Reinstalando o GRUB

GRUB é o gerenciador de boot mais usado e certas vezes precisamos reinstalar ou restaurar o GRUB.

Usaremos um Live CD, do Ubuntu por exemplo, para inicializarmos a máquina.

Motando a partição onde se encontra o diretório raiz "/":

# mkdir /media/mnt
# mount /dev/sda1 /media/mnt/
# mount -o bind /dev/ /media/mnt/dev

Usaremos o camando chroot para entrarmos no ambiente do sistema:

# chroot /media/mnt

Para recuperar o grub usaremos o seguinte comando:

grub-install /dev/sda

Montando compartilhamento Windows (Cont.)

No método da postagem anterior temos um problema, o usuário e a senha ficam visíveis para todos, podemos resolver isso da seguinte maneira:

Utilizaremos um arquivo com as credenciais chamado secret.txt dentro de /root , o conteúdo desse arquivo seria:

username=usuário
password=senha

Para proteger esse arquivo contra leituras de terceiros:

chmod 600 /root/secret.txt

Agora basta acrescentar a seguinte linha em /etc/fstab:

//maquina_windows/pasta_compartilhada /mnt/win cifs user,
uid=500,rw,noauto,suid,credentials=/root/secret.txt 0 0

Dica: Arquivos com senha usando o VI

Para criar arquivos encriptados protegidos com uma senha, usando o VI, basta usar o parâmetro -x antes de criar ou abrir o arquivo:

vi -x arquivo.txt

Caso o arquivo ainda não esteja encriptado, foneça uma senha:

Enter encryption key:

Daí toda vez que abrir o arquivo será pedido a senha criada.

vi arquivo.txt

Montando compartilhamento Windows

Nós vivemos no maravilhoso mundo Linux, mas ainda é fato que precisamos acessar alguns dados do Windows. Por exemplo, você pode querer utilizar um servidor Linux para realizar backups de arquivos Windows. Este serviço pode ser executado facilmente com a montagem de compartilhamentos Windows no servidor. Você poderá acessar os arquivos Windows como qualquer arquivo local, utilizando os comandos Linux. A montagem de compartilhamento Windows (ou SAMBA) são feitos por meio do cliente cifs de sistemas de arquvios virtual (cifs vfs) implementado no Kernel e auxiliado pelo mount.cifs que faz parte do SAMBA.

1 - Criando o diretório onde será montado o compartilhamento:

#mkdir /mnt/win

2 - Edite o arquivo /etc/fstab e adicione a seguinte linha:

//máquina-windows/pasta-compartilhada /mnt/win cifs user,uid=500,rw,suid,username=usuario,password=senha 0 0

3 - O compartilhamento será montado no boot do sistema, mas você poderá montar com o comando:

#mount /mnt/win


Em breve mais dicas sobre montagens de compartilhamento Windows no Linux.

PF: Firewall (OpenBSD) para Casa ou Pequeno Escritório

Neste exemplo, PF está rodando numa máquina OpenBSD agindo como firewall e gateway NAT para uma pequena rede em casa ou escritório. O objetivo geral é prover acesso à Internet para a rede interna e acesso limitado ao firewall pela Internet, e ainda disponibilizar para acesso externo um servidor web localizado na rede Interna. Este documento o guiará na criação de um conjunto de regras para esse fim.

A Rede

A rede está configurada da seguinte forma:

[ COMP1 ]    [ COMP3 ]
  |            |
---+------+-----+------- xl0 [ OpenBSD ] fxp0 --- ( Internet )
         |
     [ COMP2 ]

Existem vários computadores na rede interna; o diagrama mostra apenas três, mas o número real é irrelevante. Estes computadores são estações de trabalho usadas para navegar na Internet, ler email, chat, etc., exceto COMP3 que também roda um pequeno servidor web. A rede interna usa a faixa de ips 192.168.0.0 / 255.255.255.0.

O firewall OpenBSD é um Celeron 300 com duas placas de rede: uma 3com 3c905B (xl0) e uma Intel EtherExpress Pro/100 (fxp0). Ele possui uma conexão Internet a Cabo e faz NAT para compartilhar o acesso com a rede interna. O endereço IP na interface externa é atribuído dinamicamente pelo Provedor de Acesso Internet.

Objetivo

Os Objetivos são:

• Prover acesso irrestrito à Internet para a rede interna.
• Usar "negar por padrão" como política padrão de regras.
• Permitir o seguinte tráfego vindo da Internet para o firewall:
  • SSH (porta TCP 22): será utilizado para manutenção remota do firewall.
  • Auth/Ident (porta TCP 113): utilizado por alguns serviços como SMTP e IRC.
  • ICMP Echo Requests: o tipo de pacote ICMP usado pelo comando ping.
• Redirecionar tentativas de conexão na porta 80 TCP (que são tentativas de conexão a um servidor web) para o computador COMP3. Também permitir trafego TCP porta 80 destinado a COMP3 através do firewall.
• Logar estatísticas de filtragem na interface externa.
• Por padrão, responder com um TCP RST ou ICMP Unreachable para pacotes bloqueados.
• Tornar as regras o mais simples possível, para facilitar a manutenção.

Preparação

Este documento assume que o host OpenBSD tenha sido corretamente configurado para funcionar como roteador, incluindo configuração de endereços IP, conectividade com a Internet e definição de variaveis net.inet.ip.forwarding e/ou net.inet6.ip6.forwarding para "1". Também é necessário que você tenha ativado o PF usando pfctl ou definindo a variável apropriada em /etc/rc.conf.local.

As regras

A seguir um passo a passo através das regras que realizarão os objetivos acima descritos.

Macros

As seguintes macros são definidas para facilitar a leitura e manutençao das regras:

ext_if="fxp0"
int_if="xl0"

tcp_services = "{ 22, 113 }"
icmp_types = "echoreq"

comp3="192.168.0.3"

As primeiras duas linhas definem a interface de rede onde a filtragem acontecerá. Definindo elas aqui, se precisarmos mover este sistema para outra máquina com hardware diferente, nós trocamos apenas estas duas linhas e o resto das regras continuará a mesma. A terceira e quarta linhas listam os números de portas TCP dos serviços que serão abertos para a internet (SSH e ident/auth) e os tipos de pacotes ICMP que terão permissão de alcançar a máquina do firewall. Finalmente, a última linha define o endereço IP de COMP3.

Nota: Caso a conexão com a Internet necessite PPPoE, então, filtragem e NAT devem acontecer na interface tun0 não em fxp0.

Opções

As duas opções seguintes definem a resposta padrão block para regras de filtragem, e fazem com que sejam logadas estatísticas de filtragem (statistics logging "on") para a interface externa:

set block-policy return
set loginterface $ext_if

Todo sistema Unix possui uma interface "loopback". É uma interface de rede virtual que é utilizada por aplicações para conversarem entre si dentro do sistema. No OpenBSD, a interface loopback é lo. É recomendado desabilitar qualquer filtragem nas interfaces loopback. Usando set skip para isto.

set skip on lo

Note que nós estamos usando skip no grupo de interface lo inteiro, desta maneira nós podemos, mais tarde, adicionar interfaces loopback adicionais e não precisamos nos preocupar em alterar esta parte do nosso arquivo de regras.

Scrub

Não há razão para não utilizar scrubbing, recomendado para todo tráfego entrante, portanto aplicamos a regra com uma simples linha:

scrub in

Tradução do Endereço de Rede (NAT)

Para fazer NAT para toda a rede interna a seguinte regra nat será usada:

nat on $ext_if from !($ext_if) to any -> ($ext_if)

O "!($ext_if)" pode ser substituído por "$int_if" neste caso, mas caso você tenha várias interfaces precisará adicionar mais regras NAT, ao passo que, com esta estrutura o NAT será feito em todas as interfaces protegidas.

Já que o endereço IP da interface externa é atribuído dinamicamente, parênteses devem ser colocados em volta da interface, assim o PF notará qualquer alteração no endereço.

Como queremos que o proxy FTP funcione, adicionaremos uma âncora NAT também:

nat-anchor "ftp-proxy/*"

Redirecionamento

As primeiras regras de redirecionamento necessárias são para o ftp-proxy assim, clientes FTP na rede interna local, poderão se conectar a servidores FTP na Internet.

rdr-anchor "ftp-proxy/*"
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021

Note que esta regra funcionará apenas com conexões destinadas à porta 21. Caso usuários se conectem a servidores FTP em outras portas, então uma lista deve ser utilizada para especificar as portas de destino, por exemplo: from any to any port { 21, 2121 }.

As últimas regras de redirecionamento pegam qualquer tentativa de conexão vinda da Internet em direção à porta 80 TCP no firewall. Tentativas de conexões legítimas nesta porta serão de usuários tentando acessar o servidor web da rede. Estas conexões devem ser redirecionadas para COMP3:

rdr on $ext_if proto tcp from any to any port 80 -> $comp3

Regras de Filtragem

Agora as regras de filtragem. Começando com negar por padrão:

block in

Neste ponto todo tráfego tentando entrar em uma interface será bloqueado, mesmo estes da interface de rede interna. As regras seguintes abrem o firewall de acordo com os objetivos acima descritos, bem como quaisquer interfaces virtuais que se façam necessárias.

Tenha em mente que o pf pode bloquear tráfego entrando e saindo de uma interface. Para simplificar sua vida você pode escolher fazer a filtragem de tráfego em apenas uma direção ao invés de bloquear entrada e saída. Em nosso caso optamos por filtrar tráfego entrando na interface, uma vez filtrada a entrada, não tentaremos obstruir sua saída, portanto faremos o seguinte:

pass out keep state

Precisamos ter uma âncora para o ftp-proxy:

anchor "ftp-proxy/*"

É bom usar também a proteção antispoof:

antispoof quick for { lo $int_if }

Agora abrimos as portas usadas pelos serviços que estarão disponíveis para a Internet. Primeiro, o tráfego que é destinado ao firewall em si:

pass in on $ext_if inet proto tcp from any to ($ext_if) \
port $tcp_services flags S/SA keep state

Especificando as portas na macro $tcp_services simplifica a abertura de serviços adicionais para a Internet através da simples edição da macro e recarregamento das regras. Serviços UDP também podem ser abertos com a criação de uma macro $udp_services e adição de uma regra de filtragem similar à anterior, que especifique proto udp.

Além de ter uma regra rdr que redireciona o tráfego do servidor web para COMP3, ainda PRECISAMOS permitir a passagem do tráfego através do firewall:

pass in on $ext_if inet proto tcp from any to $comp3 port 80 \
flags S/SA synproxy state

Para aumentar um pouco a segurança, faremos uso de TCP SYN Proxy com intuito de proteger o servidor web.

Tráfego ICMP precisa ser permitido:

pass in inet proto icmp all icmp-type $icmp_types keep state

Similar à macro $tcp_services, a macro $icmp_types pode ser facilmente editada para alterar os tipos de pacotes ICMP que terão permissão de passar pelo firewall. Note que esta regra se aplica a todas interfaces de rede.

Agora o tráfego deve passar "de" e "para" a interface interna. Assumiremos que os usuários da rede interna sabem o que estão fazendo e não nos causarão problemas. Esta não é necessariamente uma suposição válida; um conjunto de regras muito mais restritivo pode ser apropriado para muitos ambientes.

pass in quick on $int_if

Tráfego TCP, UDP e ICMP pode sair do firewall com destino à Internet de acordo com a regra "pass out keep state" anterior. A informação de estado das conexões é mantida de forma que pacotes que retornam passarão pelo firewall.

O Conjunto Completo de Regras

# macros
ext_if="fxp0"
int_if="xl0"

tcp_services="{ 22, 113 }"
icmp_types="echoreq"

comp3="192.168.0.3"

# opções
set block-policy return
set loginterface $ext_if

set skip on lo

# scrub
scrub in

# nat/rdr
nat on $ext_if from !($ext_if) -> ($ext_if:0) 
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"

rdr pass on $int_if proto tcp to port ftp -> 127.0.0.1 port 8021
rdr on $ext_if proto tcp from any to any port 80 -> $comp3

# regras de filtragem
block in

pass out keep state

anchor "ftp-proxy/*" 
antispoof quick for { lo $int_if }

pass in on $ext_if inet proto tcp from any to ($ext_if) \
   port $tcp_services flags S/SA keep state

pass in on $ext_if inet proto tcp from any to $comp3 port 80 \
   flags S/SA synproxy state 

pass in inet proto icmp all icmp-type $icmp_types keep state

pass quick on $int_if

O comando MOUNT

Em sistemas GNU/Linux, ou Unix-like de uma maneira geral, quando se desejar acessar um sistema de arquivos, seja uma partição, um disquete, um CD-ROM ou diferentes dispostivos tais como zip drive, pen-drives dentre outros, é necessário, inicialmente, montar o sistema de arquivos antes de começar a usá-lo.

Atualmente, na maioria dos sistemas existem mecanismos de automontagem, onde o sistema faz automaticamente a montagem para o usuário. Entretanto, algumas vezes temos que fazer esse processo manualmente, o que é feito utilizando-se o comando mount.

Em sua forma mais básica, basta usar:

# mount opcoes dispositivo ponto_de_montagem

Para verificar quais sistemas de arquivos estão montados, digita-se apenas:

# mount

Esta é muito útil quando se desejar ter um backup de um sistema de arquivos de um servidor em produção. Nesse caso, para a realização do backup, pode-se remontar o sistema de arquivos como somente-leitura, de modo que ninguém possa escrever na partição enquanto o backup estiver acontecendo.
Por exemplo, pode-se remontar uma partição já montada /dev/hda5 como somente-leitura executando o seguinte comando:

# mount -o remount,ro /dev/hda5 /mnt/C/

Uma vez terminado o backup, pode-se remontá-la novamente como leitura e escrita:

# mount -o remount,rw /dev/hda5 /mnt/C/

Quando se tem baixada uma imagem ISO e se deseja ver o conteúdo do arquivo, há uma maneira fácil de realizar isso, montando-o utilizando o dispositivo loopback. Para tanto, executa-se o seguinte comando:

# mount -t iso9660 -o loop,ro redhat-i386-CD-1.iso /mnt/iso

O comando mount é um dos mais importantes comandos do mundo Linux/Unix. A montagem é uma tarefa muito usada e sempre necessária nesses sistemas, o que faz com que se recorra diversas vezes ao uso do comando mount.
Para desmontagem dos sistemas de arquivos, utiliza-se o comando umount que recebe como parâmetro o ponto de montagem ou o dispositivo.

# umount '(ponto_de_montagem | dispostivo)'

Dicas de Sites

1 - www.oracle-base.com

Site muito bom sobre Oracle, com vários artigos e tutoriais das versões 8,9,10 e 11g do Oracle. Tem também várias dicas de configuração de Linux e Oracle. Guia de instalação do Oracle nos Linux Red Hat e Fedora.

2 - www.puschitz.com

Nesse site encontra-se muitos artigos sobre Linux, com foco em segurança e customização. Tem também guias de instalação do Oracle em Red Hat Linux.