ago 082020
 

Com as invasões de PCs, máquinas zumbis e outras coisas que podem ser um incômodo (principalmente quando se trata de um servidor), medidas de segurança nunca são demais.

Hoje, eu vou mostrar um simples script que criei para o IPtables. Eu fiz isso no Slackware 14.0, mas você poderá também executar este script em outra distribuição.

Bloqueando portas de entrada:

#!/bin/sh
#Iptables configuração.
#Script criado por Pangas

iptables -A INPUT -p icmp –icmp-type echo-request -j DROP
iptables -A INPUT -p tcp –destination-port 80 -j DROP
iptables -A INPUT -p tcp –destination-port 443 -j DROP
iptables -A INPUT -p tcp –destination-port 22 -j DROP
iptables -A INPUT -p tcp –destination-port 1234 -j DROP
iptables -A INPUT -p tcp –destination-port 21 -j DROP
iptables -A INPUT -p tcp –destination-port 12345 -j DROP
iptables -A INPUT -p tcp –destination-port 20 -j DROP

A opção -A INPUT diz que o Firewall deverá bloquear todas as portas de entradas que forem definidas. Nesse caso, eu resolvi criar um script que possa ser usado tanto em computadores domésticos, quanto em servidores.

Podem ver, que eu bloqueei também a porta do X e a porta padrão do NetBus. Pois fiquei sabendo de patches para GNU/Linux. Nenhum sistema operacional é 100% seguro, tanto que, até o Android da Google também é infectado.

A opção -p indica o protocolo. Você pode usar TCP ou UDP.

Já a –destination-port indica a porta de destino. Ou seja, qual serviço deve ser bloqueado ou liberado pelo IPtables. A opção -j DROP indica que a porta será bloqueada. Deve ser definida logo após a porta destino.

ago 082020
 

Limpar todo Histórico do root via ssh (linha de comando) no CentOS

Fala pessoal, hoje vamos deixar mais essa dicar para nossos visitantes e clientes.

O comando é simples, veja:

cat /dev/null > ~/.bash_history && history -c && exit

Entendendo o comando:
~/.bash_history  – é responsável por armazenar todas as linhas de comando executadas;
cat /dev/null > ~/.bash_history  – você está nulificando o conteúdo do “bash_history“;
history -c  – você está limpando inclusive a linha usada para nulificar o histórico usada anteriormente;
exit – você desconecta do usuário sem deixar rastros.

Valeu pessoal, espero ter ajudado!

ago 082020
 

Em alguns casos as regras de firewall de seu servidor podem limitar seu acesso ou impedir que algum sistema funcione adequadamente.

Veja logo abaixo alguns comandos que auxiliam na manutenção das regras de firewall em seu servidor:

 

LISTAR TODAS AS REGRAS

# iptables -S

Exemplo:

# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-N ALLOWIN
-N ALLOWOUT
-N DENYIN
-N DENYOUT
-N INVALID
-N INVDROP
-N LOCALINPUT
-N LOCALOUTPUT
-N LOGDROPIN
-N LOGDROPOUT
-N SMTPOUTPUT
-N SYNFLOOD
-A INPUT ! -i lo -p tcp -m tcp --dport 8889 -m limit --limit 100/sec --limit-burst 150 -j ACCEPT
-A INPUT ! -i lo -p tcp -m tcp --dport 8888 -m limit --limit 100/sec --limit-burst 150 -j ACCEPT
-A INPUT -s 8.8.4.4/32 ! -i lo -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s 8.8.4.4/32 ! -i lo -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 8.8.4.4/32 ! -i lo -p tcp -m tcp --sport 53 -j ACCEPT

Continue reading »

jun 182020
 

INTRODUÇÃO

O objetivo de um mecanismo de replicação de dados é permitir a manutenção de várias cópias idênticas de um ­­­­mesmo dado em vários servidores de bancos de dados (SGBD). Os principais benefícios da replicação de dados são a redundância, o que torna o sistema tolerante a falhas, a possibilidade de um balanceamento de carga do sistema, já que o acesso pode ser distribuído entre as réplicas, e finalmente, ter-ser o backup online dos dados, já que todas as replicas estariam sincronizadas. Este artigo, apresenta uma introdução ao mecanismo de replicação do MySQL, bem como as configurações básicas para realização desta tarefa.

VISÃO GERAL DA REPLICAÇÃO

O MySQL permite um tipo de replicação conhecido como Master-Slave, onde temos um servidor atuando como master e um ou mais servidores atuando como slave. O master grava em um log binário de alteração todos os comandos de atualizações da base de dados. Desta forma, todas as alterações ocorridas no master são imediatamente replicadas para os outros servidores slave.

A replicação no mysql é principalmente compatível com a anterior, isto é, um servidor mais novo pode normalmente ser um escravo de um servidor mais velho sem nenhum problema. Porém, versões mais antigas dos servidores são, freqüentemente, incapazes de servir como slaves de versões mais novas, pois eles não podem entender novas características ou a sintaxe SQL que o servidor mais novo utiliza, e pode haver diferenças no formato dos arquivos que a replicação usa, por exemplo, você não pode replicar de um master MySQL 5.0 para um slave MySQL 4.0.

Continue reading »

Como desativar IPv6 no Ubuntu

 Clusterweb, ClusterWeb, Debian, Linux, Profissional de TI, Redes, Segurança, Ubuntu  Comentários desativados em Como desativar IPv6 no Ubuntu
abr 192020
 

O IPv6 ainda não é uma maioria no Brasil, se a sua rede não suporta ainda a nova tecnologia, você pode desativá-la!

Desativar o IPv6 no Ubuntu ou somente no APT pode ser a solução para alguns usuários do Ubuntu que estão tendo problemas com o IPv6 por conta de alguns repositórios de terceiros. A gente sabe que o IPv6 é o futuro, mas nem todos os repositórios estão utilizando o novo protocolo. Neste caso, para evitar falhas é necessário que o IPv6 seja desativado, mas não se preocupe o IPv4 não foi desativado e de forma particular, ainda vai demorar um pouco para que isso aconteça.

Vamos mostrar como desativar o IPv6 de duas formas, somente para o APT ou de forma geral no sistema, escolha a que for mais interessante para você. Se o seu problema for apenas com o APT então desative somente para ele, se for com outros recursos como aplicativos então desative de forma geral.

Como desativar o IPv6 somente no APT do Ubuntu?

Como disse anteriormente, se o seu problema é apenas com repositórios, recomendamos desativar o IPv6 somente no APT, siga as instruções abaixo:

$ sudo nano /etc/apt/apt.conf.d/99force-ipv4

Dentro do arquivo cole o seguinte conteúdo:

$ Acquire::ForceIPv4 “true”;
Salve e feche o arquivo, automaticamente o APT vai usar somente o IPv4 da sua conexão!

Como desativar o IPv6 no Ubuntu inteiro?

Esta opção, é recomendada se você quer desativar o IPv6 completamente, de todo o sistema, neste caso no Ubuntu, vamos fazer algumas alterações no Linux Kernel, para que o IPv6 possa ser desativado de maneira correta.

Vamos editar uma configuração no sysctl:

Agora, dentro do arquivo cole o conteúdo abaixo:

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Agora, salve e feche o arquivo e em seguida recarregue as instruções acima com o comando abaixo:

$ sudo sysctl -p

Por último vamos fazer um teste para saber se o Ipv6 foi desativado com sucesso, execute o comando abaixo:

$ cat /proc/sys/net/ipv6/conf/all/disable_ipv6
Se o resultado for 1, então esta tudo certo!
Para reativar o IPv6 no Ubuntu, basta remover essas 3 linhas no arquivo 99-sysctl.conf e executar o comando com sudo sysctl -p para carregar as alterações.
abr 192020
 

Esta dica irá mostrar um exemplo de configuração do lshell, em um sistema Debian Squeeze, para limitar a execução de comandos previamente liberados para um determinado usuário ou grupo, bem como os diretórios aos quais o usuário poderá ter acesso, dentre outras opções relacionadas ao seu ambiente shell.

Instalação do lshell:

# aptitude install lshell

Configuração do lshell – /etc/lshell.conf:

# gedit /etc/lshell.conf

[global]

## Diretório de logs.
## Usuário deve ser membro do grupo lshell.

logpath     : /var/log/lshell/

## Nível de log: 0, 1, 2 ou 3.
loglevel      : 3

## Nome do arquivo de log. (Padrão %u.log. Ex: usuario.log)
logfilename   : %y%m%d-%u

## Configuração padrão. Poderão ser criadas configurações
## separadas para cada usuário ou grupo.
## Ex: [usuariox], [grp:users]

[default]

## Lista de comandos permitidos ao usuário. Use ‘all’ para permitir
## todos os comandos na variável PATH do usuário.

allowed     : [‘ls’,’echo’,’cd’,’ll’,’date’,’hora’,’vim’,’vi’,’cat’]

## Lista de comandos ou caracteres proibidos.
forbidden     : [‘;’, ‘&’, ‘|’,’`’,’>’,'<‘, ‘$(‘, ‘${‘, ‘cat’]

## Lista de comandos permitidos quando usados com sudo.
## Devem estar previamente configurados em /etc/sudoers.

sudo_commands    : [‘modprobe’, ‘iptables’]

## Número de avisos que o usuário terá antes de ser desconectado
## após tentar entrar em um diretório não permitido ou executar
## um comando da lista ‘forbidden’.

warning_counter : 5

## Aliases para comandos. (alias e comando devem estar na lista ‘allowed’)
aliases     : {‘ll’:’ls -l’, ‘vi’:’vim’, ‘hora’:’date +%H:%M’}

## Texto a ser exibido ao iniciar o lshell.
intro      : “== Ambiente restrito ==\nDigite ‘?’ ou ‘help’ para ver a lista de comandos permitidos.”

## Tempo máximo de inatividade em segundos antes
## do usuário ser automaticamente desconectado.

timer      : 300

## Lista de pastas as quais poderão ser acessadas pelo usuário.
path      : [‘/tmp/’,’/var’]

## Define o diretório home do usuário. Se não especificado,
## sera utilizado o valor da variável de ambiente $HOME.
#home_path    : ‘/home/usuario/’

## Altera a variável de ambiente PATH do usuário.
#env_path    : ‘:/usr/local/bin:/usr/sbin’

## Permite ou proíbe o uso de SCP pelo usuário. ( 1 permitir – 0 negar)
scp      : 1

## Permite ou proíbe uploads com SCP ( 1 permitir – 0 negar).
## Parâmetro ‘scp’ deve possuir valor 1.

scp_upload    : 1

## Permite ou proíbe downloads com SCP ( 1 permitir – 0 negar).
## Parâmetro ‘scp’ deve possuir valor 1.

scp_download    : 0

## Permite ou proíbe o uso de SFTP ( 1 permitir – 0 negar).
sftp      : 1

## Lista de comandos permitidos através de SSH.
## Ex: ssh [email protected] ‘ls ~’

overssh      : [‘ls’,’rsync’]

## Considerar ou não comandos inválidos como ação proibida, se 1,
## comandos inválidos irão gerar avisos que poderão desconectar
## o usuário, conforme parâmetro ‘warning_counter’.

strict      : 0

## Forçar pasta de destino para arquivos enviados por SCP.
scpforce      : “/tmp”

## tamanho máximo do arquivo history.
history_size    : 100

## Nome do arquivo contendo o hipótrico de comandos.
history_file    : “/home/%u/.lshell_history”

Continue reading »

FreeNAS – configure o armazenamento de objetos de repositório do Veeam Backup conectado ao FreeNAS (MinIO)

 Backup, Clusterweb, ClusterWeb, FreeNAS, Leitura Recomendada, Linux, Profissional de TI, Redes, Segurança, Sistemas de Armazenamento, Vmware ESXi  Comentários desativados em FreeNAS – configure o armazenamento de objetos de repositório do Veeam Backup conectado ao FreeNAS (MinIO)
abr 122020
 

Se o víssemos em um diagrama muito simples, teríamos o seguinte: uma combinação de extensões locais (Repositórios de Backup) denominada Camada de Desempenho, à qual é adicionada uma Camada de Capacidade baseada no Armazenamento de Objetos, para a qual são enviadas as cópias que não fazemos precisa ter no nível de desempenho:

Continue reading »

FreeNAS – Como implantar um certificado SSL

 Clusterweb, FreeNAS, Leitura Recomendada, Linux, Profissional de TI, Programação, Redes, Segurança, SSL  Comentários desativados em FreeNAS – Como implantar um certificado SSL
abr 122020
 

Uma das coisas mais importantes nesse tipo de caso é ter segurança quando ativamos os serviços de compartilhamento de espaço, seja FTP, armazenamento de objetos etc. É por isso que hoje, vamos ver como implantar um certificado SSL Let’s Encrypt sobre o FreeNAS 11.x.

Conexão SSH ao nosso FreeNAS 11.x

O primeiro passo será poder acessar nosso FreeNAS via SSH, para isso iremos para a parte de serviços e, no SSH, clicaremos em Ações para editar as opções:

Continue reading »

fev 032020
 

Parece que todos os arquivos de log de todos os servidores HTTP que eu administro têm seus logs de erros repletos de erros HTTP 404 nos últimos dias. E de onde exatamente estão todos esses erros? Aparentemente, eles vêm de crianças de script que procuram assumir os bancos de dados SQL para o lulz.

O QUE É O ZMEU?

De minha pesquisa, o ZmEu parece ser uma ferramenta de segurança usada para descobrir falhas de segurança na versão 2.xx do phpMyAdmin, um gerenciador de banco de dados MySQL baseado na web. A ferramenta parece ter se originado em algum lugar da Europa Oriental. Como o que parece acontecer com todas as ferramentas de segurança do black hat, ele foi para a China, onde tem sido usado desde então para ataques de força bruta ininterrupta contra servidores da Web em todo o mundo.

Continue reading »

set 032019
 

PHP 7 foi lançado dezembro passado. Após testar o código localmente, é hora de atualizar o servidor de produção. Geralmente, a maioria dos sites funcionam bem nele.

Contudo, suspeitamos que não muitos sites atualizaram. É mais seguro e fácil continuar em versões anteriores. Na verdade, uma pesquisa de sites WordPress mostrou que alguns tem:

“Até Novembro de 2016, 53.9% dos sites WordPress rodam versões PHP menores que 5.5 Apenas, 3.4% dos sites rodam PHP 7, a versão atual do PHP.” via PHP Compatibility Checker.

Mas PHP 7 já está aí há quase um ano.

Nesse episódio, mostraremos uma abordagem para atualizar para PHP 7 no Ubuntu 14.x e resolver problemas com PHPMyAdmin, que muitos vanguardistas enfrentaram.

Por hora, se usamos WordPress, devemos instalar o plugin PHP Compatibility Checker para garantir que não encontraremos problemas inesperados com nossos Plugins.

Sempre gostamos de suas ideias e comentários. Se tiverem perguntas ou sugestões de tópicos, por favor, publique seus pensamentos na seção de comentários.

Continue reading »

ago 202019
 

Nós mostramos a você como configurar o Split Tunnel da VPN no Ubuntu Server 14.04 LTS , agora trazemos a próxima seqüência nos guias do túnel dividido: o guia VPN Split Tunnel para sistemas systemd como o Debian 8 e o Ubuntu 16.04. Neste guia, mostraremos como configurar o Split Tunnel no Ubuntu Server 16.04 LTS , Debian 8,  Minibian  e Raspbian Jessie (no Raspberry Pi). Você poderá rotear seu tráfego de torrent pela sua conexão VPN, enquanto o restante terá acesso direto, ignorando a VPN. O tráfego da rede será separado de maneira elegante e segura.

É muito importante proteger sua privacidade online. Nós certamente recomendamos o uso de uma VPN (Virtual Private Network) com o OpenVPN. Felizmente, existem muitos servidores VPN pagos com excelente desempenho e ótimo preço. Leia sempre a sua Política de Privacidade, considere a qualidade do serviço pelo preço e escolha um que você confia. Neste guia, usaremos o acesso à Internet privada (PIA) como o provedor de VPN. Na minha experiência, configurar outros não será muito diferente.

Importante: Este guia foi escrito para sistemas Ubuntu Server 16.04 LTS e Debian 8 (como Minibian, Raspbian, Bananian) que usam serviços systemd. Ele pode funcionar em outras distribuições Linux, mas é garantido que funcionará no Ubuntu Server 16.04 LTS e Debian 8. Para sistemas que usam script upstart (como o Ubuntu Server 14.04 LTS), os scripts upstart são necessários em vez do serviço systemd. Se você estiver usando o Ubuntu Server 14.04 LTS, vá para o guia Ubuntu 14.04 do Tunnel Dividir VPN do Force Torrent Traffic .

As seções marcadas como Minibian são necessárias apenas se você estiver executando o Minibian. Usuários do Ubuntu Server 16.04 LTS devem ignorar essas partes (sempre será indicado na seção relevante).

Continue reading »

jul 202019
 

Se você possui contas Google Drive, Dropbox, OneDrive e outras opções, veja como fazer para usar vários serviços de armazenamento na nuvem com RcloneBrowser no Ubuntu, Arch Linux e derivados.

 

Use vários serviços de armazenamento na nuvem com RcloneBrowser

Continue reading »

jul 162019
 

Introdução

O Proxmox VE 6.x introduz vários novos recursos principais. Planeje cuidadosamente a atualização, faça e verifique os backups antes de começar, e teste extensivamente. Dependendo da configuração existente, várias etapas manuais, incluindo algum tempo de inatividade, podem ser necessárias.

Nota: Um backup válido e testado é sempre necessário antes de iniciar o processo de atualização. Teste o backup antecipadamente em uma configuração de laboratório de teste.

Caso o sistema seja personalizado e / ou use pacotes adicionais (por exemplo, GlusterFS) ou quaisquer outros repositórios / pacotes de terceiros, assegure-se de que esses pacotes também sejam atualizados e compatíveis com o Debian Buster.

Em geral, existem duas maneiras de atualizar um sistema Proxmox VE 5.x para o Proxmox VE 6.x:

  • Uma nova instalação em um novo hardware (e restauração de VMs do backup)
  • Uma atualização in-loco via apt (passo-a-passo)

Em ambos os casos, é necessário esvaziar o cache do navegador e recarregar a página da GUI após a atualização.

Continue reading »