Mudanças entre as edições de "MVB Telecomunicações"
(68 revisões intermediárias por 7 usuários não estão sendo mostradas) | |||
Linha 20: | Linha 20: | ||
Utilizar esquemas (desenhos) se necessário. (mínimo 2 e máximo 10 páginas ) | Utilizar esquemas (desenhos) se necessário. (mínimo 2 e máximo 10 páginas ) | ||
+ | Instalação do Servidor | ||
+ | |||
+ | |||
+ | |||
+ | Formatação do Servidor e Instalação do Linux | ||
+ | |||
+ | Fomatação do HD. | ||
+ | |||
+ | 1- configurar bios do computador para da boot pelo CD<br> | ||
+ | 2- Inserir o CD1 da Distribuição Linux Mandrake 10.1<br> | ||
+ | 3- escolher a partição que deseja formatar<br> | ||
+ | 4- esperar a reinicialização apos a formatação<br> | ||
+ | |||
+ | instalação do mandrake 10.1 | ||
+ | |||
+ | 1- Inserir o CD1 da Distribuição Mandrake Linux 10.1<br> | ||
+ | 2- selecionar install e prescionar enter <br> | ||
+ | 3- Selecionar idioma Português Brasil. Clicar Next;<br> | ||
+ | 4- Nas próximas janelas, clicar Aceitar e Próximo respectivamente;<br> | ||
+ | 5- Na janela de Opções de Nível de Segurança, selecionar nível Padrão;<br> | ||
+ | 6- Selecionar a opção de nova instalação, com 3 CD´S;<br> | ||
+ | 7- Na janela de particionamento personalizado, fazer o seguinte:<br> | ||
+ | 8- Selecionar uma partição livre e criar uma nova com o tamanho desejado;<br> | ||
+ | 9- Clicar em definir ponto de montagem;<br> | ||
+ | 10- Clicar em confirmar;<br> | ||
+ | 11- Na janela atual, selecionar os pacotes que serão instalados e após isso, clicar em confirmar;<br> | ||
+ | 12- Definir uma senha de root;<br> | ||
+ | 13- Selecionar local em que deseja instalar o Gerenciador de Inicialização "MBR";<br> | ||
+ | 14- Clicar sobre o item Configurações somente Rede - LAN e Login e após, clicar em Próximo;<br> | ||
+ | 15- Clicar em "Reiniciar";<br> | ||
====Etapas de Execução==== | ====Etapas de Execução==== | ||
Linha 38: | Linha 68: | ||
=====Configurar o servidor===== | =====Configurar o servidor===== | ||
+ | ==configurando as interfaces de rede== | ||
+ | *foram instaladas 2 interfaces de rede, eth0 ip verdadeiro e eth1 será configurada como gateway de uma rede local, entao será necessario configura pra que o servidor faça o roteamento e nat.<br> | ||
+ | |||
+ | |||
+ | Configurar o arquivo /etc/sysconfig/network-scripts/ifctg-eth0 da seguinte forma:<br> | ||
+ | DEVICE=eth0 | ||
+ | BOOTPROTO=static | ||
+ | IPADDR=x.x.x.x | ||
+ | NETMASK=a.a.a.a | ||
+ | NETWORK=y.y.y.y | ||
+ | BROADCAST=z.z.z.z | ||
+ | ONBOOT=yes | ||
+ | MII_NOT_SUPPORTED=no | ||
+ | <br> | ||
+ | |||
+ | Configurar o arquivo /etc/sysconfig/network-scripts/ifctg-eth1 da seguinte forma:<br> | ||
+ | DEVICE=eth1 | ||
+ | BOOTPROTO=static | ||
+ | IPADDR=192.168.3.1 | ||
+ | NETMASK=255.255.255.0 | ||
+ | NETWORK=192.168.3.0 | ||
+ | BROADCAST=192.168.3.255 | ||
+ | ONBOOT=yes | ||
+ | MII_NOT_SUPPORTED=no | ||
+ | <br> | ||
+ | |||
+ | |||
+ | |||
+ | Alterar o arquivo /etc/sysconfig/network da seguinte forma:<br> | ||
+ | <br> | ||
+ | |||
+ | HOSTNAME=M13 | ||
+ | NETWORKING=yes | ||
+ | GATEWAY=200.135.233.254 | ||
+ | GATEWAYDEV=eth0 | ||
+ | <br> | ||
+ | |||
+ | |||
+ | apos editar e salvar as alteraçoes nesses arquivos, é necessario iniciar ou reiniciar os dispositivos executando o seguinte comando:<br> | ||
+ | service network restart para restart as interfaces | ||
+ | service network start para iniciar as interfaces | ||
+ | service network stop para o serviço | ||
+ | *para ativar o roteamento é feito no seguinte arquivo /etc/sysctl.conf e modificar a seguinte linha:<br> | ||
+ | |||
+ | net.ipv4.ip_forward=0<br> | ||
+ | |||
+ | Para:<br> | ||
+ | |||
+ | net.ipv4.ip_forward=1<br> | ||
+ | |||
+ | =configurando os serviços:= | ||
+ | |||
+ | ==DNS== | ||
+ | |||
+ | ===instalação do pacote:=== | ||
+ | no mandrike 10.1 instalamos o seguinte pacote:<br> | ||
+ | |||
+ | # urpmi bind (a versão que será instalada do bind é a 9.3.0)<br> | ||
+ | |||
+ | copiar os seguintes arquivos de configuração:<br> | ||
+ | # cp /usr/share/doc/bind-9.3.0/chroot/named/etc/named.conf /etc/<br> | ||
+ | # cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/mandrakesoft.zone /var/named/mvb.zone<br> | ||
+ | # cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/named.ca /var/named/<br> | ||
+ | # cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/named.local /var/named/<br> | ||
+ | # cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/mandrakesoft.reversed /var/named/<br> | ||
+ | |||
+ | para criar o arquivo zone voce pode utlizar como modelo o mandrakesort.zone, no caso da conversão direta de nome pra ip, mas editando e renomeando o arquivo com o "dominio".zone | ||
+ | |||
+ | vi /var/named/"dominio".zone <br> | ||
+ | |||
+ | $ORIGIN . | ||
+ | $TTL 86400 ; 1 day | ||
+ | mvb.sj.cefetsc.edu.br. IN SOA m13.mvb.sj.cefetsc.edu.br. root.m13.mvb.sj.cefetsc.edu.br. ( | ||
+ | 2007032700 ; serial | ||
+ | 86400 ; refresh (1 day) | ||
+ | 21600 ; retry (6 hours) | ||
+ | 3600000 ; expire (5 weeks 6 days 16 hours) | ||
+ | 3600 ; minimum (1 hour) | ||
+ | ) | ||
+ | NS m13.mvb.sj.cefetsc.edu.br. | ||
+ | IN MX 0 m13.mvb.sj.cefetsc.edu.br. | ||
+ | $ORIGIN mvb.sj.cefetsc.edu.br. | ||
+ | $TTL 86400 ; 1 day | ||
+ | localhost A 127.0.0.1 | ||
+ | ftp A x.x.x.x | ||
+ | m13 A x.x.x.x | ||
+ | local A x.x.x.x | ||
+ | www A x.x.x.x | ||
+ | mail A x.x.x.x | ||
+ | |||
+ | abrir o /etc/named.conf e editar no final do arquivo: <br> | ||
+ | // workaround stupid stuff... (OE: Wed 17 Sep 2003) | ||
+ | zone "ac" { type delegation-only; }; | ||
+ | zone "cc" { type delegation-only; }; | ||
+ | zone "com" { type delegation-only; }; | ||
+ | zone "cx" { type delegation-only; }; | ||
+ | zone "museum" { type delegation-only; }; | ||
+ | zone "net" { type delegation-only; }; | ||
+ | zone "nu" { type delegation-only; }; | ||
+ | zone "ph" { type delegation-only; }; | ||
+ | zone "sh" { type delegation-only; }; | ||
+ | zone "tm" { type delegation-only; }; | ||
+ | zone "ws" { type delegation-only; }; | ||
+ | |||
+ | |||
+ | zone "mvb.sj.cefetsc.edu.br" { | ||
+ | type master; | ||
+ | file "dominio.zone"; | ||
+ | allow-update { key mykey; }; | ||
+ | }; | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | Abrir arquivo: | ||
+ | #vi /etc/resolv.conf | ||
+ | |||
+ | *Alterar da seguinte forma: | ||
+ | search m13.mvb.sj.cefetsc.edu.br. nome da maquina | ||
+ | namserver 127.0.0.1 | ||
+ | search hendrix.sj.cefetsc.edu.br nome do servidor dns externo | ||
+ | nameserver 200.135.233.1 ip da maquina | ||
+ | # ppp temp entry | ||
+ | |||
+ | |||
+ | *Fechar o arquivo salvando as alterações. | ||
+ | |||
+ | ==Iniciando/Reiniciando/Parando o serviço DNS== | ||
+ | *Após configuração do serviço, inicializá-lo executando: | ||
+ | #service named start ''(iniciando o serviço)'' | ||
+ | #service named restart ''(reiniciando o serviço)'' | ||
+ | #service named stop ''(parando o serviço)'' | ||
+ | |||
+ | ==Instalando o Serviço OpenSSH-server== | ||
+ | *Para instalar o serviço OpenSSH-server, digitar: | ||
+ | #urpmi openssh-server ''(instala o serviço SSH para que o Servidor seja acessado remotamente)'' | ||
+ | *para utilizar o serviço nao é necessário editar os arquivo de configuraçao basta dar o comando de inicialização do serviço. | ||
+ | *arquivo de configuração /etc/ssh/sshd_config | ||
+ | |||
+ | |||
+ | #Port 22 (porta em que o ssh opera) | ||
+ | #Protocol 2,1 (versão do protocolo utilizado) | ||
+ | Protocol 2 | ||
+ | #ListenAddress 0.0.0.0 | ||
+ | #ListenAddress :: | ||
+ | |||
+ | # HostKey for protocol version 1 | ||
+ | HostKey /etc/ssh/ssh_host_key | ||
+ | # HostKeys for protocol version 2 | ||
+ | HostKey /etc/ssh/ssh_host_rsa_key | ||
+ | HostKey /etc/ssh/ssh_host_dsa_key | ||
+ | |||
+ | # Lifetime and size of ephemeral version 1 server key | ||
+ | #KeyRegenerationInterval 1h | ||
+ | #ServerKeyBits 768 | ||
+ | |||
+ | # Logging | ||
+ | #obsoletes QuietMode and FascistLogging | ||
+ | #SyslogFacility AUTH | ||
+ | #LogLevel INFO | ||
+ | LoginGraceTime 2m | ||
+ | PermitRootLogin no (permite o login pelo usuario root) | ||
+ | #StrictModes yes | ||
+ | #MaxAuthTries 6 | ||
+ | |||
+ | #RSAAuthentication yes | ||
+ | #PubkeyAuthentication yes | ||
+ | #AuthorizedKeysFile .ssh/authorized_keys | ||
+ | |||
+ | # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts | ||
+ | #RhostsRSAAuthentication no | ||
+ | # similar for protocol version 2 | ||
+ | #HostbasedAuthentication no | ||
+ | # Change to yes if you don't trust ~/.ssh/known_hosts for | ||
+ | # RhostsRSAAuthentication and HostbasedAuthentication | ||
+ | #IgnoreUserKnownHosts no | ||
+ | # Don't read the user's ~/.rhosts and ~/.shosts files | ||
+ | #IgnoreRhosts yes | ||
− | ( | + | # To disable tunneled clear text passwords, change to no here! |
+ | #PasswordAuthentication yes (habilita autenticação por senha) | ||
+ | #PermitEmptyPasswords no (permite senhas vazias) | ||
+ | # Change to no to disable s/key passwords | ||
+ | #ChallengeResponseAuthentication yes | ||
+ | |||
+ | # Kerberos options | ||
+ | #KerberosAuthentication no | ||
+ | #KerberosOrLocalPasswd yes | ||
+ | #KerberosTicketCleanup yes | ||
+ | #KerberosGetAFSToken no | ||
+ | |||
+ | #AllowTcpForwarding yes | ||
+ | #GatewayPorts no | ||
+ | X11Forwarding yes (repassa conexões do protocolo X window) | ||
+ | #X11DisplayOffset 10 | ||
+ | #X11UseLocalhost yes | ||
+ | #PrintMotd yes | ||
+ | #PrintLastLog yes | ||
+ | #TCPKeepAlive yes | ||
+ | #UseLogin no | ||
+ | UsePrivilegeSeparation yes | ||
+ | #PermitUserEnvironment no | ||
+ | #Compression yes | ||
+ | #ClientAliveInterval 0 | ||
+ | #ClientAliveCountMax 3 | ||
+ | #UseDNS yes | ||
+ | #PidFile /var/run/sshd.pid | ||
+ | #MaxStartups 10 | ||
+ | |||
+ | # no default banner path | ||
+ | #Banner /some/path | ||
+ | |||
+ | # override default of no subsystems | ||
+ | Subsystem sftp /usr/lib/ssh/sftp-server (habilita servidor sftp) | ||
+ | |||
+ | *por exemplo; para libera acesso ao servidor para usuario root basta editar na seguinte linha do arquivo /etc/ssh/ssh_config<br> | ||
+ | |||
+ | PermitRootLogin no | ||
+ | para | ||
+ | PermitRootLogin yes | ||
+ | |||
+ | |||
+ | |||
+ | ===Iniciando/Reiniciando/Parando o serviço OpenSSH=== | ||
+ | *Após configuração destes arquivos, inicializá-lo executando: | ||
+ | #service sshd start ''(iniciando o serviço)'' | ||
+ | #service sshd restart ''(reiniciando o serviço)'' | ||
+ | #service sshd stop ''(parando o serviço)'' | ||
+ | |||
+ | ===Testando OpenSSH=== | ||
+ | *utilizar o computador cliente que tenha o protocolo de acesso remoto SSH, da seguinte forma: | ||
+ | ssh <usuario>@<ip_da_maquina> | ||
+ | * <usuario> tem que estar cadastrado no arquivo: /etc/passwd | ||
+ | |||
+ | ==Instalando o Apache== | ||
+ | #urpmi apache | ||
+ | |||
+ | ===Arquivo dee configuração=== | ||
+ | /etc/httpd/conf/httpd.conf | ||
+ | |||
+ | ===Arquivo de configuração para paginas pessoais dos usuarios=== | ||
+ | editar o arquivo /etc/httpd/conf/commonhttpd.conf (apache 1.3.31) | ||
+ | <Directory /home/*/public_html> | ||
+ | AllowOverride FileInfo AuthConfig Limit | ||
+ | Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec | ||
+ | <Limit GET POST OPTIONS PROPFIND> | ||
+ | Order allow,deny | ||
+ | Allow from all | ||
+ | </Limit> | ||
+ | <LimitExcept GET POST OPTIONS PROPFIND> | ||
+ | Order deny,allow | ||
+ | Deny from all | ||
+ | </LimitExcept> | ||
+ | </Directory> | ||
+ | |||
+ | #<Directory /home/*/public_html> | ||
+ | # AllowOverride All | ||
+ | # Options MultiViews -Indexes Includes FollowSymLinks | ||
+ | # <IfModule mod_access.c> | ||
+ | # Order allow,deny | ||
+ | # Allow from all | ||
+ | # </IfModule> | ||
+ | #</Directory> | ||
+ | |||
+ | ==Iniciando/Reiniciando/Parando o serviço Apache== | ||
+ | *Após configuração deste arquivo, inicializá-lo executando: | ||
+ | #service apache start ''(iniciando o serviço)'' | ||
+ | #service apache restart ''(reiniciando o serviço)'' | ||
+ | #service apache stop ''(parando o serviço)'' | ||
+ | ==testando Apache== | ||
+ | basta coloca no navegador o ip local ou nome da maquina para visualiza o index.shml padrão que vem no pacote apache. para editar a pagina html padrão, basta editar /var/www/html/index.shtml | ||
+ | |||
+ | ==Instalando o Serviço Squid== | ||
+ | Squid é um servidor Proxy que pode ser utilizado como firewall, baseado em protocolos que filtram acessos vinods da rede interna da qual faz parte de canal de saída. | ||
+ | |||
+ | *Para instalar o serviço Squid, digitar: | ||
+ | #urpmi squid | ||
+ | ===Arquivo de configuração=== | ||
+ | edite o arquivo /etc/squid/squid.conf | ||
+ | |||
+ | http_port 3128 (porta em que o squid trabalha) | ||
+ | cache_mem 16 MB ( tamanho do cache de RAM usado pelo squid) | ||
+ | cache_swap_low 90 | ||
+ | cache_swap_high 95 | ||
+ | maximum_object_size 4096 KB | ||
+ | client_netmask 255.255.255.0 (mascara de rede) | ||
+ | |||
+ | |||
+ | acl all src 0.0.0.0/0.0.0.0 | ||
+ | acl manager proto cache_object | ||
+ | acl localhost src 127.0.0.1/255.255.255.255 | ||
+ | acl to_localhost dst 127.0.0.0/8 | ||
+ | acl SSL_ports port 443 563 | ||
+ | acl Safe_ports port 80 # http | ||
+ | acl Safe_ports port 21 # ftp | ||
+ | acl Safe_ports port 443 563 # https, snews | ||
+ | acl Safe_ports port 70 # gopher | ||
+ | acl Safe_ports port 210 # wais | ||
+ | acl Safe_ports port 1025-65535 # unregistered ports | ||
+ | acl Safe_ports port 280 # http-mgmt | ||
+ | acl Safe_ports port 488 # gss-http | ||
+ | acl Safe_ports port 591 # filemaker | ||
+ | acl Safe_ports port 777 # multiling http | ||
+ | acl CONNECT method CONNECT | ||
+ | |||
+ | ==Bloqueando sites== | ||
+ | ====Criando novo arquivo==== | ||
+ | ''*Este arquivo conterá os endereços dos sites cujos acessos serão proibidos. | ||
+ | *É necessário que seja inserido um site por linha. | ||
+ | *Criar este arquivo conforme desejar.'' | ||
+ | |||
+ | *Criar o arquivo no diretório desejado: | ||
+ | #vi /etc/squid/proibir_sites ''(caminho e nome são exemplos)'' | ||
+ | |||
+ | *Inserir neste arquivo criado os endereços dos sites proibidos. | ||
+ | Por exemplo: | ||
+ | www.playboy.com.br | ||
+ | www.sexo.com.br | ||
+ | www.batepapo.com.br | ||
+ | www.fotolog.com | ||
+ | www.orkut.com | ||
+ | e assim por diante. | ||
+ | |||
+ | *Fechar o arquivo salvando-o. | ||
+ | |||
+ | ====Editando o arquivo "squid.conf"==== | ||
+ | *Abrir arquivo: | ||
+ | #vi /etc/squid/squid.conf | ||
+ | |||
+ | *Inserir as seguintes linhas: | ||
+ | acl proibir_sites dstdomain "/etc/squid/proibir_sites" | ||
+ | http_access deny proibir_sites | ||
+ | |||
+ | *Fechar o arquivo salvando as alterações. | ||
+ | |||
+ | ==Bloqueando palavras== | ||
+ | |||
+ | ====Criando novo arquivo==== | ||
+ | ''*Este arquivo conterá as palavras que não devem ser pesquisadasem sites de busca e também presentes no corpo de sites indesejados. | ||
+ | *É necessário que seja inserida uma palavra por linha. | ||
+ | *Criar este arquivo conforme desejar.'' | ||
+ | |||
+ | *Criar o arquivo no diretório desejado: | ||
+ | #vi /etc/squid/proibir_palavras ''(caminho e nome são exemplos)'' | ||
+ | |||
+ | *Inserir neste arquivo criado as palavras indesejadas. | ||
+ | Por exemplo: | ||
+ | sexo | ||
+ | orkut | ||
+ | batepapo | ||
+ | bate-papo | ||
+ | fotolog | ||
+ | flog | ||
+ | blog | ||
+ | e assim por diante. | ||
+ | |||
+ | *Fechar o arquivo salvando-o. | ||
+ | |||
+ | ====Editando o arquivo "squid.conf"==== | ||
+ | *Abrir arquivo: | ||
+ | #vi /etc/squid/squid.conf | ||
+ | |||
+ | *Inserir as seguintes linhas: | ||
+ | acl proibir_palavras url_regex -i "/etc/squid/palavras_proibidas" | ||
+ | http_access deny proibir_palavras | ||
+ | |||
+ | *Fechar o arquivo salvando as alterações. | ||
+ | |||
+ | |||
+ | ===Iniciando/Reiniciando/Parando o serviço Squid=== | ||
+ | *Após a configuração deste arquivo, inicializá-lo executando: | ||
+ | #service squid start ''(iniciando o serviço)'' | ||
+ | #service squid restart ''(reiniciando o serviço)'' | ||
+ | #service squid stop ''(parando o serviço)'' | ||
+ | ==configurando proxy no navegador, ou proxy transparente== | ||
+ | ===Configurando o Proxy no Navegador=== | ||
+ | *Configurar o Navegador da seguinte forma: | ||
+ | - Abrir a opção Configurações de Proxy do Navegador; | ||
+ | - Preencher o campo de Servidor de Proxy com o endereço IP; | ||
+ | - Atribuir a porta 3128, de uso do Squid. | ||
+ | ===Configurando o Proxy Transparente=== | ||
+ | *Editar o seguinte arquivo: | ||
+ | #vi /etc/squid/squid.conf | ||
+ | |||
+ | *Descomentar as seguintes linhas do arquivo: | ||
+ | http_accel_host virtual | ||
+ | http_accel_port 80 | ||
+ | http_accel_with_proxy on | ||
+ | http_accel_uses_host_header on | ||
+ | |||
+ | *Fechar o arquivo salvando as alterações. | ||
+ | |||
+ | *Após isso, criar a seguinte regra, caso esteja utilizando iptables: | ||
+ | #IPTABLES -t nat -A PREROUTING -i eth'x' -p -tcp -dport 80 \ -j REDIRECT -to-port 3128 | ||
+ | |||
+ | ==Instalando o Serviço de FTP== | ||
+ | |||
+ | FTP é a abreviatura de File Transfer Protocol (protocolo de transferência de arquivos). Esse é um dos principais protocolos responsáveis pela transferência de arquivos entre conputadores interligados através de qualquer tipo de rede (LAN, internet, wireless, etc...). | ||
+ | |||
+ | *Para instalar o serviço FTP é necessário baixá-lo da internet. Em nosso servidor usaremos o vsftpd e para instalá-lo digite: | ||
+ | #urpmi vsftpd-2.0.2-3mdk.i586.rpm | ||
+ | |||
+ | ===Arquivos de configuração=== | ||
+ | *Não há necessidade de alterar o arquivo, basta apenas instalar. | ||
+ | |||
+ | #/etc/vsftpd.conf | ||
+ | |||
+ | *Contém nomes de usuário que não podem acessar o servidor FTP. | ||
+ | #/etc/vsftpd.ftpusers | ||
+ | |||
+ | *Contém os nomes dos usuário que podem acessar ou não o servidor FTP. | ||
+ | #/etc/vsftpd.user_list | ||
+ | |||
+ | ===Iniciando/Reiniciando/Parando o serviço FTP=== | ||
+ | *Após a instalação deste programa, inicializá-lo executando: | ||
+ | #service vsftpd start ''(iniciando o serviço)'' | ||
+ | #service vsftpd restart ''(reiniciando o serviço)'' | ||
+ | #service vsftpd stop ''(parando o serviço)'' | ||
+ | |||
+ | ===Testando FTP=== | ||
+ | *utilizar o computador cliente que tenha o protocolo de acesso FTP, da seguinte forma: | ||
+ | ftp <ip_da_maquina> | ||
+ | * <usuario> tem que estar cadastrado no arquivo: /etc/passwd | ||
+ | * <senha> do usuário utilizador | ||
+ | |||
+ | ==Testando o Serviço== | ||
+ | *Abrir o Navegador e acessar sites que estão inclusos nas Regras criadas ou que contenham as palavras proibidas. | ||
+ | *Se tudo estiver configurado corretamente, ao acessar um site que esteja com acesso proibido, conforme regra criada, será mostrada uma página com informações de acesso negado. | ||
+ | *Caso seja possível acessar um site que esteja na regra de proibição, verificar a '''configuração dos arquivos editados e criados'''. Se necessário, tornar a editá-los e refazer os testes. | ||
+ | |||
+ | <br> | ||
Abrir o arquivo XXXX, no diretório YYYYY, acrescentar as seguintes linhas: | Abrir o arquivo XXXX, no diretório YYYYY, acrescentar as seguintes linhas: | ||
Linha 58: | Linha 517: | ||
... | ... | ||
− | |||
====Listagem do material utilizados==== | ====Listagem do material utilizados==== | ||
Linha 74: | Linha 532: | ||
!Semana 2 | !Semana 2 | ||
!Semana 3 | !Semana 3 | ||
+ | |- | ||
+ | |Servidor WEB || 1 dia || || | ||
|- | |- | ||
|Cabeamento || || 4 dias || | |Cabeamento || || 4 dias || | ||
|- | |- | ||
− | |Instalação do SO ||1 dia|| | + | |Instalação do SO ||1 dia|| || |
|- | |- | ||
|Apache || 2 dias|| || | |Apache || 2 dias|| || | ||
Linha 83: | Linha 543: | ||
|Postfix || 2 dias || || | |Postfix || 2 dias || || | ||
|- | |- | ||
− | | | + | |DenyHosts || || 1 dia || |
+ | |- | ||
+ | |Ftp || || || 1 dia | ||
+ | |- | ||
+ | |Ssh || || || 1 dia | ||
+ | |- | ||
+ | |Firewall || || || 1 dia | ||
+ | |- | ||
+ | |Roteamento || || || 1 dia | ||
+ | |- | ||
+ | |DNS || || || 1 dia | ||
+ | |- | ||
+ | |Postfix || || || 1 dia | ||
+ | |- | ||
+ | |NAT || || || 1 dia | ||
+ | |- | ||
+ | |Squid || || || 1 dia | ||
|} | |} |
Edição atual tal como às 06h35min de 13 de outubro de 2008
Modelo de Relatório para o Projeto de Integração da Terceira Fase de Redes
Datas
O projeto deverá ser entregue até o dia 06/03/2007. A etapa de implementação se dará entre os dias 15/03 à 04/04/2007.
Objetivos
implementar serviços de e-mail, firewall, web entre outros em um servidor com sistema operacional linux, conectado a internet e a rede local atraves de modem analogico e interface lan.
Descrição do Projeto
Detalhar o projeto, como será a rede, quais equipamentos serão utilizados, como serão interligados, o que exatamente deve ser configurado e em quais equipamentos. Utilizar esquemas (desenhos) se necessário. (mínimo 2 e máximo 10 páginas )
Instalação do Servidor
Formatação do Servidor e Instalação do Linux
Fomatação do HD.
1- configurar bios do computador para da boot pelo CD
2- Inserir o CD1 da Distribuição Linux Mandrake 10.1
3- escolher a partição que deseja formatar
4- esperar a reinicialização apos a formatação
instalação do mandrake 10.1
1- Inserir o CD1 da Distribuição Mandrake Linux 10.1
2- selecionar install e prescionar enter
3- Selecionar idioma Português Brasil. Clicar Next;
4- Nas próximas janelas, clicar Aceitar e Próximo respectivamente;
5- Na janela de Opções de Nível de Segurança, selecionar nível Padrão;
6- Selecionar a opção de nova instalação, com 3 CD´S;
7- Na janela de particionamento personalizado, fazer o seguinte:
8- Selecionar uma partição livre e criar uma nova com o tamanho desejado;
9- Clicar em definir ponto de montagem;
10- Clicar em confirmar;
11- Na janela atual, selecionar os pacotes que serão instalados e após isso, clicar em confirmar;
12- Definir uma senha de root;
13- Selecionar local em que deseja instalar o Gerenciador de Inicialização "MBR";
14- Clicar sobre o item Configurações somente Rede - LAN e Login e após, clicar em Próximo;
15- Clicar em "Reiniciar";
Etapas de Execução
Descrever detalhadamente as etapas a serem executadas, por exemplo:
Cabeamento
Realizar o cabeamento interligando os equipamentos X, Y e Z.
Levar a linha telefonica até a bancada W.
Identificar cada cabo e tomada com etiquetas.
A identificação será feita seguindo o seguinte código ABC, onde A número da tomada, B equipe, C equipamento final.
Testar os cabos.
Configurar o servidor
configurando as interfaces de rede
- foram instaladas 2 interfaces de rede, eth0 ip verdadeiro e eth1 será configurada como gateway de uma rede local, entao será necessario configura pra que o servidor faça o roteamento e nat.
Configurar o arquivo /etc/sysconfig/network-scripts/ifctg-eth0 da seguinte forma:
DEVICE=eth0 BOOTPROTO=static IPADDR=x.x.x.x NETMASK=a.a.a.a NETWORK=y.y.y.y BROADCAST=z.z.z.z ONBOOT=yes MII_NOT_SUPPORTED=no
Configurar o arquivo /etc/sysconfig/network-scripts/ifctg-eth1 da seguinte forma:
DEVICE=eth1 BOOTPROTO=static IPADDR=192.168.3.1 NETMASK=255.255.255.0 NETWORK=192.168.3.0 BROADCAST=192.168.3.255 ONBOOT=yes MII_NOT_SUPPORTED=no
Alterar o arquivo /etc/sysconfig/network da seguinte forma:
HOSTNAME=M13 NETWORKING=yes GATEWAY=200.135.233.254 GATEWAYDEV=eth0
apos editar e salvar as alteraçoes nesses arquivos, é necessario iniciar ou reiniciar os dispositivos executando o seguinte comando:
service network restart para restart as interfaces service network start para iniciar as interfaces service network stop para o serviço
- para ativar o roteamento é feito no seguinte arquivo /etc/sysctl.conf e modificar a seguinte linha:
net.ipv4.ip_forward=0
Para:
net.ipv4.ip_forward=1
configurando os serviços:
DNS
instalação do pacote:
no mandrike 10.1 instalamos o seguinte pacote:
# urpmi bind (a versão que será instalada do bind é a 9.3.0)
copiar os seguintes arquivos de configuração:
# cp /usr/share/doc/bind-9.3.0/chroot/named/etc/named.conf /etc/
# cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/mandrakesoft.zone /var/named/mvb.zone
# cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/named.ca /var/named/
# cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/named.local /var/named/
# cp /usr/share/doc/bind-9.3.0/chroot/named/var/named/mandrakesoft.reversed /var/named/
para criar o arquivo zone voce pode utlizar como modelo o mandrakesort.zone, no caso da conversão direta de nome pra ip, mas editando e renomeando o arquivo com o "dominio".zone
vi /var/named/"dominio".zone
$ORIGIN . $TTL 86400 ; 1 day mvb.sj.cefetsc.edu.br. IN SOA m13.mvb.sj.cefetsc.edu.br. root.m13.mvb.sj.cefetsc.edu.br. ( 2007032700 ; serial 86400 ; refresh (1 day) 21600 ; retry (6 hours) 3600000 ; expire (5 weeks 6 days 16 hours) 3600 ; minimum (1 hour) ) NS m13.mvb.sj.cefetsc.edu.br. IN MX 0 m13.mvb.sj.cefetsc.edu.br. $ORIGIN mvb.sj.cefetsc.edu.br. $TTL 86400 ; 1 day localhost A 127.0.0.1 ftp A x.x.x.x m13 A x.x.x.x local A x.x.x.x www A x.x.x.x mail A x.x.x.x
abrir o /etc/named.conf e editar no final do arquivo:
// workaround stupid stuff... (OE: Wed 17 Sep 2003) zone "ac" { type delegation-only; }; zone "cc" { type delegation-only; }; zone "com" { type delegation-only; }; zone "cx" { type delegation-only; }; zone "museum" { type delegation-only; }; zone "net" { type delegation-only; }; zone "nu" { type delegation-only; }; zone "ph" { type delegation-only; }; zone "sh" { type delegation-only; }; zone "tm" { type delegation-only; }; zone "ws" { type delegation-only; }; zone "mvb.sj.cefetsc.edu.br" { type master; file "dominio.zone"; allow-update { key mykey; }; };
Abrir arquivo:
#vi /etc/resolv.conf
- Alterar da seguinte forma:
search m13.mvb.sj.cefetsc.edu.br. nome da maquina namserver 127.0.0.1 search hendrix.sj.cefetsc.edu.br nome do servidor dns externo nameserver 200.135.233.1 ip da maquina # ppp temp entry
- Fechar o arquivo salvando as alterações.
Iniciando/Reiniciando/Parando o serviço DNS
- Após configuração do serviço, inicializá-lo executando:
#service named start (iniciando o serviço) #service named restart (reiniciando o serviço) #service named stop (parando o serviço)
Instalando o Serviço OpenSSH-server
- Para instalar o serviço OpenSSH-server, digitar:
#urpmi openssh-server (instala o serviço SSH para que o Servidor seja acessado remotamente)
- para utilizar o serviço nao é necessário editar os arquivo de configuraçao basta dar o comando de inicialização do serviço.
- arquivo de configuração /etc/ssh/sshd_config
#Port 22 (porta em que o ssh opera) #Protocol 2,1 (versão do protocolo utilizado) Protocol 2 #ListenAddress 0.0.0.0 #ListenAddress ::
# HostKey for protocol version 1 HostKey /etc/ssh/ssh_host_key # HostKeys for protocol version 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key #KeyRegenerationInterval 1h #ServerKeyBits 768
# Logging #obsoletes QuietMode and FascistLogging #SyslogFacility AUTH #LogLevel INFO LoginGraceTime 2m PermitRootLogin no (permite o login pelo usuario root) #StrictModes yes #MaxAuthTries 6
#RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeysFile .ssh/authorized_keys
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts #RhostsRSAAuthentication no # similar for protocol version 2 #HostbasedAuthentication no # Change to yes if you don't trust ~/.ssh/known_hosts for # RhostsRSAAuthentication and HostbasedAuthentication #IgnoreUserKnownHosts no # Don't read the user's ~/.rhosts and ~/.shosts files #IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here! #PasswordAuthentication yes (habilita autenticação por senha) #PermitEmptyPasswords no (permite senhas vazias)
# Change to no to disable s/key passwords #ChallengeResponseAuthentication yes
# Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes #KerberosGetAFSToken no
#AllowTcpForwarding yes #GatewayPorts no X11Forwarding yes (repassa conexões do protocolo X window) #X11DisplayOffset 10 #X11UseLocalhost yes #PrintMotd yes #PrintLastLog yes #TCPKeepAlive yes #UseLogin no UsePrivilegeSeparation yes #PermitUserEnvironment no #Compression yes #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS yes #PidFile /var/run/sshd.pid #MaxStartups 10
# no default banner path #Banner /some/path
# override default of no subsystems Subsystem sftp /usr/lib/ssh/sftp-server (habilita servidor sftp)
- por exemplo; para libera acesso ao servidor para usuario root basta editar na seguinte linha do arquivo /etc/ssh/ssh_config
PermitRootLogin no
para
PermitRootLogin yes
Iniciando/Reiniciando/Parando o serviço OpenSSH
- Após configuração destes arquivos, inicializá-lo executando:
#service sshd start (iniciando o serviço) #service sshd restart (reiniciando o serviço) #service sshd stop (parando o serviço)
Testando OpenSSH
- utilizar o computador cliente que tenha o protocolo de acesso remoto SSH, da seguinte forma:
ssh <usuario>@<ip_da_maquina>
- <usuario> tem que estar cadastrado no arquivo: /etc/passwd
Instalando o Apache
#urpmi apache
Arquivo dee configuração
/etc/httpd/conf/httpd.conf
Arquivo de configuração para paginas pessoais dos usuarios
editar o arquivo /etc/httpd/conf/commonhttpd.conf (apache 1.3.31)
<Directory /home/*/public_html> AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec <Limit GET POST OPTIONS PROPFIND> Order allow,deny Allow from all </Limit> <LimitExcept GET POST OPTIONS PROPFIND> Order deny,allow Deny from all </LimitExcept> </Directory>
#<Directory /home/*/public_html> # AllowOverride All # Options MultiViews -Indexes Includes FollowSymLinks # <IfModule mod_access.c> # Order allow,deny # Allow from all # </IfModule> #</Directory>
Iniciando/Reiniciando/Parando o serviço Apache
- Após configuração deste arquivo, inicializá-lo executando:
#service apache start (iniciando o serviço) #service apache restart (reiniciando o serviço) #service apache stop (parando o serviço)
testando Apache
basta coloca no navegador o ip local ou nome da maquina para visualiza o index.shml padrão que vem no pacote apache. para editar a pagina html padrão, basta editar /var/www/html/index.shtml
Instalando o Serviço Squid
Squid é um servidor Proxy que pode ser utilizado como firewall, baseado em protocolos que filtram acessos vinods da rede interna da qual faz parte de canal de saída.
- Para instalar o serviço Squid, digitar:
#urpmi squid
Arquivo de configuração
edite o arquivo /etc/squid/squid.conf
http_port 3128 (porta em que o squid trabalha) cache_mem 16 MB ( tamanho do cache de RAM usado pelo squid) cache_swap_low 90 cache_swap_high 95 maximum_object_size 4096 KB client_netmask 255.255.255.0 (mascara de rede)
acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT
Bloqueando sites
Criando novo arquivo
*Este arquivo conterá os endereços dos sites cujos acessos serão proibidos.
- É necessário que seja inserido um site por linha.
- Criar este arquivo conforme desejar.
- Criar o arquivo no diretório desejado:
#vi /etc/squid/proibir_sites (caminho e nome são exemplos)
- Inserir neste arquivo criado os endereços dos sites proibidos.
Por exemplo: www.playboy.com.br www.sexo.com.br www.batepapo.com.br www.fotolog.com www.orkut.com e assim por diante.
- Fechar o arquivo salvando-o.
Editando o arquivo "squid.conf"
- Abrir arquivo:
#vi /etc/squid/squid.conf
- Inserir as seguintes linhas:
acl proibir_sites dstdomain "/etc/squid/proibir_sites" http_access deny proibir_sites
- Fechar o arquivo salvando as alterações.
Bloqueando palavras
Criando novo arquivo
*Este arquivo conterá as palavras que não devem ser pesquisadasem sites de busca e também presentes no corpo de sites indesejados.
- É necessário que seja inserida uma palavra por linha.
- Criar este arquivo conforme desejar.
- Criar o arquivo no diretório desejado:
#vi /etc/squid/proibir_palavras (caminho e nome são exemplos)
- Inserir neste arquivo criado as palavras indesejadas.
Por exemplo: sexo orkut batepapo bate-papo fotolog flog blog
e assim por diante.
- Fechar o arquivo salvando-o.
Editando o arquivo "squid.conf"
- Abrir arquivo:
#vi /etc/squid/squid.conf
- Inserir as seguintes linhas:
acl proibir_palavras url_regex -i "/etc/squid/palavras_proibidas" http_access deny proibir_palavras
- Fechar o arquivo salvando as alterações.
Iniciando/Reiniciando/Parando o serviço Squid
- Após a configuração deste arquivo, inicializá-lo executando:
#service squid start (iniciando o serviço) #service squid restart (reiniciando o serviço) #service squid stop (parando o serviço)
- Configurar o Navegador da seguinte forma:
- Abrir a opção Configurações de Proxy do Navegador; - Preencher o campo de Servidor de Proxy com o endereço IP; - Atribuir a porta 3128, de uso do Squid.
Configurando o Proxy Transparente
- Editar o seguinte arquivo:
#vi /etc/squid/squid.conf
- Descomentar as seguintes linhas do arquivo:
http_accel_host virtual http_accel_port 80 http_accel_with_proxy on http_accel_uses_host_header on
- Fechar o arquivo salvando as alterações.
- Após isso, criar a seguinte regra, caso esteja utilizando iptables:
#IPTABLES -t nat -A PREROUTING -i eth'x' -p -tcp -dport 80 \ -j REDIRECT -to-port 3128
Instalando o Serviço de FTP
FTP é a abreviatura de File Transfer Protocol (protocolo de transferência de arquivos). Esse é um dos principais protocolos responsáveis pela transferência de arquivos entre conputadores interligados através de qualquer tipo de rede (LAN, internet, wireless, etc...).
- Para instalar o serviço FTP é necessário baixá-lo da internet. Em nosso servidor usaremos o vsftpd e para instalá-lo digite:
#urpmi vsftpd-2.0.2-3mdk.i586.rpm
Arquivos de configuração
- Não há necessidade de alterar o arquivo, basta apenas instalar.
#/etc/vsftpd.conf
- Contém nomes de usuário que não podem acessar o servidor FTP.
#/etc/vsftpd.ftpusers
- Contém os nomes dos usuário que podem acessar ou não o servidor FTP.
#/etc/vsftpd.user_list
Iniciando/Reiniciando/Parando o serviço FTP
- Após a instalação deste programa, inicializá-lo executando:
#service vsftpd start (iniciando o serviço) #service vsftpd restart (reiniciando o serviço) #service vsftpd stop (parando o serviço)
Testando FTP
- utilizar o computador cliente que tenha o protocolo de acesso FTP, da seguinte forma:
ftp <ip_da_maquina>
- <usuario> tem que estar cadastrado no arquivo: /etc/passwd
- <senha> do usuário utilizador
Testando o Serviço
- Abrir o Navegador e acessar sites que estão inclusos nas Regras criadas ou que contenham as palavras proibidas.
- Se tudo estiver configurado corretamente, ao acessar um site que esteja com acesso proibido, conforme regra criada, será mostrada uma página com informações de acesso negado.
- Caso seja possível acessar um site que esteja na regra de proibição, verificar a configuração dos arquivos editados e criados. Se necessário, tornar a editá-los e refazer os testes.
Abrir o arquivo XXXX, no diretório YYYYY, acrescentar as seguintes linhas:
AAAAAAAAA
BBBBBBBBB
Executar os seguintes comandos:
CCCC
DDDD
Testar o funcionamento da seguinte forma:
Fdklafka
...
Listagem do material utilizados
Detalhar todo o material e equipamentos a serem utilizados ao longo do projeto.
Cronograma de Execução previsto
Obs.: Lembre-se de durante a execução do projeto anotar as datas de execução das etapas do mesmo e comparar com o previsto. Isto o ajudará no futuro profissional a melhor avaliar os tempos envolvidos em projetos deste tipo.
Nome da Etapa | Semana 1 | Semana 2 | Semana 3 |
---|---|---|---|
Servidor WEB | 1 dia | ||
Cabeamento | 4 dias | ||
Instalação do SO | 1 dia | ||
Apache | 2 dias | ||
Postfix | 2 dias | ||
DenyHosts | 1 dia | ||
Ftp | 1 dia | ||
Ssh | 1 dia | ||
Firewall | 1 dia | ||
Roteamento | 1 dia | ||
DNS | 1 dia | ||
Postfix | 1 dia | ||
NAT | 1 dia | ||
Squid | 1 dia |