Mudanças entre as edições de "MVB Telecomunicações"
(28 revisões intermediárias por 4 usuários não estão sendo mostradas) | |||
Linha 68: | Linha 68: | ||
=====Configurar o servidor===== | =====Configurar o servidor===== | ||
− | + | ==configurando as interfaces de rede== | |
+ | *foram instaladas 2 interfaces de rede, eth0 ip verdadeiro e eth1 será configurada como gateway de uma rede local, entao será necessario configura pra que o servidor faça o roteamento e nat.<br> | ||
Configurar o arquivo /etc/sysconfig/network-scripts/ifctg-eth0 da seguinte forma:<br> | Configurar o arquivo /etc/sysconfig/network-scripts/ifctg-eth0 da seguinte forma:<br> | ||
− | DEVICE=eth0 | + | DEVICE=eth0 |
− | BOOTPROTO=static | + | BOOTPROTO=static |
− | IPADDR=x.x.x.x | + | IPADDR=x.x.x.x |
− | NETMASK=a.a.a.a | + | NETMASK=a.a.a.a |
− | NETWORK=y.y.y.y | + | NETWORK=y.y.y.y |
− | BROADCAST=z.z.z.z | + | BROADCAST=z.z.z.z |
− | ONBOOT=yes | + | ONBOOT=yes |
− | MII_NOT_SUPPORTED=no | + | MII_NOT_SUPPORTED=no |
<br> | <br> | ||
Configurar o arquivo /etc/sysconfig/network-scripts/ifctg-eth1 da seguinte forma:<br> | Configurar o arquivo /etc/sysconfig/network-scripts/ifctg-eth1 da seguinte forma:<br> | ||
− | DEVICE=eth1 | + | DEVICE=eth1 |
− | BOOTPROTO=static | + | BOOTPROTO=static |
− | IPADDR=192.168.3.1 | + | IPADDR=192.168.3.1 |
− | NETMASK=255.255.255.0 | + | NETMASK=255.255.255.0 |
− | NETWORK=192.168.3.0 | + | NETWORK=192.168.3.0 |
− | BROADCAST=192.168.3.255 | + | BROADCAST=192.168.3.255 |
− | ONBOOT=yes | + | ONBOOT=yes |
− | MII_NOT_SUPPORTED=no | + | MII_NOT_SUPPORTED=no |
<br> | <br> | ||
Linha 98: | Linha 99: | ||
<br> | <br> | ||
− | HOSTNAME=M13 | + | HOSTNAME=M13 |
− | NETWORKING=yes | + | NETWORKING=yes |
− | GATEWAY=200.135.233.254 | + | GATEWAY=200.135.233.254 |
− | GATEWAYDEV=eth0 | + | GATEWAYDEV=eth0 |
− | <br> | + | <br> |
apos editar e salvar as alteraçoes nesses arquivos, é necessario iniciar ou reiniciar os dispositivos executando o seguinte comando:<br> | apos editar e salvar as alteraçoes nesses arquivos, é necessario iniciar ou reiniciar os dispositivos executando o seguinte comando:<br> | ||
+ | service network restart para restart as interfaces | ||
+ | service network start para iniciar as interfaces | ||
+ | service network stop para o serviço | ||
+ | *para ativar o roteamento é feito no seguinte arquivo /etc/sysctl.conf e modificar a seguinte linha:<br> | ||
− | + | net.ipv4.ip_forward=0<br> | |
− | |||
− | |||
− | |||
− | net.ipv4.ip_forward=0<br> | ||
Para:<br> | Para:<br> | ||
− | net.ipv4.ip_forward=1<br> | + | net.ipv4.ip_forward=1<br> |
− | configurando os serviços: | + | =configurando os serviços:= |
− | + | ==DNS== | |
− | instalação do pacote: | + | ===instalação do pacote:=== |
no mandrike 10.1 instalamos o seguinte pacote:<br> | no mandrike 10.1 instalamos o seguinte pacote:<br> | ||
Linha 193: | Linha 194: | ||
*Fechar o arquivo salvando as alterações. | *Fechar o arquivo salvando as alterações. | ||
+ | |||
==Iniciando/Reiniciando/Parando o serviço DNS== | ==Iniciando/Reiniciando/Parando o serviço DNS== | ||
*Após configuração do serviço, inicializá-lo executando: | *Após configuração do serviço, inicializá-lo executando: | ||
Linha 199: | Linha 201: | ||
#service named stop ''(parando o serviço)'' | #service named stop ''(parando o serviço)'' | ||
− | === | + | ==Instalando o Serviço OpenSSH-server== |
− | * | + | *Para instalar o serviço OpenSSH-server, digitar: |
− | # | + | #urpmi openssh-server ''(instala o serviço SSH para que o Servidor seja acessado remotamente)'' |
+ | *para utilizar o serviço nao é necessário editar os arquivo de configuraçao basta dar o comando de inicialização do serviço. | ||
+ | *arquivo de configuração /etc/ssh/sshd_config | ||
+ | |||
+ | |||
+ | #Port 22 (porta em que o ssh opera) | ||
+ | #Protocol 2,1 (versão do protocolo utilizado) | ||
+ | Protocol 2 | ||
+ | #ListenAddress 0.0.0.0 | ||
+ | #ListenAddress :: | ||
+ | |||
+ | # HostKey for protocol version 1 | ||
+ | HostKey /etc/ssh/ssh_host_key | ||
+ | # HostKeys for protocol version 2 | ||
+ | HostKey /etc/ssh/ssh_host_rsa_key | ||
+ | HostKey /etc/ssh/ssh_host_dsa_key | ||
+ | |||
+ | # Lifetime and size of ephemeral version 1 server key | ||
+ | #KeyRegenerationInterval 1h | ||
+ | #ServerKeyBits 768 | ||
+ | |||
+ | # Logging | ||
+ | #obsoletes QuietMode and FascistLogging | ||
+ | #SyslogFacility AUTH | ||
+ | #LogLevel INFO | ||
+ | LoginGraceTime 2m | ||
+ | PermitRootLogin no (permite o login pelo usuario root) | ||
+ | #StrictModes yes | ||
+ | #MaxAuthTries 6 | ||
+ | |||
+ | #RSAAuthentication yes | ||
+ | #PubkeyAuthentication yes | ||
+ | #AuthorizedKeysFile .ssh/authorized_keys | ||
+ | |||
+ | # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts | ||
+ | #RhostsRSAAuthentication no | ||
+ | # similar for protocol version 2 | ||
+ | #HostbasedAuthentication no | ||
+ | # Change to yes if you don't trust ~/.ssh/known_hosts for | ||
+ | # RhostsRSAAuthentication and HostbasedAuthentication | ||
+ | #IgnoreUserKnownHosts no | ||
+ | # Don't read the user's ~/.rhosts and ~/.shosts files | ||
+ | #IgnoreRhosts yes | ||
− | + | # To disable tunneled clear text passwords, change to no here! | |
− | + | #PasswordAuthentication yes (habilita autenticação por senha) | |
+ | #PermitEmptyPasswords no (permite senhas vazias) | ||
− | + | # Change to no to disable s/key passwords | |
+ | #ChallengeResponseAuthentication yes | ||
+ | # Kerberos options | ||
+ | #KerberosAuthentication no | ||
+ | #KerberosOrLocalPasswd yes | ||
+ | #KerberosTicketCleanup yes | ||
+ | #KerberosGetAFSToken no | ||
+ | #AllowTcpForwarding yes | ||
+ | #GatewayPorts no | ||
+ | X11Forwarding yes (repassa conexões do protocolo X window) | ||
+ | #X11DisplayOffset 10 | ||
+ | #X11UseLocalhost yes | ||
+ | #PrintMotd yes | ||
+ | #PrintLastLog yes | ||
+ | #TCPKeepAlive yes | ||
+ | #UseLogin no | ||
+ | UsePrivilegeSeparation yes | ||
+ | #PermitUserEnvironment no | ||
+ | #Compression yes | ||
+ | #ClientAliveInterval 0 | ||
+ | #ClientAliveCountMax 3 | ||
+ | #UseDNS yes | ||
+ | #PidFile /var/run/sshd.pid | ||
+ | #MaxStartups 10 | ||
− | + | # no default banner path | |
+ | #Banner /some/path | ||
− | + | # override default of no subsystems | |
− | + | Subsystem sftp /usr/lib/ssh/sftp-server (habilita servidor sftp) | |
− | |||
− | * | + | *por exemplo; para libera acesso ao servidor para usuario root basta editar na seguinte linha do arquivo /etc/ssh/ssh_config<br> |
− | |||
− | + | PermitRootLogin no | |
+ | para | ||
+ | PermitRootLogin yes | ||
− | |||
− | |||
− | |||
− | |||
Linha 232: | Linha 297: | ||
#service sshd restart ''(reiniciando o serviço)'' | #service sshd restart ''(reiniciando o serviço)'' | ||
#service sshd stop ''(parando o serviço)'' | #service sshd stop ''(parando o serviço)'' | ||
+ | |||
+ | ===Testando OpenSSH=== | ||
+ | *utilizar o computador cliente que tenha o protocolo de acesso remoto SSH, da seguinte forma: | ||
+ | ssh <usuario>@<ip_da_maquina> | ||
+ | * <usuario> tem que estar cadastrado no arquivo: /etc/passwd | ||
==Instalando o Apache== | ==Instalando o Apache== | ||
Linha 239: | Linha 309: | ||
/etc/httpd/conf/httpd.conf | /etc/httpd/conf/httpd.conf | ||
− | === | + | ===Arquivo de configuração para paginas pessoais dos usuarios=== |
− | editar o arquivo /etc/httpd/conf/commonhttpd.conf | + | editar o arquivo /etc/httpd/conf/commonhttpd.conf (apache 1.3.31) |
<Directory /home/*/public_html> | <Directory /home/*/public_html> | ||
AllowOverride FileInfo AuthConfig Limit | AllowOverride FileInfo AuthConfig Limit | ||
Linha 268: | Linha 338: | ||
#service apache restart ''(reiniciando o serviço)'' | #service apache restart ''(reiniciando o serviço)'' | ||
#service apache stop ''(parando o serviço)'' | #service apache stop ''(parando o serviço)'' | ||
+ | ==testando Apache== | ||
+ | basta coloca no navegador o ip local ou nome da maquina para visualiza o index.shml padrão que vem no pacote apache. para editar a pagina html padrão, basta editar /var/www/html/index.shtml | ||
+ | ==Instalando o Serviço Squid== | ||
+ | Squid é um servidor Proxy que pode ser utilizado como firewall, baseado em protocolos que filtram acessos vinods da rede interna da qual faz parte de canal de saída. | ||
− | + | *Para instalar o serviço Squid, digitar: | |
− | |||
#urpmi squid | #urpmi squid | ||
+ | ===Arquivo de configuração=== | ||
+ | edite o arquivo /etc/squid/squid.conf | ||
− | + | http_port 3128 (porta em que o squid trabalha) | |
− | + | cache_mem 16 MB ( tamanho do cache de RAM usado pelo squid) | |
− | + | cache_swap_low 90 | |
+ | cache_swap_high 95 | ||
+ | maximum_object_size 4096 KB | ||
+ | client_netmask 255.255.255.0 (mascara de rede) | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
+ | acl all src 0.0.0.0/0.0.0.0 | ||
+ | acl manager proto cache_object | ||
+ | acl localhost src 127.0.0.1/255.255.255.255 | ||
+ | acl to_localhost dst 127.0.0.0/8 | ||
+ | acl SSL_ports port 443 563 | ||
+ | acl Safe_ports port 80 # http | ||
+ | acl Safe_ports port 21 # ftp | ||
+ | acl Safe_ports port 443 563 # https, snews | ||
+ | acl Safe_ports port 70 # gopher | ||
+ | acl Safe_ports port 210 # wais | ||
+ | acl Safe_ports port 1025-65535 # unregistered ports | ||
+ | acl Safe_ports port 280 # http-mgmt | ||
+ | acl Safe_ports port 488 # gss-http | ||
+ | acl Safe_ports port 591 # filemaker | ||
+ | acl Safe_ports port 777 # multiling http | ||
+ | acl CONNECT method CONNECT | ||
==Bloqueando sites== | ==Bloqueando sites== | ||
====Criando novo arquivo==== | ====Criando novo arquivo==== | ||
− | + | ''*Este arquivo conterá os endereços dos sites cujos acessos serão proibidos. | |
*É necessário que seja inserido um site por linha. | *É necessário que seja inserido um site por linha. | ||
*Criar este arquivo conforme desejar.'' | *Criar este arquivo conforme desejar.'' | ||
− | + | *Criar o arquivo no diretório desejado: | |
− | #vi /etc/squid/ | + | #vi /etc/squid/proibir_sites ''(caminho e nome são exemplos)'' |
*Inserir neste arquivo criado os endereços dos sites proibidos. | *Inserir neste arquivo criado os endereços dos sites proibidos. | ||
Linha 310: | Linha 396: | ||
====Editando o arquivo "squid.conf"==== | ====Editando o arquivo "squid.conf"==== | ||
*Abrir arquivo: | *Abrir arquivo: | ||
− | #vi /etc/squid/squid.conf | + | #vi /etc/squid/squid.conf |
*Inserir as seguintes linhas: | *Inserir as seguintes linhas: | ||
− | acl proibir_sites dstdomain "/etc/squid/ | + | acl proibir_sites dstdomain "/etc/squid/proibir_sites" |
http_access deny proibir_sites | http_access deny proibir_sites | ||
Linha 321: | Linha 407: | ||
====Criando novo arquivo==== | ====Criando novo arquivo==== | ||
− | + | ''*Este arquivo conterá as palavras que não devem ser pesquisadasem sites de busca e também presentes no corpo de sites indesejados. | |
− | + | *É necessário que seja inserida uma palavra por linha. | |
− | + | *Criar este arquivo conforme desejar.'' | |
− | + | *Criar o arquivo no diretório desejado: | |
− | #vi /etc/squid/ | + | #vi /etc/squid/proibir_palavras ''(caminho e nome são exemplos)'' |
*Inserir neste arquivo criado as palavras indesejadas. | *Inserir neste arquivo criado as palavras indesejadas. | ||
Linha 340: | Linha 426: | ||
*Fechar o arquivo salvando-o. | *Fechar o arquivo salvando-o. | ||
− | |||
====Editando o arquivo "squid.conf"==== | ====Editando o arquivo "squid.conf"==== | ||
Linha 378: | Linha 463: | ||
*Após isso, criar a seguinte regra, caso esteja utilizando iptables: | *Após isso, criar a seguinte regra, caso esteja utilizando iptables: | ||
#IPTABLES -t nat -A PREROUTING -i eth'x' -p -tcp -dport 80 \ -j REDIRECT -to-port 3128 | #IPTABLES -t nat -A PREROUTING -i eth'x' -p -tcp -dport 80 \ -j REDIRECT -to-port 3128 | ||
+ | |||
+ | ==Instalando o Serviço de FTP== | ||
+ | |||
+ | FTP é a abreviatura de File Transfer Protocol (protocolo de transferência de arquivos). Esse é um dos principais protocolos responsáveis pela transferência de arquivos entre conputadores interligados através de qualquer tipo de rede (LAN, internet, wireless, etc...). | ||
+ | |||
+ | *Para instalar o serviço FTP é necessário baixá-lo da internet. Em nosso servidor usaremos o vsftpd e para instalá-lo digite: | ||
+ | #urpmi vsftpd-2.0.2-3mdk.i586.rpm | ||
+ | |||
+ | ===Arquivos de configuração=== | ||
+ | *Não há necessidade de alterar o arquivo, basta apenas instalar. | ||
+ | |||
+ | #/etc/vsftpd.conf | ||
+ | |||
+ | *Contém nomes de usuário que não podem acessar o servidor FTP. | ||
+ | #/etc/vsftpd.ftpusers | ||
+ | |||
+ | *Contém os nomes dos usuário que podem acessar ou não o servidor FTP. | ||
+ | #/etc/vsftpd.user_list | ||
+ | |||
+ | ===Iniciando/Reiniciando/Parando o serviço FTP=== | ||
+ | *Após a instalação deste programa, inicializá-lo executando: | ||
+ | #service vsftpd start ''(iniciando o serviço)'' | ||
+ | #service vsftpd restart ''(reiniciando o serviço)'' | ||
+ | #service vsftpd stop ''(parando o serviço)'' | ||
+ | |||
+ | ===Testando FTP=== | ||
+ | *utilizar o computador cliente que tenha o protocolo de acesso FTP, da seguinte forma: | ||
+ | ftp <ip_da_maquina> | ||
+ | * <usuario> tem que estar cadastrado no arquivo: /etc/passwd | ||
+ | * <senha> do usuário utilizador | ||
==Testando o Serviço== | ==Testando o Serviço== | ||
Linha 422: | Linha 537: | ||
|Cabeamento || || 4 dias || | |Cabeamento || || 4 dias || | ||
|- | |- | ||
− | |Instalação do SO ||1 dia|| | + | |Instalação do SO ||1 dia|| || |
|- | |- | ||
|Apache || 2 dias|| || | |Apache || 2 dias|| || | ||
Linha 446: | Linha 561: | ||
|Squid || || || 1 dia | |Squid || || || 1 dia | ||
|} | |} | ||
− |
Edição atual tal como às 06h35min de 13 de outubro de 2008
Modelo de Relatório para o Projeto de Integração da Terceira Fase de Redes
Datas
O projeto deverá ser entregue até o dia 06/03/2007. A etapa de implementação se dará entre os dias 15/03 à 04/04/2007.
Objetivos
implementar serviços de e-mail, firewall, web entre outros em um servidor com sistema operacional linux, conectado a internet e a rede local atraves de modem analogico e interface lan.
Descrição do Projeto
Detalhar o projeto, como será a rede, quais equipamentos serão utilizados, como serão interligados, o que exatamente deve ser configurado e em quais equipamentos. Utilizar esquemas (desenhos) se necessário. (mínimo 2 e máximo 10 páginas )
Instalação do Servidor
Formatação do Servidor e Instalação do Linux
Fomatação do HD.
1- configurar bios do computador para da boot pelo CD
2- Inserir o CD1 da Distribuição Linux Mandrake 10.1
3- escolher a partição que deseja formatar
4- esperar a reinicialização apos a formatação
instalação do mandrake 10.1
1- Inserir o CD1 da Distribuição Mandrake Linux 10.1
2- selecionar install e prescionar enter
3- Selecionar idioma Português Brasil. Clicar Next;
4- Nas próximas janelas, clicar Aceitar e Próximo respectivamente;
5- Na janela de Opções de Nível de Segurança, selecionar nível Padrão;
6- Selecionar a opção de nova instalação, com 3 CD´S;
7- Na janela de particionamento personalizado, fazer o seguinte:
8- Selecionar uma partição livre e criar uma nova com o tamanho desejado;
9- Clicar em definir ponto de montagem;
10- Clicar em confirmar;
11- Na janela atual, selecionar os pacotes que serão instalados e após isso, clicar em confirmar;
12- Definir uma senha de root;
13- Selecionar local em que deseja instalar o Gerenciador de Inicialização "MBR";
14- Clicar sobre o item Configurações somente Rede - LAN e Login e após, clicar em Próximo;
15- Clicar em "Reiniciar";
Etapas de Execução
Descrever detalhadamente as etapas a serem executadas, por exemplo:
Cabeamento
Realizar o cabeamento interligando os equipamentos X, Y e Z.
Levar a linha telefonica até a bancada W.
Identificar cada cabo e tomada com etiquetas.
A identificação será feita seguindo o seguinte código ABC, onde A número da tomada, B equipe, C equipamento final.
Testar os cabos.
Configurar o servidor
configurando as interfaces de rede
- foram instaladas 2 interfaces de rede, eth0 ip verdadeiro e eth1 será configurada como gateway de uma rede local, entao será necessario configura pra que o servidor faça o roteamento e nat.
Configurar o arquivo /etc/sysconfig/network-scripts/ifctg-eth0 da seguinte forma:
DEVICE=eth0 BOOTPROTO=static IPADDR=x.x.x.x NETMASK=a.a.a.a NETWORK=y.y.y.y BROADCAST=z.z.z.z ONBOOT=yes MII_NOT_SUPPORTED=no
Configurar o arquivo /etc/sysconfig/network-scripts/ifctg-eth1 da seguinte forma:
DEVICE=eth1 BOOTPROTO=static IPADDR=192.168.3.1 NETMASK=255.255.255.0 NETWORK=192.168.3.0 BROADCAST=192.168.3.255 ONBOOT=yes MII_NOT_SUPPORTED=no
Alterar o arquivo /etc/sysconfig/network da seguinte forma:
HOSTNAME=M13 NETWORKING=yes GATEWAY=200.135.233.254 GATEWAYDEV=eth0
apos editar e salvar as alteraçoes nesses arquivos, é necessario iniciar ou reiniciar os dispositivos executando o seguinte comando:
service network restart para restart as interfaces service network start para iniciar as interfaces service network stop para o serviço
- para ativar o roteamento é feito no seguinte arquivo /etc/sysctl.conf e modificar a seguinte linha:
net.ipv4.ip_forward=0
Para:
net.ipv4.ip_forward=1
configurando os serviços:
DNS
instalação do pacote:
no mandrike 10.1 instalamos o seguinte pacote:
# urpmi bind (a versão que será instalada do bind é a 9.3.0)
copiar os seguintes arquivos de configuração:
# cp /usr/share/doc/bind-9.3.0/chroot/named/etc/named.conf /etc/
# cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/mandrakesoft.zone /var/named/mvb.zone
# cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/named.ca /var/named/
# cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/named.local /var/named/
# cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/mandrakesoft.reversed /var/named/
para criar o arquivo zone voce pode utlizar como modelo o mandrakesort.zone, no caso da conversão direta de nome pra ip, mas editando e renomeando o arquivo com o "dominio".zone
vi /var/named/"dominio".zone
$ORIGIN . $TTL 86400 ; 1 day mvb.sj.cefetsc.edu.br. IN SOA m13.mvb.sj.cefetsc.edu.br. root.m13.mvb.sj.cefetsc.edu.br. ( 2007032700 ; serial 86400 ; refresh (1 day) 21600 ; retry (6 hours) 3600000 ; expire (5 weeks 6 days 16 hours) 3600 ; minimum (1 hour) ) NS m13.mvb.sj.cefetsc.edu.br. IN MX 0 m13.mvb.sj.cefetsc.edu.br. $ORIGIN mvb.sj.cefetsc.edu.br. $TTL 86400 ; 1 day localhost A 127.0.0.1 ftp A x.x.x.x m13 A x.x.x.x local A x.x.x.x www A x.x.x.x mail A x.x.x.x
abrir o /etc/named.conf e editar no final do arquivo:
// workaround stupid stuff... (OE: Wed 17 Sep 2003) zone "ac" { type delegation-only; }; zone "cc" { type delegation-only; }; zone "com" { type delegation-only; }; zone "cx" { type delegation-only; }; zone "museum" { type delegation-only; }; zone "net" { type delegation-only; }; zone "nu" { type delegation-only; }; zone "ph" { type delegation-only; }; zone "sh" { type delegation-only; }; zone "tm" { type delegation-only; }; zone "ws" { type delegation-only; }; zone "mvb.sj.cefetsc.edu.br" { type master; file "dominio.zone"; allow-update { key mykey; }; };
Abrir arquivo:
#vi /etc/resolv.conf
- Alterar da seguinte forma:
search m13.mvb.sj.cefetsc.edu.br. nome da maquina namserver 127.0.0.1 search hendrix.sj.cefetsc.edu.br nome do servidor dns externo nameserver 200.135.233.1 ip da maquina # ppp temp entry
- Fechar o arquivo salvando as alterações.
Iniciando/Reiniciando/Parando o serviço DNS
- Após configuração do serviço, inicializá-lo executando:
#service named start (iniciando o serviço) #service named restart (reiniciando o serviço) #service named stop (parando o serviço)
Instalando o Serviço OpenSSH-server
- Para instalar o serviço OpenSSH-server, digitar:
#urpmi openssh-server (instala o serviço SSH para que o Servidor seja acessado remotamente)
- para utilizar o serviço nao é necessário editar os arquivo de configuraçao basta dar o comando de inicialização do serviço.
- arquivo de configuração /etc/ssh/sshd_config
#Port 22 (porta em que o ssh opera) #Protocol 2,1 (versão do protocolo utilizado) Protocol 2 #ListenAddress 0.0.0.0 #ListenAddress ::
# HostKey for protocol version 1 HostKey /etc/ssh/ssh_host_key # HostKeys for protocol version 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key #KeyRegenerationInterval 1h #ServerKeyBits 768
# Logging #obsoletes QuietMode and FascistLogging #SyslogFacility AUTH #LogLevel INFO LoginGraceTime 2m PermitRootLogin no (permite o login pelo usuario root) #StrictModes yes #MaxAuthTries 6
#RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeysFile .ssh/authorized_keys
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts #RhostsRSAAuthentication no # similar for protocol version 2 #HostbasedAuthentication no # Change to yes if you don't trust ~/.ssh/known_hosts for # RhostsRSAAuthentication and HostbasedAuthentication #IgnoreUserKnownHosts no # Don't read the user's ~/.rhosts and ~/.shosts files #IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here! #PasswordAuthentication yes (habilita autenticação por senha) #PermitEmptyPasswords no (permite senhas vazias)
# Change to no to disable s/key passwords #ChallengeResponseAuthentication yes
# Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes #KerberosGetAFSToken no
#AllowTcpForwarding yes #GatewayPorts no X11Forwarding yes (repassa conexões do protocolo X window) #X11DisplayOffset 10 #X11UseLocalhost yes #PrintMotd yes #PrintLastLog yes #TCPKeepAlive yes #UseLogin no UsePrivilegeSeparation yes #PermitUserEnvironment no #Compression yes #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS yes #PidFile /var/run/sshd.pid #MaxStartups 10
# no default banner path #Banner /some/path
# override default of no subsystems Subsystem sftp /usr/lib/ssh/sftp-server (habilita servidor sftp)
- por exemplo; para libera acesso ao servidor para usuario root basta editar na seguinte linha do arquivo /etc/ssh/ssh_config
PermitRootLogin no
para
PermitRootLogin yes
Iniciando/Reiniciando/Parando o serviço OpenSSH
- Após configuração destes arquivos, inicializá-lo executando:
#service sshd start (iniciando o serviço) #service sshd restart (reiniciando o serviço) #service sshd stop (parando o serviço)
Testando OpenSSH
- utilizar o computador cliente que tenha o protocolo de acesso remoto SSH, da seguinte forma:
ssh <usuario>@<ip_da_maquina>
- <usuario> tem que estar cadastrado no arquivo: /etc/passwd
Instalando o Apache
#urpmi apache
Arquivo dee configuração
/etc/httpd/conf/httpd.conf
Arquivo de configuração para paginas pessoais dos usuarios
editar o arquivo /etc/httpd/conf/commonhttpd.conf (apache 1.3.31)
<Directory /home/*/public_html> AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec <Limit GET POST OPTIONS PROPFIND> Order allow,deny Allow from all </Limit> <LimitExcept GET POST OPTIONS PROPFIND> Order deny,allow Deny from all </LimitExcept> </Directory>
#<Directory /home/*/public_html> # AllowOverride All # Options MultiViews -Indexes Includes FollowSymLinks # <IfModule mod_access.c> # Order allow,deny # Allow from all # </IfModule> #</Directory>
Iniciando/Reiniciando/Parando o serviço Apache
- Após configuração deste arquivo, inicializá-lo executando:
#service apache start (iniciando o serviço) #service apache restart (reiniciando o serviço) #service apache stop (parando o serviço)
testando Apache
basta coloca no navegador o ip local ou nome da maquina para visualiza o index.shml padrão que vem no pacote apache. para editar a pagina html padrão, basta editar /var/www/html/index.shtml
Instalando o Serviço Squid
Squid é um servidor Proxy que pode ser utilizado como firewall, baseado em protocolos que filtram acessos vinods da rede interna da qual faz parte de canal de saída.
- Para instalar o serviço Squid, digitar:
#urpmi squid
Arquivo de configuração
edite o arquivo /etc/squid/squid.conf
http_port 3128 (porta em que o squid trabalha) cache_mem 16 MB ( tamanho do cache de RAM usado pelo squid) cache_swap_low 90 cache_swap_high 95 maximum_object_size 4096 KB client_netmask 255.255.255.0 (mascara de rede)
acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT
Bloqueando sites
Criando novo arquivo
*Este arquivo conterá os endereços dos sites cujos acessos serão proibidos.
- É necessário que seja inserido um site por linha.
- Criar este arquivo conforme desejar.
- Criar o arquivo no diretório desejado:
#vi /etc/squid/proibir_sites (caminho e nome são exemplos)
- Inserir neste arquivo criado os endereços dos sites proibidos.
Por exemplo: www.playboy.com.br www.sexo.com.br www.batepapo.com.br www.fotolog.com www.orkut.com e assim por diante.
- Fechar o arquivo salvando-o.
Editando o arquivo "squid.conf"
- Abrir arquivo:
#vi /etc/squid/squid.conf
- Inserir as seguintes linhas:
acl proibir_sites dstdomain "/etc/squid/proibir_sites" http_access deny proibir_sites
- Fechar o arquivo salvando as alterações.
Bloqueando palavras
Criando novo arquivo
*Este arquivo conterá as palavras que não devem ser pesquisadasem sites de busca e também presentes no corpo de sites indesejados.
- É necessário que seja inserida uma palavra por linha.
- Criar este arquivo conforme desejar.
- Criar o arquivo no diretório desejado:
#vi /etc/squid/proibir_palavras (caminho e nome são exemplos)
- Inserir neste arquivo criado as palavras indesejadas.
Por exemplo: sexo orkut batepapo bate-papo fotolog flog blog
e assim por diante.
- Fechar o arquivo salvando-o.
Editando o arquivo "squid.conf"
- Abrir arquivo:
#vi /etc/squid/squid.conf
- Inserir as seguintes linhas:
acl proibir_palavras url_regex -i "/etc/squid/palavras_proibidas" http_access deny proibir_palavras
- Fechar o arquivo salvando as alterações.
Iniciando/Reiniciando/Parando o serviço Squid
- Após a configuração deste arquivo, inicializá-lo executando:
#service squid start (iniciando o serviço) #service squid restart (reiniciando o serviço) #service squid stop (parando o serviço)
- Configurar o Navegador da seguinte forma:
- Abrir a opção Configurações de Proxy do Navegador; - Preencher o campo de Servidor de Proxy com o endereço IP; - Atribuir a porta 3128, de uso do Squid.
Configurando o Proxy Transparente
- Editar o seguinte arquivo:
#vi /etc/squid/squid.conf
- Descomentar as seguintes linhas do arquivo:
http_accel_host virtual http_accel_port 80 http_accel_with_proxy on http_accel_uses_host_header on
- Fechar o arquivo salvando as alterações.
- Após isso, criar a seguinte regra, caso esteja utilizando iptables:
#IPTABLES -t nat -A PREROUTING -i eth'x' -p -tcp -dport 80 \ -j REDIRECT -to-port 3128
Instalando o Serviço de FTP
FTP é a abreviatura de File Transfer Protocol (protocolo de transferência de arquivos). Esse é um dos principais protocolos responsáveis pela transferência de arquivos entre conputadores interligados através de qualquer tipo de rede (LAN, internet, wireless, etc...).
- Para instalar o serviço FTP é necessário baixá-lo da internet. Em nosso servidor usaremos o vsftpd e para instalá-lo digite:
#urpmi vsftpd-2.0.2-3mdk.i586.rpm
Arquivos de configuração
- Não há necessidade de alterar o arquivo, basta apenas instalar.
#/etc/vsftpd.conf
- Contém nomes de usuário que não podem acessar o servidor FTP.
#/etc/vsftpd.ftpusers
- Contém os nomes dos usuário que podem acessar ou não o servidor FTP.
#/etc/vsftpd.user_list
Iniciando/Reiniciando/Parando o serviço FTP
- Após a instalação deste programa, inicializá-lo executando:
#service vsftpd start (iniciando o serviço) #service vsftpd restart (reiniciando o serviço) #service vsftpd stop (parando o serviço)
Testando FTP
- utilizar o computador cliente que tenha o protocolo de acesso FTP, da seguinte forma:
ftp <ip_da_maquina>
- <usuario> tem que estar cadastrado no arquivo: /etc/passwd
- <senha> do usuário utilizador
Testando o Serviço
- Abrir o Navegador e acessar sites que estão inclusos nas Regras criadas ou que contenham as palavras proibidas.
- Se tudo estiver configurado corretamente, ao acessar um site que esteja com acesso proibido, conforme regra criada, será mostrada uma página com informações de acesso negado.
- Caso seja possível acessar um site que esteja na regra de proibição, verificar a configuração dos arquivos editados e criados. Se necessário, tornar a editá-los e refazer os testes.
Abrir o arquivo XXXX, no diretório YYYYY, acrescentar as seguintes linhas:
AAAAAAAAA
BBBBBBBBB
Executar os seguintes comandos:
CCCC
DDDD
Testar o funcionamento da seguinte forma:
Fdklafka
...
Listagem do material utilizados
Detalhar todo o material e equipamentos a serem utilizados ao longo do projeto.
Cronograma de Execução previsto
Obs.: Lembre-se de durante a execução do projeto anotar as datas de execução das etapas do mesmo e comparar com o previsto. Isto o ajudará no futuro profissional a melhor avaliar os tempos envolvidos em projetos deste tipo.
Nome da Etapa | Semana 1 | Semana 2 | Semana 3 |
---|---|---|---|
Servidor WEB | 1 dia | ||
Cabeamento | 4 dias | ||
Instalação do SO | 1 dia | ||
Apache | 2 dias | ||
Postfix | 2 dias | ||
DenyHosts | 1 dia | ||
Ftp | 1 dia | ||
Ssh | 1 dia | ||
Firewall | 1 dia | ||
Roteamento | 1 dia | ||
DNS | 1 dia | ||
Postfix | 1 dia | ||
NAT | 1 dia | ||
Squid | 1 dia |