FreeBSD: O Poder dos Servidores em Suas Mãos

Segurança de Dados: Solução ou Obstáculo

2010-11-26T08:14:00.000-08:00

Quando se projeta um ambiente seguro, a primeira solução que chega à mente é a compra de um hardware onde acredita-se que vai bloquear todos os acessos não autorizados, proteger a rede de dados e os usuários que dela depende. Entretanto, isto é apenas uma parte da solução e não a solução como um todo.

Para entender melhor, um sistema de segurança tem em sua composição três pilares: o hardware, as pessoas e as normas ou processos que regem o que e como serão feitas as atividades. Olhando do ponto de vista da segurança da informação como gestão, também é comum encontramos na literatura uma extensão deste conceito diluído da sigla CIDAL-Confidencialidade Integridade Disponibilidade Autenticidade e Legalidade.

A Confidencialidade garante que a informação deve ser disseminada somente para aqueles que realmente necessitam da informação. A Integridade garante que o controle da adulteração seja feito. Já a Disponibilidade controla o quanto e como a informação estará acessível no momento desejado. A Autenticidade prevê a autenticação para acesso a informação e a Legalidade auxilia a criar procedimentos, normas ou diretrizes que terão respaldo legal.

Retornando a figura do firewall, é bom ter em mente que é possível compor uma solução segura, proativa, inteligente e resistente a ataques usando diversos fornecedores como Microsoft ISA Server, Check Point, CISCO ASA, Juniper e muitos outros, mas também podemos ter um resultado muito bom com uma solução de firewall open source como o OpenBSD, um sistema operacional BSD (Berkeley Software Distribution) criado especificamente para a tarefa de firewall.

Estudando um pouco mais a fundo este modelo de firewall, verifica-se estruturas presentes no arquivo de configuração do OpenBSD (/etc/pf.conf) que facilitam a elaboração de um firewall. Este arquivo é lido no processo de inicialização do firewall ou interpretado pelo comando pfctl. São exemplos destas estruturas: macros, tabelas, regras de bloqueio previamente elaboradas e uma sintaxe de fácil entendimento. Fazemos uso de macros quando é desejado o uso de uma variável para guardar endereços IP ou representação de interfaces:

Servidores_Web=”{10.1.10.3, 10.1.10.4, 10.100.10.1, 192.168.20.1}”

Notebook_para_Gerenciamento=”192.168.1.10”

Interface_Externa=”fxp0”

Como os ambientes BSD possuem uma codificação de interface para cada fornecedor de hardware, veja que fxp0 representa uma interface de rede fabricada pela Intel e esta codificação pode ser depositada em uma macro para facilitar. Havendo outra placa deste mesmo fornecedor, o dispositivo encontrado seria fxp1 e assim em diante.

Quando se deseja algo mais flexível, com uma composição mais dinâmica, incluindo ou removendo endereços IP a qualquer momento, faz-se uso de estruturas chamadas de tabelas:

table { 192.168.10.1, 10.1.15.20/24}

Observe que foi feito uso de um endereço de rede (10.1.15.20/24) junto com um endereço de host dentro da tabela. Como temos flexibilidade, pode-se em tempo de execução, excluir um endereço:

# pfctl -t Maquinas_Importantes -T delete 192.168.10.1

Ou incluir novos endereços:

# pfctl -t Maquinas_Importantes -T add 192.168.15.10

Pode-se ainda verificar o conteúdo de uma tabela:

# pfctl -t Maquinas_Importantes -T show

Veja como seria simples implementar regras mais complexas incluindo as linhas seguintes no arquivo /etc/pf.conf:

1	Servidor_Web=”192.168.1.10”
2	Interface_Externa=”rl0’”
3	table <>
4	block in quick from <>
5	pass in on $Interface_Externa proto tcp to $Servidor_Web port www flags S/SA keep state \ (max-src-conn 150, max-src-conn-rate 10/5, overload <> flush)

Ver-se com esta composição que:

ü As duas primeiras linhas definem o endereço do servidor Web e a interface de rede usada para mitigar o ataque;

ü A terceira linha define a tabela que será usada para bloqueio;

ü Na quarta linha pode-se fazer um bloqueio imediato (quick) de todos os endereços IP presentes nesta tabela;

ü A ultima linha faz diversas atividades, dentre elas deixa passar para o servidor Web somente às conexões com o protocolo tcp que respeitam uma regra previamente estabelecida: limite de conexões menor ou igual a 150 e sem superar a taxa de 10 conexões a cada 5 segundos. O desrespeito a esta regra, coloca o endereço IP do usuário dentro de uma lista de bloqueio e cancela as conexões existentes.

Imaginando um ambiente que tem como hardware um CISCO ASA, tem-se algo bem similar para o seu arquivo de configuração:

1	ASA(config)# access-list conn-limit-acl extended permit tcp any host 192.168.1.10 eq 80
2	ASA(config)# class-map conn-limit-class
3	ASA(config-cmap)# match access-list conn-limit-acl
4	ASA(config)# policy-map conn-limit-policy
5	ASA(config-pmap)# class conn-limit-class
6	ASA(config-pmap)# set connection embryonic-conn-max 150 per-client-max 10
7	ASA(config)# service-policy conn-limit-policy interface EXT

A primiera linha cria a access-list conn-limit-acl para permitir o acesso a porta 80 comprotocolo TCP para o servidor Web 192.168.1.10. A segunda linha cria um class-map, uma classe que auxiliará na análise do tráfego. Na terceira linha o comando match access-list identifica o tráfego que será analisado. A quarta e quinta linhas definem a política (policy) para enviar o tráfego para o AIP SSM (Advanced Inspection and Prevention Security Services Module). Na sexta linha define o número máximo de conexões TCP a 150 e limita o número de 10 conexões por host. Para concluir a sétima linha aplica a política na interface externa definida pelo nome EXT.

O que foi visto aqui é um pequeno leque do que vem a ser segurança da informação e deve-se ter em mente que manter um sistema seguro é acima de tudo manter as pessoas conscientes de que todos possuem um papel importante e que existem técnicas chamadas de Engenharia Social que testam, a cada segundo o quão seguro este sistema é, analisando o que muitos denominam como “aspecto comportamental do indivíduo”. Mas isto é tema para outro artigo.

Referências:

OpenBSD: www.openbsd.org

Filtro de pacotes do OpenBSD: http://www.openbsd.org/faq/pf/pt/tables.html

Os Pilares da Segurança: http://www.via6.com/topico/60533/os-pilares-da-seguranca

Microsoft ISA Server: http://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/

CISCO ASA exemplos: http://informationsecuritytips.com/2010/07/cisco-asa-embryonic-tcp-connection-and-per-client-connection-limits-config-example/

Palestra FreeBSD x Linux

2009-10-07T11:49:00.000-07:00

Pessoal,

Já foi publicado o debate que participei comparando Linux com FreeBSD, anotem o link:

http://www.4linux.com.br/noticias/2009/linux-versus-freebsd-este-foi-tema-boteconet-realizado-dia-01-outubro-2009

[]´,s

Denis

Errata

2009-07-11T04:45:00.000-07:00

A errata do livro foi atulizada e pode ser obtida no site da editora Novatec: www.novatec.com.br

Um anova versão deve estar disponível depois de 15/07/09!

Abração,
Denis

Qual a diferençla entre RAID 1+0 e RAID 0+1?

2009-07-09T17:45:00.000-07:00

Qual a diferença entre RAID 1+0 e RAID 0+1[1]? A Wordpress tem um ótimo exemplo que explica bem esta diferença. Digamos que tenhamos 10 discos e vamos arranja-los em RAID 1+0 e RAID 0+1.

Iniciando por RAID 1+0, veremos que teremos 5 pares de HDs (figura 1):

Figura 1 – RAID 1+0 em detalhes

O RAID-0 (stripe) será feito do espelhamento A ao E. Podemos ter 5 HDs falhando ao mesmo tempo que o sistema vai continuar funcionando. Entretanto, se tivermos a disposição destes HDs em RAID 0+1 veremos que na falha de dois HDs simultaneamente, um em cada stripe, tudo será perdido (figura 2).

Figura 2 – RAID 0+1 em detalhes

Uma boa fonte de estudos sobre RAID é o site AC&NC (http://www.acnc.com/04_00.html). São discutidas as metodologias de RAID, juntamente com testes de benchmarks para sistemas operacionais como Windows, Unix e DOS.

Abração,
Denis

[1] http://decipherinfosys.wordpress.com/2008/01/15/difference-between-raid-01-vs-raid-10/

Introdução ao FreeBSD 7.0

2009-07-09T13:25:00.001-07:00

Uma palestra do Kris Kennaway introduzindo o FreeBSD 7.0 para quem ainda não conhece o FreeBSD!!!

Introduction to FreeBSD 7.0

View more documents from sim303.

Usando mais de um HD iSCSI ao mesmo tempo com FreeBSD

2009-07-09T11:53:00.000-07:00

Quem já usou o iSCSI-target (/usr/ports/net/iscsi-target) presente no ports do FreeBSD? Quem usou sabe que ele transforma o FreeBSD em um poderoso servidor iSCSI, mas sabemos que por padrão o FreeBSD já vem prontinho para ser cliente iSCSI.

Como exemplo, vamos definir um servidor iSCSI identificado pelo TargetName iqn.1994-04.org.netbsd.iscsi-target equipado com dois discos "virtuais" iSCSI (target0 e target1) sendo usado por um FreeBSD. Primiero vamos depositar as informações necessárias no arquivo /etc/iscsi.conf:

# more /etc/iscsi.conf
target0 {
targetaddress=192.168.241.50
targetname= iqn.1994-04.org.netbsd.iscsi-target:target0
}
target1 {
targetaddress=192.168.241.50
targetname= iqn.1994-04.org.netbsd.iscsi-target:target1
}

Agora vamos fazer o acesso aos discos iSCSI com:

# kldload iscsi_initiator
# iscontrol -n target0
# iscontrol -n target1

Imaginando que os discos iSCSI não estão formatados, vamos fazer:

# mkdir /mnt/iSCSI_HD1
# fdisk –vBI /dev/da0
# disklabel –w da0s1
# newfs –U –L iSCSI1 /dev/da0s1
# mount /dev/da0s1 /mnt/iSCSI_HD1

# mkdir /mnt/iSCSI_HD2
# fdisk –vBI /dev/da1
# disklabel –w da1s1
# newfs –U –L iSCSI2 /dev/da1s1
# mount /dev/da1s1 /mnt/iSCSI_HD2

Verifique o arquivo de logs /var/log/messages para identificar os dispositivos que ficaram disponíveis para uso do acesso iSCSI. No exemplo deste artigo, os dispositivos foram da0 e da1.

Abração,
Denis

Palestra FreeBSD com Alta Disponibilidade

2009-07-09T10:19:00.000-07:00

Check out this SlideShare Presentation:

FreeBsd com Alta Disponibilidade

View more presentations from Boteco 4linux.

Integrando FreeBSD com Active Directory e OpenLDAP

2009-07-09T06:16:00.001-07:00

Uma boa fonte de estudo é a palestra do Rafael Sales sobre integração de FreeBSD com AD e OpenLDAP. Vale dar uma olhada...

Integrando FreeBSD com Active Directory e OpenLDAP

View more documents from adorepump.

Material Adicional - SnapShot em ZFS

2009-07-02T09:58:00.000-07:00

Pessoal,

Encontrei alguns vídeos que direcionam como trabalhar com snapshots com ZFS:

http://www.youtube.com/watch?v=NW_-vPIiW-s

Palestra "TI Verde e Virtualização com FreeBSD" no Primeiro BSD Meeting no Brasil

2009-06-26T01:03:00.000-07:00

O décimo FISL (Fórum Internacional de Software Livre) apresentou muitas novidades, além de estar na maravilhosa cidade de Porto Alegre, contou com mais de 8100 participantes. Diversos eventos internos contemplaram o FISL e um deles foi o primeiro BSD Meeting, uma reunião entre todos aqueles que gostam de sistemas BSD.

Estive lá com a palestra "TI Verde e Virtualização com FreeBSD", centrando os conceitos de gestão de TI e demonstrando como justificar para o departamento financeiro a viabilidade do uso direto da virtulização.

Foi fantástico poder conhecer figuras notáveis do mundo BSD como Marcelo Araújo, Felippe de Meirelles Motta, Daniel Bristot e o grande Ion-Mihai Tetcu. Ion tem a responsabilidade de guiar os rumos do ports no FreeBSD e foi fantástico ouví-lo comentar como tudo funciona.

Na minha palestra não pude exibir alguns vídeos, assim, estou colocando-os para aqueles que desejarem ver, segue o primeiro vídeo (The Network is Down):

O outro vídeo aborda o quanto é complicado colocar em funcionamento um servidor depois de um crash:

Para concluir, tem um que eu particurlamente gosto muito, chama-se Song The Day The Routers Died:

Grande abraço,

Denis

Palestra VLAN e Kerberos com FreeBSD na 4LINUX

2009-05-29T07:22:00.000-07:00

A 4Linux ministrou uma aula gratuita sobre o Sitema Operacional FreeBSD na quinta-feira (28/05/09). O Instrutor Denis Augusto, especialista em segurança de redes, abordará a criação de VLANs e o uso do Kerberos em FreeBSD. Durante o treinamento o instrutor fará ainda uma imagem em VMware do FreeBSD que será posteriormente publicada para download (http://www.4linux.com.br/noticias/2009/acompanhe-on-line-ao-vivo-uma-aula-freebsd-quinta-feira-2805.html). Abaixo podemos ver um vídeo demonstrando a criação de VLANs com o uso do FreeBSD.

Palestra de Lançamento

2009-05-26T18:50:00.000-07:00

Não deixe de comparecer!!

Teremos sorteios de brindes e um belo bate papo a respeito de FreeBSD.

Abração,

Denis

News: VirtualBox agora no FreeBSD

2009-05-19T19:53:00.000-07:00

Agora já podemos ter a nossa disposição do VirtualBox da Sun para FreeBSD. Antes seu projeto estava fechado para ambientes Microsoft Windows ou Linux.

Ainda está em fase de validação, mas podem iniciar os testes. bata instalar o código-fonte no diretório /usr/ports/emulators e compilar! Veja alguns screenshots.

Abraços,
Denis

Dados a Respeito do Livro

2009-05-15T19:24:00.000-07:00

Este livro tem a finalidade de apresentar o sistema operacional FreeBSD, conduzindo o leitor no universo dos sistemas BSD (Berkeley Software Distribuition). O leitor saberá o que levou empresas como Yahoo!, Apache, Warner (filme The Matrix), CBC, Sony (Japão), Netcraft e muitas outras a usar o FreeBSD.Uma das premissas deste livro é conduzir o leitor no projeto de estruturas para manusear backups, gerenciamento de storages e conceber sistemas com alta disponibilidade. Abordaremos, sempre que possível, nossos estudos na ótica da segurança da informação com métodos para a proteção e estudaremos em um capítulo específico algumas metodologias de ataque representadas por técnicas de Pentest visando fornecer as ferramentas que auxiliarão na validação de servidores. E para concluir não poderíamos esquecer de estudar a virtualização usando sistemas FreeBSD.

Ficha Cadastral

ISBN: 978-85-7522-162-4

Novatec Editora Ltda.
Rua Luís Antônio dos Santos 110
02460-000 – São Paulo, SP – Brasil
Tel.: +55 11 2959-6529
Fax: +55 11 2950-8869
E-mail: novatec@novatec.com.br
Site: www.novatec.com.br

Créditos

Autor: Denis Augusto A. de Souza
Editor: Rubens Prates
Revisão: Lia Gabriele Regius
Editoração eletrônica: Carolina KuwabataCapa: Tami Arita
Revisor Estrutural: Anselmo Leite

Onde Comprar?

O livro poderá ser comprado pela editora Novatec (http://www.novatec.com.br/) e seus parceiros. Maiores informações podem ser obtidas no link http://www.novatec.com.br/contato.php ou pelo telefone da editora Novatec.

Livro Pronto

2009-05-15T11:21:00.000-07:00

É com grande alegria que comunico a publicação do livro FreeBSD: O Poder dos Servidores em Suas Mãos (14/05/09), somando-se 544 páginas de um projeto que em 2 anos envolveu muito estudo, pesquisa, escrita e muita revisão.

Espero que todos gostem desta obra e saiba que este espaço é de vocês para melhorarmos seu conteúdo e retirar dúvidas.

Sabemos que nem tudo pode ser depositado em um livro, pois temos varíaveis como valor final, tamanho etc, assim, minha idéia é usar o espaço do site não só para discutir a respeito do livro, mas falar também de outros temas ligados ao FreeBSD.

Grande abraço e boa leitura.

Denis Augusto.

O que você mais gostou do livro, o que poderia ser melhorado?

2009-05-15T10:19:00.000-07:00

Estar sempre perto dos leitores tem que ser um amta de qualquer escritor. Deixe seus comentários a respeito do que mais o auxiliou , críticas, ou de temas que poderiam ser incluídos ou melhorados neste livro. Obrigado!

Apresentação dos Capítulos

2009-04-17T10:21:00.000-07:00

• Capítulo 1: “Instalação”

Trata da instalação do sistema operacional FreeBSD analisando os conceitos necessários e os cuidados para o preparo de um bom servidor. O processo de instalação aqui discutido aborda as melhores práticas propostas pelo ITIL, buscando o que é mais adequado para o negócio de cada empresa. Se você já conhece FreeBSD o único ponto que recomendo é o check-list de pré-instalação e as dicas que referenciam a norma ISO/IEC 27002:2005.

• Capítulo 2: “Manuseio do sistema operacional”

Aborda o universo dos sistemas operacionais Unix/Unix-like, discutindo os comandos para operação ou manuseio. Discutiremos também como usar mídias removíveis e como configurar o FreeBSD (interfaces de rede, gateway, nome de host etc.). Existem facilidades nativas no FreeBSD como flags, sistemas de arquivos union (unionfs) e sistemas snapshot que serão vistos por nós para proporcionar melhores ferramentas para a composição de servidores, principalmente do ponto de vista de segurança de dados. Se o leitor já trabalha com FreeBSD a mais de 3 anos, poucas novidades serão vistas aqui.

• Capítulo 3: “Instalação de aplicativos”

Analisa os padrões de instalação mais comuns de ambientes BSD. Seja pela facilidade de se usar instalações automatizadas com ports ou pacotes de programas compilados previamente com packages. Veremos os pontos positivos e negativos de cada metodologia. Este conhecimento é extremamente importante para quem deseja fazer uso de um sistema operacional BSD. Se você já conhece FreeBSD, veja as dicas das ferramentas para gerenciamento de ports.

• Capítulo 4: “Ambiente X”

Sabemos que a instalação de um ambiente gráfico em um servidor é uma prática pouco comum, mas muitos leitores pretenderão usar o FreeBSD como desktop. Existem versões do FreeBSD específicas para esta tarefa, entretanto podemos com alguns ajustes adaptar o FreeBSD para isto. O ambiente X é exibido neste capítulo tomando como base o Xorg (padrão de instalação do FreeBSD). Como ambiente de janelas são discutidos como usar o Gnome e o KDE no FreeBSD. Se não é foco do seu ambiente usar sistemas X, pule este capítulo e siga para o capítulo 5.

• Capítulo 5: “Gerenciamento e personalização”

No capítulo 5 o leitor poderá encontrar os conhecimentos para customizar um sistema operacional visando retirar o máximo de desempenho, com segurança e estabilidade. Para isto, contaremos com recursos existentes no próprio FreeBSD, como ferramentas que auxiliam no monitoramento de atividades e no estado funcional de um servidor Internet. Estas ferramentas foram pesquisadas em listas de discussão, em outros sistemas operacionais e na nossa experiência prática, durante os anos que estivemos envolvidos com o monitoramento de servidores Internet.

O controle de quotas aplicado aos usuários do sistema operacional é uma ferramenta que não pode ser esquecida. A compilação do kernel também é abordada, juntamente com a compatibilidade entre FreeBSD e Linux. Este capítulo mostra de forma prática como aplicar uma correção de segurança em um componente do sistema operacional ou em um serviço nele existente.

• Capítulo 6: “Segurança com FreeBSD”

Visa configurar um servidor e protegê-lo com regras de um firewall. Aqui veremos como fazer isto com os recursos do filtro de pacotes existente no firewall “open source” mais seguro do mundo, o OpenBSD. Com este filtro de pacotes estudaremos, por exemplo, métodos específicos para ataques, balanceamento de cargas com priorização de pacotes e análise de logs. Além disto, veremos outros mecanismos para customizar a segurança do sistema operacional, como o uso de “Access List”, criptografia, métodos de auditoria, uso de Kerberos, TCP Wrappers e muito mais. Discutiremos segurança aqui seguindo a norma ISO/IEC 27002:2005 e abordaremos o tema hardening, um importante elemento para qualquer sistema operacional.

• Capítulo 7: “Construindo servidores”

Este capítulo aborda como instalar diversos serviços no FreeBSD com o uso de ports ou packages, visando compor servidores Internet. A construção de um servidor de VPN IPsec ponto-a-ponto é vista de forma mais técnica, abordando customizações no kernel do sistema operacional e ajustes no sistema de firewall local.

Entender como criar servidores de discos virtuais iSCSI é hoje uma tarefa importante, principalmente para aqueles que trabalham com storage ou com o tempo de recuperação bem pequeno, assim, estudaremos a importância deste modelo de servidor e veremos como contruí-lo seguindo padrões de segurança. Outro ponto importante da área de segurança é saber o que fazer para deixar um sistema mais seguro contra ataques.

• Capítulo 8: “Troubleshooting”

Veremos os problemas mais comuns de um servidor e como solucioná-los com ferramentas para identificar os pontos de saturação ou stress. Usaremos nossa experiência profissional para orientar o leitor na solução de imprevistos com o uso de file system, acesso a discos, unidades de CD-ROM etc.

• Capítulo 9: “Alta disponibilidade com FreeBSD”

Saber projetar um ambiente de servidores seguindo o conceito de alta disponibilidade é uma ferramenta mais do que indispensável. Para isto podemos fazer uso de programas específicos com o objetivo de auxiliar esta tarefa, além de usarmos as composições que são implementadas em storages, um dos pontos fortes do FreeBSD. Uma prova disto é a existência do record de armazenamento de 2TBytes em um único sistema operacional. Assim, estudaremos os vários tipos de RAID e, como exemplo, veremos como usar RAID tipos 0, 1, 0+1 e o Raid-z da Sun Microsystems no FreeBSD.

Outro ponto importante referente ao projeto de um servidor resistente a falta ou falha é o uso de CARP (Common Address Redundancy Protocol). Estudaremos como usá-lo no FreeBSD aplicando sincronismo de pacotes e exemplificaremos seu uso com o projeto de um pool de servidores web.

Conhecer como manter sincronizado arquivos de configuração e automatização de scripts é de grande utilidade para qualquer administrador que trabalha com diversos servidores. Veremos como fazer isto com uso da ferramenta Rsync no FreeBSD.

Outra ferramenta que veremos é a concatenação de discos e o compartilhando um discos pela rede utilizando o GEOM gate.

Para solução de software centrado em alta disponibilidade, estudaremos o Heartbeat, um tema muito comum em ambientes Linux para monitoramento de servidores e verificaremos quando existem problemas de funcionamento para a elaboração de alertas ou substituição automática de servidores. Analisaremos e implantaremos isto no FreeBSD.

• Capítulo 10: “Virtualização”

Aborda o uso de virtualização, um tema muito popular e uma tendência nas empresas que buscam a redução de custo e facilidades na recuperação de problemas. Diversos ambientes para virtualização foram estudados com exemplos práticos para implantação, juntamente com análises de segurança.

• Capítulo 11: “Usando FreeBSD para Pentests”

Quando nos aprofundamos em auditoria de segurança, verificamos que são poucos os profissionais com o conhecimento para elaborar testes intrusivos locais ou remotos visando avaliar o ambiente computacional e conhecer sua superfície de vulnerabilidade. Este conhecimento é denominado de Penetration Tests ou PenTests.

Estudaremos neste capítulo esta técnica e veremos que o FreeBSD pode ser uma grande aliado para este tema.

• Capítulo 12: “Estratégias para backup”

Saber fazer backups da forma correta é extremamente importante. Quem não conhece casos de empresas que projetam seus backups sem testes de recuperação. Alertas para a maneira correta de se fazer um projeto de backup são estudados neste capítulo com o uso de ferramentas importantes como o Bacula, Rsync, AMANDA e Rdiff.

• Apêndice A: ITIL aplicado ao projeto de servidores Internet

Sabemos que o projeto de servidores Internet pode ser visto como um labirinto com diversos caminhos a serem seguidos e muitos deles nem sempre representam a melhor escolha para o administrador. Então, como guiar o projeto de servidores de uma forma segura?

Pensando nesta questão, usaremos uma das melhores práticas internacionais, o ITIL (Information Technology Infrastructure Library) para nos auxiliar.

Cursos de FreeBSD

2009-04-17T02:10:00.000-07:00

No estado de São Paulo, a 4LINUX (http://www.4linux.com.br/) tem cursos para usuários intermediários e avançados em FreeBSD. O curso avançado fala até da construção de servidores iSCSI, ZFS, estruturas em storages e de virtualização. Veja a ementa dos cursos e confira o que os usuários da Net falam!!! ;)

Abraços,

Denis

Certificações

2009-04-14T12:38:00.000-07:00

Temos algumas certificações em FreeBSD, uma delas está centrada no grupo www.bsdcertification.org, com membros fundadores da FreeBSD Brasil e o grupo de certificações http://www.bsdcertification.com/, mas amplo com certificações em toda a família BSD (FreeBSD, NetBSD e OpenBSD).

Mais Links: http://www.pcguide.com/vb/showthread.php?t=60562

Dados sobre o autor

2009-04-14T06:04:00.000-07:00

Denis Augusto é especialista em segurança de redes, projetista de soluções para automatização de tarefas e auditor de segurança para ambiente de servidores.

Graduado pela Universidade Federal da Paraíba (UFPb) em engenharia elétrica com especialização em microeletrônica, Denis sempre esteve envolvido com o mundo computacional auxiliando na administração do mainframe IBM 4381 desta universidade.

É formado em Segurança de Dados pela Academia Latino-Americana de Segurança da Informação, sendo participante da primeira turma no Brasil.

Denis é especialista em integração de sistemas heterogêneos, unindo ambientes Windows e Linux, pois usa de seus conhecimentos contidos nas certificações internacional Microsoft Certified Systems Engineer-Security (MCSE:Security), Microsoft Certified Systems Administrator – Security (MCSA:Security) e MCSA:Messaging.

A especialidade em segurança é reforçada pela certificação internacional GIAC Cutting Edge Hacking Techniques, que garante conhecimentos específicos para a proteção e auditoria em sistemas computacionais. Seus conhecimentos sobre gestão da tecnologia da informação (TI) e controle de processos baseiam-se na certificação internacional ITIL Foundation, que evidencia técnicas para a melhoria da qualidade dos serviços em TI e redução de custos.

Denis detém trabalhos publicados na área de segurança em eventos como SSI (Simpósio sobre Segurança em Informática, em São José dos Campos, São Paulo), ICIE (International Congress on Informatic Engineering em Lisboa, Portugal), Latinamerican Conference of Informatics CLEI (Quito-Equador) e InfoNordeste.

Possui conhecimentos para a construção de redes VPNs ponto-a-ponto e para dispositivos móveis, além de ser projetista de ambientes wireless com múltiplas camadas de proteção. É instrutor da 4LINUX (http://www.4linux.com.br/) e criador de cursos para FreeBSD e OpenBSD.

Palestras on-line:

http://www.4linux.com.br/cursos/freebsd-projetando-servidores-seguros-410.html#video-curso

Capítulo 10 - Arquivo Xen freebsd01.bsd

2009-01-11T04:13:00.000-08:00

# Kernel image file.
# Arquivo /etc/xen/freebsd01.bsd
kernel = "/usr/src/xen/freebsd/kernel/kernel-xen"

# Initial memory allocation (in megabytes) for the new domain.
memory=310

# A name for your domain. All domains must have different names.
name = "freebsd"

# List of which CPUS this domain is allowed to use, default Xen picks
#cpus = "" # leave to Xen to pick
#cpus = "0" # all vcpus run on CPU0
#cpus = "0-3,5,^1" # run on cpus 0,2,3,5

# Number of Virtual CPUS to use, default is 1
#vcpus = 1

#----------------------------------------------------------------------------
# Define network interfaces.

# By default, no network interfaces are configured. You may have one created
# with sensible defaults using an empty vif clause:
#
# vif = [ '' ]
#
# or optionally override backend, bridge, ip, mac, script, type, or vifname:
#
# vif = [ 'mac=00:16:3e:00:00:11, bridge=xenbr0' ]
#
# or more than one interface may be configured:
#
# vif = [ '', 'bridge=xenbr1' ]

vif = [ '' ]

#----------------------------------------------------------------------------
disk = [ 'file:/usr/src/xen/freebsd/rootfs/mdroot-7.0,hda1,w' ]

#----------------------------------------------------------------------------
# Set if you want dhcp to allocate the IP address.
#dhcp="dhcp"
# Set netmask.
#netmask=
# Set default gateway.
#gateway=
# Set the hostname.
#hostname= "vm%d" % vmid

# The nfs server.
#nfs_server = '169.254.1.0'
# Root directory on the nfs server.
#nfs_root = '/full/path/to/root/directory'

#1 Sets runlevel 4.
#extra = "4"
#============================================================================
#on_crash = 'preserve'
extra = "boot_verbose"
extra += ",boot_single"
extra += ",vfs.root.mountfrom=ufs:/dev/xbd769a"
extra += ",kern.hz=100"

# Other settings
localtime = '1' # Whether system clock is set to local time or UTC

Capítulo 9 - arquivo monitrc

2009-01-11T04:12:00.000-08:00

# Arquivo /usr/local/etc/monitrc
set daemon 60 # Define o tempo de 1 minuto para cada verificacao.
set logfile syslog facility log_daemon # Define o arquivo de logs.
set mailserver localhost # Informa o servidor de correio usado
set eventqueue
basedir /var/monit # set the base directory where events will be stored
slots 100 # Limita o tamanho da fila para trabalho.
set mail-format { from: monit@localhost } # Especifica o format do e-mail indicando o From.
set alert root@localhost # Define o endereco de correio que recebera os alertas.

# Define as configuracoes do servico http dentro do Monit
set httpd port 2812 and
use address 192.168.241.91 # Define o endereco IP do servidor Web dentro do Monit
allow localhost # Aceita conexoes vindas do localhost.
allow 192.168.241.1 # Aceita acessos do host 192.168.241.1.
allow admin:Monit21 # Usuário para acesso a interface Web.

# Configuracao para o monitoramento do sistema onde o Monite esta instalado.
check system localhost
if loadavg (1min) > 4 then alert
if loadavg (5min) > 2 then alert
if memory usage > 75% then alert
if cpu usage (user) > 20% then alert
if cpu usage (system) > 25% then alert
if cpu usage (wait) > 20% then alert

# Monitoramento do arquivo sshd
check file sshd with path /usr/sbin/sshd
# Se o checksum falhar pare o monitoramento para não gerar loop infinito.
if failed checksum and expect the sum de8a6046679c80d5ae21b49ec1192ba2 then unmonitor
# Verifique a permissao, dono e grupo, se falhar informe e pare o monitoramento.
if failed permission 555 then unmonitor
if failed uid root then unmonitor
if failed gid wheel then unmonitor
# Configuracoes para o recebimento de alertas.
alert root@localhost on {
checksum, permission, uid, gid, unmonitor
} with the mail-format { subject: Alarm! }
group server
#
# Monitoramento do arquivo mount.
check file mount with path /sbin/mount
alert root@localhost on {
checksum, size, unmonitor
} with the mail-format { subject: Alarm! }
if size > 17036 B then exec "/sbin/ifconfig le1 down"
group server

# Monitorando o servidor 192.168.241.92 com o protocolo icmp e verificacao de funcionamento do serviço Web
check host servidor2 with address 192.168.241.92
if failed icmp type echo count 3 with timeout 3 seconds then alert
if failed port 80 protocol http with timeout 15 seconds then alert

Capítulo 6 - script de hardening

2009-01-11T04:11:00.000-08:00

#!/bin/sh
case $1 in
start)
clear
chflags simmutable /boot/kernel
chflags simmutable /bin
chflags simmutable /sbin
chflags simmutable /usr/sbin
chflags simmutable /usr/sbin
chflags simmutable /etc
chflags simmutable /usr/lib
chflags simmutable /usr/libexec
chflags simmutable /usr/libdata
chflags simmutable /usr/X11R6/bin
chflags simmutable /usr/X11R6/lib
chflags simmutable /usr/local/bin
chflags simmutable /usr/local/sbin
chflags simmutable /usr/local/lib
chflags simmutable /usr/local/libexec
chflags simmutable /usr/local/libdata
echo -e "\012"
echo "================================================================="
echo "= Diretorios configurados como imutaveis... ="
echo "================================================================="
echo -e "\012"
chflags sappend /var/log
echo -e "\012"
echo "===================================================================="
echo "= Diretorio /var/log configurado so para adiconamento de dados... ="
echo "===================================================================="
echo -e "\012"
;;
var)
clear
chflags sappend /var/log
echo -e "\012"
echo "===================================================================="
echo "= Diretorio /var/log configurado so para adiconamento de dados... ="
echo "===================================================================="
echo -e "\012"
;;
stop1)
clear
chflags nosimmutable /boot/kernel
echo -e "\012"
echo "=========================================================================================="
echo "= Removida a configuração de flags imutaveis e de adicionamento para /boot/kernel... ="
echo "=========================================================================================="
;;
stop2)
clear
chflags nosappend /var/log
echo -e "\012"
echo "====================================================================================="
echo "= Removida a configuração de flags imutaveis e de adicionamento para /var/log... ="
echo "======================================================================================"
;;
*)
echo "ERRO: Use $0 {startvarstop1stop2}"
;;
esac
exit 1

Capítulo 12 - bacula-sd.conf

2009-01-11T04:10:00.000-08:00

# Arquivo bacula-sd.conf (Storage)
# Definicoes Gerais
Storage {
Name = testes-dir
SDPort = 9103
WorkingDirectory = "/var/db/bacula"
Pid Directory = "/var/run"
Maximum Concurrent Jobs = 20
}
# Lista os Directors que podem entrar em contato com o Agente.
Director {
Name = testes-dir
Password = "DirectorStoragePW"
}
# Dispositivos suportados para storage. O arquivo bacula-dir.conf deve ter o mesmo nome (Name) e tipo de
# mídia (MediaType).
# Define diretórios para serem usados como storages
Device {
Name = FileStorage
Media Type = File
Archive Device = /bacula-backup
LabelMedia = yes;
Random Access = Yes;
# Quando o dispositivo estiver aberto faz a leitura automaticamente
AutomaticMount = yes;
RemovableMedia = no;
AlwaysOpen = no;
}
# Para definir a unidade de fita no FreeBSD podemos fazer:
Device {
Name = DDS-4
Description = "DDS-4 for FreeBSD"
Media Type = DDS-4
Archive Device = /dev/nsa1
AutomaticMount = yes;
AlwaysOpen = yes
Offline On Unmount = no
Hardware End of Medium = no
BSF at EOM = yes
Backward Space Record = no
Fast Forward Space File = no
TWO EOF = yes
}
# Envia mensagens para o Director
Messages {
Name = Standard
director = testes-dir = all
}

Capítulo 12 - bacula-dir.conf

2009-01-11T04:07:00.001-08:00

# Arquivo bacula-dir.conf (Director)
# Configuraçoes gerais
Director {
Name = testes-dir
DIRport = 9101
QueryFile = "/usr/local/share/bacula/query.sql"
WorkingDirectory = "/var/db/bacula"
PidDirectory = "/var/run"
Maximum Concurrent Jobs = 10
Password = "Director01i2007"
Messages = Daemon
}
# Definição dos Jobs
JobDefs {
Name = "DefaultJob"
Type = Backup
Level = Incremental
Client = testes-fd
FileSet = "Full Set"
Schedule = "WeeklyCycle"
Storage = File
Messages = Standard
Pool = Default
Priority = 10
}
Job {
Name = "Client1"
JobDefs = "DefaultJob"
Write Bootstrap = "/var/db/bacula/Client1.bsr"
}
Job {
Name = "BackupCatalog"
JobDefs = "DefaultJob"
Level = Full
FileSet="Catalog"
Schedule = "WeeklyCycleAfterBackup"
# This creates an ASCII copy of the catalog
RunBeforeJob = "/usr/local/share/bacula/make_catalog_backup bacula bacula"
# This deletes the copy of the catalog
RunAfterJob = "/usr/local/share/bacula/delete_catalog_backup"
Write Bootstrap = "/var/db/bacula/BackupCatalog.bsr"
Priority = 11
}
# Opções padrão para restauração
Job {
Name = "RestoreFiles"
Type = Restore
Client=testes-fd
FileSet="Full Set"
Storage = File
Pool = Default
Messages = Standard
Where = /bacula-restores
}
# Lista dos arquivos para fazer backup
FileSet {
Name = "Full Set"
Include {
Options {
signature = MD5
}
#
# Litas dos arquivos e diretórios para backup. Não use areas de links logicos.
# Para fazer backups
File = /usr/ports/sysutils/bacula-server/work/bacula-2.2.5
# Áreas do sistema
File = /usr/home
}
# Aqui podemos definir os diretórios que nao é desejado o backup
Exclude {
File = /proc
File = /tmp
}
}
# Aqui é definida a politica de backup, onde nesse exemplo temos um “full backup” (backup completo)
# no primeiro domingo de cada mes, diferencial em cada domingo e incremental nos outros dias.
Schedule {
Name = "WeeklyCycle"
Run = Full 1st sun at 23:05
Run = Differential 2nd-5th sun at 23:05
Run = Incremental mon-sat at 23:05
}
# Aqui faz-se o catalogo de backups. Deve ser iniciado depois do WeeklyCycle (Ciclo Semanal)
Schedule {
Name = "WeeklyCycleAfterBackup"
Run = Full sun-sat at 23:10
}
# Aqui é o backup do catalogo
FileSet {
Name = "Catalog"
Include {
Options {
signature = MD5
}
File = /var/db/bacula/bacula.sql
}
}
# Agentes para o backup
Client {
Name = testes-fd
Address = testes.novatec.com.br
FDPort = 9102
Catalog = MyCatalog
Password = "Director01i2007Client"
File Retention = 30 days
Job Retention = 6 months
AutoPrune = yes
}
# Definicao dos dispositivos de storage em arquivo
Storage {
Name = File
# Nunca use localhost aqui
Address = testes.novatec.com.br
SDPort = 9103
Password = "DirectorStoragePW"
# Em Device definimos o local para o backup especificado no agente.
Device = FileStorage
Media Type = File
}
# Definicao dos dispositivos de storage em fita
Storage {
Name = DDS-4
Address = testes.novatec.com.br
SDPort = 9103
Password = "DirectorStoragePW"
Device = DDS-4
Media Type = DDS-4
}
# Generic catalog service
Catalog {
Name = MyCatalog
dbname = bacula; user = bacula; password = "SenhaPW"
}
# Gera e-mails com relatorios e informa a console do Bacula
Messages {
Name = Standard
mailcommand = "/usr/local/sbin/bsmtp -h localhost -f \"$Bacula$ \

Capítulo 6 - script de hardening - lockdown

2009-01-11T01:03:00.000-08:00

#!/bin/sh

# Shortcuts for often used commands
sshd="/usr/local/bin/editfile /etc/ssh/sshd_config"
rc="/usr/local/bin/editfile /etc/rc.conf"
auth="/usr/local/bin/editfile /etc/auth.conf"
sysctl="/usr/local/bin/editfile /etc/sysctl.conf"
fstab="/usr/local/bin/editfstab"
ttys="/usr/local/bin/editttys"
login="/usr/local/bin/editlogin"
kern="/usr/local/bin/editkernel /usr/src/sys/i386/conf/some_kernel_file"

noworld="/bin/chmod o="
disable="/bin/chmod ugo="

####################
# Mounting options #
####################
# If the mount point exists, add the specified options.
# Please remember that /tmp has to be executable to "make world"
# and if you need to jail a process in a partition, don't mount it with "nodev"

${fstab} /tmp +noexec,nosuid,nodev,nosymfollow
${fstab} /var/tmp +noexec,nosuid,nodev,nosymfollow
${fstab} /home +noexec,nosuid,nodev
${fstab} /usr/home +noexec,nosuid,nodev
${fstab} /var +nosuid,nodev
${fstab} /var/mail +noexec,nodev,nosuid

########################
# Build a debug kernel #
########################
#${kern} options DDB
#${kern} makeoptions DEBUG=-g
#${kern} options DDB_UNATTENDED
#${kern} options SC_DISABLE_DDBKEY
#Remember that your swap partition must be larger than you amount of ram!
#${rc} dumpdev=\"YOUR_SWAP\" #Read /etc/fstab or run swapinfo
#${rc} dumpdir=\"/var/crash\"

########################
# /etc/rc.conf options #
########################
# This will just add some options to /etc/rc.conf
${rc} sendmail_enable=\"NONE\"
${rc} kern_securelevel_enable=\"YES\"
${rc} kern_securelevel=\"1\"
${rc} portmap_enable=\"NO\"
${rc} inetd_enable=\"NO\"
${rc} clear_tmp_enable=\"YES\"
${rc} update_motd=\"NO\"
${rc} syslogd_flags=\"-ss\" #Comment this if this is a log server (or change it)

##################
# Stealth server #
##################
# If this is a log server, firewall or gateway you can put it into stealth mode.
# This is NOT recommended for normal server use.
# Note: For a stealthier server you should also block some icmp request like:
# Echo, Time and Netmask requests
#${rc} tcp_drop_synfin=\"YES\"
#${sysctl} net.inet.tcp.blackhole=2
#${sysctl} net.inet.udp.blackhole=1
#${kern} options IPSTEALTH
#${kern} options TCP_DROP_SYNFIN

######################
# Networking options #
######################
${rc} icmp_drop_redirect=\"YES\"
${rc} icmp_log_redirect=\"YES\"
${rc} log_in_vain=\"YES\"
${kern} options RANDOM_IP_ID
${sshd} AllowGroups wheel
${sshd} Protocol 2

#######################
# Login Class options #
#######################
${login} default minpasswordlen=8
${login} default mixpasswordcase=true
${login} default umask=077
# Encryption of passwords
${auth} crypt_default=blf
${login} default passwd_format=blf

##############
# Root Login #
##############
${ttys} console insecure
${ttys} tty insecure

#####################
# Restrict the user #
#####################
#Don't allow users to use cron
if test ! -f /var/cron/allow
then
/usr/bin/touch /var/cron/allow
fi
#Don't allow users to use at
if test ! -f var/at/at.allow
then
/usr/bin/touch /var/at/at.allow
fi

${sysctl} security.bsd.see_other_uids=0 # Use kern.ps_showallprocs for 4.X

##################
# Kernel options #
##################
#${kern} options SC_NO_HISTORY # Don't keep history, so there can't be scrolled
#${kern} options SC_DISABLE_REBOOT # Disable ctrl+alt+del

#################################
# Restrict access to suid files #
#################################
${disable} /bin/rcp
${noworld} /sbin/mksnap_ffs
${noworld} /sbin/ping
${noworld} /sbin/ping6
${noworld} /sbin/shutdown
${noworld} /usr/bin/at
${noworld} /usr/bin/atq
${noworld} /usr/bin/atrm
${noworld} /usr/bin/batch
${noworld} /usr/bin/chpass
${noworld} /usr/bin/chfn
${noworld} /usr/bin/chsh
${noworld} /usr/bin/ypchpass
${noworld} /usr/bin/ypchfn
${noworld} /usr/bin/ypchsh
${noworld} /usr/bin/lock
${noworld} /usr/bin/login
${noworld} /usr/bin/opieinfo
${noworld} /usr/bin/opiepasswd
${noworld} /usr/bin/passwd
${noworld} /usr/bin/yppasswd
${noworld} /usr/bin/quota
${disable} /usr/bin/rlogin
${disable} /usr/bin/rsh
${noworld} /usr/bin/su
${noworld} /usr/bin/crontab
${noworld} /usr/bin/lpq
${noworld} /usr/bin/lpr
${noworld} /usr/bin/lprm
${noworld} /usr/libexec/pt_chown
${noworld} /usr/sbin/mrinfo
${noworld} /usr/sbin/mtrace
${noworld} /usr/sbin/sliplogin
${noworld} /usr/sbin/timedc
${noworld} /usr/sbin/traceroute
${noworld} /usr/sbin/traceroute6
${noworld} /usr/sbin/ppp
${noworld} /usr/sbin/pppd

################################
# Restrict access to gid files #
################################
${noworld} /usr/bin/fstat
${noworld} /usr/bin/netstat
${noworld} /usr/bin/vmstat
${noworld} /usr/bin/wall
${noworld} /usr/bin/write
${noworld} /usr/bin/lpq
${noworld} /usr/bin/lpr
${noworld} /usr/bin/lprm
${noworld} /usr/libexec/sendmail/sendmail
${noworld} /usr/sbin/trpt
${noworld} /usr/sbin/lpc

########################################
# Restrict access to information files #
########################################
${noworld} /sbin/sysctl
${noworld} /usr/bin/uname
${noworld} /sbin/kldstat
#${noworld} /usr/bin/netstat #Uncomment if using 4.X
${noworld} /sbin/route
${noworld} /usr/sbin/arp
${noworld} /sbin/dmesg
${noworld} /var/run/dmesg.boot
${noworld} /etc/hosts
${noworld} /etc/fstab
${noworld} /etc/ssh/sshd_config
${noworld} /etc/crontab
${noworld} /etc/ftpusers
${noworld} /etc/hosts.allow
${noworld} /etc/host.conf
${noworld} /etc/hosts.equiv
${noworld} /etc/hosts.lpd
${noworld} /etc/inetd.conf
${noworld} /etc/login.access
${noworld} /etc/login.conf
${noworld} /etc/sysctl.conf
${noworld} /etc/syslog.conf
${noworld} /etc/ttys
${noworld} /etc/rc.conf
${noworld} /etc/mac.conf
${noworld} /etc/group
${noworld} /etc/passwd
${noworld} /etc/newsyslog.conf
${noworld} /etc/periodic/
${noworld} /var/db/pkg/
${noworld} /usr/sbin/pkg_version
${noworld} /usr/sbin/pkg_info
${noworld} /usr/bin/last
${noworld} /usr/sbin/lastlogin
${noworld} /sbin/ipfw
${noworld} /sbin/mount
${noworld} /usr/bin/users
${noworld} /usr/bin/w
${noworld} /usr/bin/who
${noworld} /usr/bin/lastcomm
${noworld} /usr/sbin/jls
${noworld} /home/
${noworld} /var/mail/
${noworld} /var/log/