta opção como "no", pois assim o usuário precisará primeiro se logar usando umlogin normal e depois virar root usando o "su" ou "su -". Por padrão, o SSH permite que qualquer usuáriocadastrado no sistema logue-se remotamente, mas você pode refinar isso através da opção "AllowUsers", queespecifica uma lista de usuários que podem usar o SSH. Quem não estiver na lista, continua usando o sistemalocalmente, mas não consegue se logar via SSH. Isso evita que contas com senhas fracas, usadas porusuários que não tem necessidade de acessar o servidor remotamente coloquem a segurança do sistema emrisco. Para permitir que apenas os usuários tico e teco possam usar o SSH, adicione a linha: AllowUsers ticoteco. Você pode ainda inverter a lógica, usando a opção "DenyUsers". Neste caso, todos os usuárioscadastrados no sistema podem fazer login, com exceção dos especificados na linha, como em:DenyUsers joaquim ricardaoOutra opção relacionada à segurança é a: PermitEmptyPasswords noEsta opção faz com que qualquer conta sem senha fique automaticamente desativada no SSH, evitando quealguém consiga se conectar ao servidor "por acaso" ao descobrir a conta desprotegida. Lembre-se que a senhaé justamente o ponto fraco do SSH. De nada adianta usar 2048 bits de encriptação se o usuário escreve asenha num post-it colado no monitor, ou deixa a senha em branco.- Banner: Alguns servidores exibem mensagens de advertência antes do prompt de login, avisando que todasas tentativas de acesso estão sendo monitoradas ou coisas do gênero. A mensagem é especificada através daopção "Banner", onde você indica um arquivo de texto com o conteúdo a ser mostrado, como em:Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 89

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosBanner = /etc/ssh/banner.txtCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX- X11 Forwarding: Um pouco depois temos a opção:X11Forwarding yesEsta opção determina se o servidor permitirá que os clientes executem aplicativos gráficos remotamente. Se oservidor será acessado via internet ou se possui um link lento, você pode deixar esta opção como "no" paraeconomizar banda. Desta forma, os clientes poderão executar apenas comandos e aplicativos de modo texto.- Módulos: O SSH inclui um módulo de transferência de arquivos (o SFTP). Ele é ativado através da linha:Subsystem sftp /usr/lib/sftp-serverÉ realmente necessário que esta linha esteja presente para que o SFTP funcione. Comente esta linha apenasse você realmente quiser desativá-lo.Para que as alterações entrem em vigor, reinicie o servidor SSH:# /etc/init.d/ssh restartTransferindo arquivosAlém de permitir rodar aplicativos e fazer toda a administração de um servidor remotamente, o ssh tambémpode ser usado para transferir arquivos. Uma forma primitiva de transferir arquivos via SSH é usar o "scp", quepermite especificar numa única linha o login e endereço do servidor, junto com o arquivo que será transferido.Graças a isso, ele é muito usado em scripts. A sintaxe do scp é:scp arquivo_local login@servidor:pasta_remotacomo em:$ scp /home/arquivo.tar usuario@empresa.com.br:/var/www/downloadVocê pode adicionar também as opções "-p" (que preserva as permissões de acesso além das datas decriação e modificação do arquivo original), "-r" (que permite copiar pastas, recursivamente), "-v" (verbose, ondesão mostradas todas as mensagens) e "-C" (que ativa a compressão dos dados, ajuda muito na hora detransferir grandes arquivos via internet). Neste caso o comando ficaria:$ scp -prvC /home/arquivo.tar usuario@empresa.com.br:/var/www/downloadAo incluir a opção "-r", você pode especificar diretamente uma pasta no primeiro parâmetro.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 90

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXOutra forma mais básica de fazer isso é usar o sftp, um comando que faz parte do pacote padrão. Ele ofereceuma interface similar à dos antigos programas de FTP de modo texto, mas todos os arquivos transferidosatravés dele trafegam através de um túnel encriptado, criado através do SSH. Na prática, temos uma espéciede VPN temporária, criada no momento em que é efetuada a conexão. A melhor parte é que o próprio SSHcuida de tudo, não é necessário instalar nenhum programa adicional. Para se conectar a um servidor usando osftp, o comando é: $ sftp usuario@IP.DO.SERVIDOR.SSHSe o servidor ssh na outra ponta estiver configurado para escutar numa porta diferente da 22, é preciso indicara porta no comando, incluindo o parâmetro -o port=, como em:$ sftp -o port=22 usuario@IP.DO.SERVIDOR.SSHA partir daí você tem um prompt do sftp. Use o comando "put" para dar upload de um arquivo e "get" parabaixar um arquivo do servidor para a pasta local. Para navegar entre as pastas do servidor, use os comandos"cd pasta/" (para acessar a pasta), "cd .." (para subir um diretório), "ls" (para listar os arquivos) e "pwd" (paraver em qual diretório está). Exemplo:user@athenas:~$ sftp -o port=2222 usuario@IP.DO.SERVIDOR.SSHConnecting to XX.XX.XX.XX...Password:sftp> lsDesktop Meu Computador OpenOffice.org1.1.1a bkp060901sftp> get bkp060901Fetching /home/user/bkp060901 to bkp060901/home/user/bkp060901 100% 825KB 825.1KB/s 00:01sftp> put RealPlayer10GOLD.binUploading RealPlayer10GOLD.bin to /home/user/RealPlayer10GOLD.binRealPlayer10GOLD.bin 100% 6726KB 3.3MB/s 00:02sftp> pwdRemote working directory: /home/userExistem ainda os comandos:lcdllslmkdirlpwd#(local cd)#(local ls)#(local mkdir)#(local pwd)Por exemplo, digamos que você está atualmente no diretório /mnt/arquivos. Ao abrir a conexão via sftp, tudoque você baixar será colocado automaticamente neste diretório. Mas, digamos que você queira baixar umdeterminado arquivo para o diretório /home/tico. Você usaria então o comandolcd /home/ticoRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 91

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXpara mudar o diretório local e depois o get arquivo para baixá-lo já na pasta correta. Na hora de dar upload deum arquivo é a mesma coisa. Você pode usar o "lpwd" para listar os arquivos no diretório local e depois o "putarquivo" para dar upload.TelnetO serviço telnet é oferece o login remoto em seu computador, que permite trabalhar conectado a distânciacomo se estivesse em frente a ele. Ele substitui o rlogin e possui muitas melhorias em relação a ele, como ocontrole de acesso, personalização de seção e controle de terminal. Atualmente possui tanto a versão original(insegura), quanto uma versão mais segura com suporte a ssl.Pacotes:telnet Cliente telnet com suporte a autenticação.telnetd Servidor telnet com suporte a autenticação.telnet-ssl Cliente telnet com suporte a autenticação e ssl. Também suporta conexão a servidores telnet padrãoquando o servidor não suporta ssl. Por padrão é tentada a conexão usando ssl, se esta falhar será assumida atransmissão em texto plano.Telnetd-ssl Servidor telnet com suporte a autenticação e ssl. Também suporta conexão de clientes telnetpadrão (sem suporte a ssl).Utilitários:in.telnetd Servidor telnettelnet Cliente telnet padrão (quando o pacote telnetssl está instalado, é simplesmente um link para telnetssl).telnet-ssl Cliente telnet com suporte a ssl.Instalaçãoapt-get install telnet telnetdouapt-get install telnet-ssl telnetd-sslOs pacotes com o ssl no final possuem suporte a criptografia ssl. Por padrão a porta usada para executar oserviço telnet é a 23 (ou outro número de porta definido no /etc/services). A instalação do servidor telnet é feitavia inetd (no arquivo /etc/inetd.conf) e o controle de acesso ao serviço é feito através dos arquivos/etc/hosts.allow e /etc/hosts.deny. O servidor tem o nome in.telnetd e este deverá ser usado para ajustar ocontrole de acesso nos arquivos acima.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 92

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXIniciando o servidor/reiniciando/recarregando a configuraçãoO arquivo que controla o funcionamento do servidor telnet é o /etc/inetd.conf e o controle de acesso sendo feitopelos arquivos /etc/hosts.allow e /etc/hosts.deny. Será necessário reiniciar o servidor inetd caso algum destestrês arquivos seja modificado:killall HUP inetdA porta de operação padrão é a 23 e pode ser modificada no arquivo /etc/services.Opções de linha de comando do servidor telnetd:-D nível_de_depuração Permite especificar o que será registrado pelo servidordurante a conexão dos clientes telnet. As seguintes opções são suportadas:options Mostra detalhes sobre a negociação das opções de conexão.report Mostra detalhe de opções e o que está sendo feito.netdata Mostra os dados transferidos na conexão telnetd.ptydata Mostra os dados mostrados na pty.-edebug Ativa a depuração do código de criptografia apenas para o servidor telnet com suporte a ssl.-h Somente mostra os detalhes de configuração do seu PC após o usuário fornecer um nome/senha válidos.-L [programa] Utiliza o programa especificado para fazer o login do usuário(/usr/sbin/telnetlogin é o padrão).-n Não envia pacotes keep alive para verificar o estado da conexão. Desativando esta opção poderá fazer oservidor ficar rodando constantemente caso aconteça algum problema e o usuário não consiga se desconectarnormalmente.-S TOS Ajusta o tipo de serviço usado na conexão para o valor especificado.Estas opções deverão ser especificadas após o servidor in.telnetd no arquivo/etc/inetd.conf.Fazendo conexões ao servidor telnetUse o comando:telnet [endereço] [porta]para realizar conexões com uma máquina rodando o servidor telnet.Adicionalmente as seguintes opções podem ser usadas:-l [usuario] Envia o nome de usuário ao computador remoto. Muito útil com o telnetssl.-E Desativa o caracter de escapeRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 93

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX-a Tenta fazer o login automático usando o nome de usuário local. Se o login falhar, será solicitado o nome deusuário. Esta opção é usada por padrão com o cliente telnetssl.-r Emula o comportamento do programa rlogin.Exemplo:# Conecta-se ao servidor telnet rodando na porta 23 de sua própria máquinatelnet localhost# Conecta-se ao servidor telnet 200.200.200.200 operando na porta 53454 usando o# nome de usuário johntelnet –l john 200.200.200.200 53454Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 94

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXInstalação de Servidor de e-mail (usando post-fix)# apt-get install postfix# apt-get install postfix-ldap# apt-get install postfix-mysql# apt-get install postfix-pgsqlPassos de Configuração:I. A primeira pergunta é sobre a função do servidor de e-mails.a. "Internet Site", cria um servidor que envia e recebe os e-mails diretamente.b. "with smarthost", servidor recebe mensagens, mas o envio fica a cargo de outra máquina.c. "Satellite system", servidor envia através de outra máquina e não recebe mensagens.d. "Local only" é usada apenas em redes de terminais leves,permite apenas que os usuários logados noservidor troquem e-mails entre si.II. Defina a conta do Administrador do Sistema de e-mailIII. Insira o Domíno Registrado (neste caso use gerds+bancada.utp.br)IV. Definir os destinos que serão aceitos pelo servidor, ou seja, os endereços que colocados no destinatário damensagem fazem ele entender que o e-mail é para ele. Use o nome da máquina, o domínio registrado,"localhost.localdomain" e "localhost", todos separados por vírgula e espaço.V. A opção "synchronous updates" permite desativar as otimizações no envio das mensagens, fazendo com que ose-mails sejam enviados conforme são recebidos e em ordem.Depois de concluída a instalação, o servidor já estará iniciado e configurado para subir automaticamente durante o boot.Testando:$ telnet seuip 25Trying seuipConnected to seuipEscape character is '^]'.220 debian ESMTP Postfix (Debian/GNU)HELO smtp.eu.com250 debianMAIL From: eu@eu-mesmo.com250 OkRCPT to: joao@localhost250 OkDATA354 End data with .Vai ver se estou na esquina!.250 Ok: queued as 8CEDB2215QUIT221 ByeConnection closed by foreign host.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 95

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXInstalando um Cliente em modo textoapt-get install muttInstalando suportesExistem vários servidores pop3, como o Cyrus e o Courier. O Courier é o mais usado, poisinclui vários componentes adicionais. Ele é, na verdade, uma suíte, que inclui até mesmo umwebmail.# apt-get install courier-pop# apt-get install courier-pop-ssl# apt-get install courier-imap# apt-get install courier-imap-sslCadastro de Usuário# adduser usuarioConfigurando o /etc/postfix/main.cf# /etc/postfix/main.cfmyhostname = gerds(+bancada).utp.brmydomain = gerds.utp.brappend_dot_mydomain = noalias_maps = hash:/etc/aliasesalias_database = hash:/etc/aliasesmyorigin = /etc/mailnamemydestination = etch.gerds.utp.br, gerds.utp.br, localhostrelayhost =mynetworks = 10.10.10.0/24home_mailbox = Maildir/mailbox_command =recipient_delimiter = +inet_interfaces = allinet_protocols = allmessage_size_limit = 20000000mailbox_size_limit = 0Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 96

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXUniversidade Tuiuti do Paraná –UTPFaculdade de Ciências Exatas e de TecnologiaCursos de ComputaçãoGrupo de Estudos de Redes de Computadores e Sistemas DistribuídosAULA PRÁTICAProfessores:Marcelo Soares FariasRoberto Néia AmaralRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 97

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXCuritiba, 2008HTTPD - Servidor Web Apache2InstalaçãoO servidor web Apache2 está disponível no Ubuntu Linux. Para instalar o Apache2:# sudo apt-get install apache2#Configuraçãosudo cp /etc/apache2/sites-available/defaultCampos:• ServerAdmin especifica o endereço de email a ser anunciado.• Listen especifica a porta, e opcionalmente o endereço IP, na qual o Apache2 irá escutar.• ServerName especifica qual a FQDN seu site deverá responder.• DocumentRoot especifica o local do s arquivos padrão que formam o site.Configuração PadrãoEsta seção explica a configuração das definições padrão do servidor Apache2.• DirectoryIndex é a página padrão do servidor quando o usuário requisita um índice de um diretório.• ErrorDocument permite que especifique um arquivo para o Apache usar para um evento específico de erro.• ExecCGI - Permite execução de scripts CGI.• Includes - Permite inclusões no lado do servidor, permitindo que um arquivo HTML inclua outros arquivos.• IncludesNOEXEC - Permite includes, mais desabilita o comandos #exec e #include nos scripts CGI• Indexes - Mostra uma lista formatada dos conteúdos dos diretórios.• Multiview - Suporta multi-visões negociadas pelo conteúdo; esta opção é desabilitada por segurança.• SymLinksIfOwnerMatch - Segue os links simbólicos caso o arquivo seja do mesmo dono que o link.Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 98

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXSquidInstalando via APT# apt-get install squidO arquivo squid.confAntes de mexer no arquivo faça um backup do arquivo original: # cp /etc/squid/squid.conf/etc/squid/squid.conf.defaultsAlgumas das tags mais importantesUm proxy que apenas sejam configuradas estas tags ainda não é um proxy funcional.http_port Padrão: http_port 3128 - Define a porta em que o serviço Squid irá escutar por requisições.cache_mem Padrão: 8M - Quantidade de memória utilizada para cache e objetos em trânsito.cache_dir Padrão: cache_dir ufs /var/spool/squid 100 16 256• cache_dir - Nome da tag;• ufs - É a forma de armazenamento de cache.• /var/spool/squid - Diretório onde o cache do Squid ficará;• 100 - Espaço em disco que o cache do Squid poderá ocupar, contado em MB;• 16 - Quantidade de diretórios que o cache do Squid possuirá;• 256 - Quantidade de subdiretórios que o cache do Squid possuirá;cache_access_logPadrão: cache_access_log /var/log/squid/access.log - Define o arquivo de log de acessos do Squidcache_mgrPadrão: cache_mgr email - Este parâmetro tem a finalidade de especificar o e-mail do administrador do proxy.cache_effective_userPadrão: cache_effective_user squid - Informa ao Squid com qual nome de usuário ele deve rodar.cache_effective_groupPadrão: cache_effective_group squid - Tem a mesma função da tag acima, mas trabalhar com com o grupo.visible_hostnamePadrão: visible_hostname none - Define o hostname que fica visível nas mensagens de erro do Squidapresentadas para os clientes e,caso não seja setada, o Squid não starta. Por isso coloque alguma coisaparecida com isto: visible_hostname squid.seudominio.com.brRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 99

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXAccess Control Lists (ACL's)Uma ACL nada mais é do que a ferramenta que o Squid utiliza para especificar quem pode quem não pode, oquê pode e o que não pode.Tipos de ACL'sSrc : Endereço IP de origem. Especifica um determinado host ou uma determinada rede de origem.Dst : Endereço IP de destino. Especifica um determinado host ou uma determinada rede de destino.Dstdomain : Domínio de destino. Restringe o acesso ou para identificar um domínio de destino.time : Hora e dia da semana. Especifica um determinado horário.Port : Número da porta de destino, usado para especificar acesso à determinada porta de um servidor.url_regex : Compara uma string à uma URL inteira. Muito utilizado para fazer o bloqueio de sites indevidos.urlpath_regex : Tem uma função semelhante à anterior, porém procura apenas em pedaços do caminho daURL. Muito utilizado para bloquear extensões.proto: Especifica um protocolo de transferência.proxy_auth: Somente utilizada caso esteja utilizando autenticação. Serve para especificar nomes de usuários.Definindo ACL'sEm squid.conf, declarar ACL's, a sintaxe básica:acl |""Um exemplo prático de ACL: acl palavra_proibida url_regex -i sexoA tag http_accessÉ inútil o uso de ACL's sem o uso da tag http_access. Esta trava ou libera o que a ACL está estipulando.Exemplo: http_access deny proibidoExemplo:acl proibido url_regex -i sexohttp_access deny proibidoOrdem das ACL's• 1 - O Squid vai ler todas as ACL's e testar se possuem uma sintaxe correta;• 2 - Testa todas as requisições que são feitas e casa com as regras;• 3 - Caso uma URL case com uma ACL, ele ignorará todas as outras ACL's para aquela requisição.Uma outra maneira mais prática de tentar implementar isso é fazer da seguinte maneira:• 1 - Coloque as ACL's que estipulam uma exceção à alguma regra de bloqueio que virá à seguir;• 2 - Depois coloque as suas ACL's que vão bloquear sites e tudo o mais;• 3 - Só então você coloca as suas ACL's liberando o acesso.Habilitando o SquidPara botar o Squid para rodar, basta encontrar a linha: http_access deny allPara: http_access allow all / E depois reinicie o serviço: # /etc/init.d/squid restartnetfilterAs tabelas do iptables são:• filter: é a tabela padrão, sobre a qual podemos nos referir a três correntes de regras, ou chains:Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 100

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUX• INPUT, pacotes que entram na interface;• OUTPUT, pacotes que saem da interface• FORWARD, pacotes que estão sendo roteados de uma interface para outra;• nat: esta tabela se refere ao uso do recurso de Network Address Translation ou NAT, na qual podemosnos referir aos chains: PREROUTING, pacotes que serão alterados antes de roteamento; OUTPUT,pacotes locais que serão alterados antes do roteamento e POSTROUTING, pacotes que serãoalterados após a aplicação das regras de roteamento;• mangle: usada para alterações especiais no pacote, PREROUTING, para alteração antes doroteamento e OUTPUT, pacotes locais que serão alterados antes do roteamento.Dentre as ações que são feitas sobre os pacotes que atendem a um determinado chain em uma dada tabela:• ACCEPT: aceita o pacote;• DROP: rejeita o pacote;• MASQUERADE: atua somente sobre a tabela nat e indica que será efetuado a conversão deendereços ou NAT, conforme indicado no comando.Compartilhando Conexão com IPTABLEmodprobe iptable_natiptables -t nat -A POSTROUTING -o INTERFACE -j MASQUERADEecho 1 > /proc/sys/net/ipv4/ip_forwardMRTGMRTG coleta informações em base de script para criar relatórios que podem ser visualizados o estado de umroteador, servidor ou link em determinados tempos.Servidor (script – Monitoração HD)#chmod +x /etc/mrtg/mrtg-hd.shif [ -e $1 ] then printf "parametro ausente\n"elsetotal=`df | grep $1 | awk '{print $2}' 2>> /dev/null`livre=`df | grep $1 | awk '{print $3}' 2>> /dev/null`ocupado=`df | grep $1 | awk '{print $4}' 2>>/dev/null`percent_oc=$(($ocupado * 100 / $total))percent_li=$((100 - $percent_oc))echo "$percent_oc"echo "$percent_li"fiServidor (script – Monitor HD e Memória)#chmod +x /etc/mrtg/mrtg-cpu.shunset LANGmem=$(/usr/bin/free|grep ^-)load=$(cat /proc/loadavg)awk -v load="$load" -v mem="$mem" 'BEGIN {split(load,loadstats)print int(100*loadstats[2])split(mem,memstats);print int(100*memstats[3]/(memstats[3]+\memstats[4]));}'Roberto Amaral – Marcelo Soares Farias 03/03/2010Página 101

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXServidor (script) – Configuração do mrtg.cfgWorkDir: /usr/local/apache/htdocs/mrtg/Language: brazilianRunAsDaemon: yesInterval: 5Target[hdboot]:`/etc/mrtg/mrtg-hd.sh hdb1 2>> /dev/null`Title[hdboot]:"Uso do HD do Sistema"PageTop[hdboot]:Uso do HD do SistemaOptions[hdboot]: growright,noinfo,gaugeYLegend[hdboot]: PercentualShortLegend[hdboot]: %MaxBytes[hdboot]: 100Legend1[hdboot]: espaco livreLegend2[hdboot]: espaco ocupadoLegendI[hdboot]: LivreLegendO[hdboot]: OcupadoTarget[eth0]: `/etc/mrtg/mrtgstats-net.sh eth0`Title[eth0]:"Trafego na placa de rede - eth0"MaxBytes[eth0]:1400000PageTop[eth0]: Trafego de dados na placa de redeOptions[eth0]: growright,bits,noinfoTarget[perf]:`/etc/mrtg/mrtg-cpu.sh`Title[perf]:"Carga da CPU e Uso da Mem"PageTop[perf]:Carga da CPU e Uso da MemOptions[perf]: growright,noinfo,gaugeYLegend[perf]: PercentualShortLegend[perf]: %MaxBytes[perf]: 100Legend1[perf]: Carga da CPULegend2[perf]: Uso da mem realLegendI[perf]: CargaLegendO[perf]: MemsshA configuração do servidor, vai no arquivo /etc/ssh/sshd_configA configuração do cliente vai no /etc/ssh/ssh_config.Com o pacote instalado, você inicia o servidor usando o comando /etc/init.d/ssh startNo Debian o servidor só funcionará se o arquivo sshd_not_to_be_run, presente em /etc/ssh for renomeado ouexcluído. Renomeando o arquivo:mv /etc/ssh/sshd_not_to_be_run /etc/sshd_not_to_be_run.oldRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 102

Universidade Tuiuti do ParanáGERDS - Grupo Interdisciplinar de Redes de Computadores e Sistemas DistribuídosCURSO: LPI - SERVIDORES DE REDES E GERENCIAMENTO - LINUXEm uma empresa, é padrão existir um equipamento específico para servidor de serviços,assim como roteador para acesso a Internet. Este equipamento sempre encontra-se isoladoe o mesmo somente pode ser acesso através de login remoto.Para as pessoas que trabalham na empresa, este Servidor/Roteador é utilizado comofirewall, proibindo tráfego em certos horários, palavras e principalmente sites.Portanto o objetivo deste trabalho é por em prática a implementação de um equipamentoServidor/Roteador que atenda uma empresa.Rede Trabalho (10.11.12.X/24)Servidor ApacheAltere o DocumentRoot para /var/www/htmlServidor SSHAntes de fazer o Squid crie um compartilhamentocom IPTableInterface Interna 10.11.12.2Interface Interna 10.11.12.1Cliente ApacheCliente SquidClinete SSHServidor SquidBloqueando sexo e siteInterface Externa a local/atualRede Laboratório10.10.10.10/24Gateway10.10.10.10INTERNETRoberto Amaral – Marcelo Soares Farias 03/03/2010Página 103