-------------------------------------------------------------------
>
> FWBUILDER - Gestão de Firewall
> ==============================
>
> Colaboração: Niumar André Klein
>
> Data de Publicação: 18 de abril de 2008
>
> Para saber mais sobre esta e outras soluções, visite
> o estande da Solis no FISL (Forum Internacional do
> Software Livre), entre os dias 17 e 19 de abril de
> 2008.
>
> O Firewall Builder, disponível em www.fwbuilder.org,
> é um gerenciador de
> firewalls para múltiplos servidores. Isso quer dizer
> que, em uma única
> interface, é possível gerenciar diversos firewalls
> espalhados por vários
> locais do mundo, bastando para tal, ter uma simples
> conexão ssh entre
> uma máquina com Firewall Builder e outros
> servidores. Note que não há a
> necessidade de instalá-lo nas máquinas que terão
> firewall.
>
> A dica abaixo, partirá de um problema proposto e
> seguirá com sua solução,
> não sendo apresentadas questões de instalação e
> configuração de serviços
> que são pré-requisitos. Presume-se que haja um
> conhecimento prévio sobre o
> Firewall Builder 2.1.18.
>
> Você é o administrador de uma rede que interliga
> diversos servidores,
> espalhados por seu estado, a um servidor central.
> Sendo que neste, roda um
> aplicativo em determinada porta na qual trafegam
> dados entre todos os membros
> da rede. Você obviamente deve ter um firewall para
> cada servidor, restringindo
> acessos a essa porta. Até aí tudo bem. Mas agora
> imagine que necessite tocar a
> porta deste serviço, sendo que sua rede tem 200
> servidores! Você vai alterar
> o firewall de servidor em servidor manualmente? Aí
> está uma das vantagens de
> utilizar Firewall Builder. Você poderá alterar
> somente o objeto que contém a
> porta do aplicativo e essa alteração passa a valer
> para todos os firewalls que
> são gerenciados na mesma interface. Maravilha não é
> mesmo? Bom pelo menos até
> aqui. Falta agora, depois de compilado, enviar os
> scripts de firewall gerados
> pelo Firewall Builder para todos os 200 servidores.
> Através de seu instalador
> você enviará e inicializará os 200 firewalls um a um
> através de conexões ssh a
> cada servidor. Nesse ponto você se depara com 3
> possíveis situações/problemas:
>
> - primeira: que usuário e senha utilizar para o
> processo de instalação via
> ssh do firewall de cada servidor?
>
> - segunda: é necessário abrir o ssh para root para
> ter permissão de iniciar
> o firewall na máquina remota?
>
> - terceira: vou ter que digitar 200 vezes meu
> usuário e senha?
>
> Para solucionar essas questões, você precisará
> seguir alguns poucos passos,
> que devem ser realizados somente nas máquinas que
> receberão firewalls via
> Firewall Builder.
>
> Como primeiro passo, sabe-se que por medida de
> segurança não permite-se
> acesso ssh pelo usuário root, faz-se necessária
> então a criação ou o uso de
> outro usuário qualquer:
>
>
> # useradd -s /bin/bash niumar
> # passwd niumar
>
> Agora, caso você estiver usando a opção AllowUsers
> do ssh de seu servidor,
> não esqueça de acrescentar o usuário criado e
> reiniciar o serviço.
>
> Abra um conexão ssh com seu novo usuário. Se
> conseguir está tudo ok e
> poderemos avançar para o próximo passo.
>
> O Firewall Builder depois que autenticar via ssh na
> máquina, copiará o
> script de firewall para o lugar informado na
> configuração desse firewall
> (/tmp/rc.firewall). Você notará que continuará dando
> erro na instalação do
> firewall, mas o arquivo foi enviado corretamente. O
> motivo desse erro é a falta
> de permissões para execução desse script, composto
> por diversos comandos que
> necessitam de permissões de administrador para
> funcionarem. Como não estamos
> utilizando o usuário root, o Firewall Builder, por
> padrão, já utilizará o
> comando sudo para executar o firewall na máquina
> remota. Certifique-se de
> ter o sudo instalado. Antes ainda de configurá-lo,
> você deverá criar um
> grupo no qual todos os membros poderão instalar,
> reiniciar e parar o firewall.
>
>
> #groupadd firewall
> #usermod -G firewall niumar
>
> Agora, necessita-se atribuir o grupo firewall ao
> script que está no /tmp
> e movê-lo para o /etc/rc.d. (Não esqueça de alterar
> o caminho e conferir o
> nome do script na configuração do Firewall Builder).
>
>
> #chgrp root:firewall /tmp/rc.firewall
> #chmod 770 /etc/rc.d/rc.firewall
> #mv /tmp/rc.firewall /etc/rc.d/rc.firewall
>
> Seguindo, necessita-se ainda, atribuir as permissões
> de execução ao script
> do firewall através do comando sudo utilizado pelo
> Firewall Builder.
>
>
> #sudoedit /etc/sudoers
>
>
> Acrescente a linha: %firewall
> ALL=/etc/rc.d/rc.firewall
> Pronto. Teste a execução desse script logado com seu
> usuário através do
> comando:
>
>
> #sudo /etc/rc.d/rc.firewall
>
>
> A senha de seu usuário será solicitada e o firewall
> executado (dependendo
> da distro usada, pode ser solicitada a senha de
> root. Neste caso acrescente
> também a linha Defaults !lecture,tty_tickets,!fqdn).
>
> Caso prefiras que seja exigida a senha de root para
> autenticação do usuário
> recém criado, torna-se necessário incluir o
> parâmetro rootpw na opção
> Defaults do mesmo arquivo e criar um par de chaves
> pública/privada no ssh
> para que, na autenticação ssh não seja solicitada
> senha. Isso é necessário
> porque o Firewall Builder usa a mesma senha, tanto
> para logar via ssh como
> para usar no comando sudo.
>
> Esses passos já deverão lhe proporcionar o
> gerenciamento remoto do firewall,
> com seu usuário específico.
>
> Existe ainda o problema da necessidade de digitar o
> usuário e a senha para
> cada servidor que desejamos instalar.
>
> Faça o seguinte, repita todos os passos acima para
> todos os servidores
> e cuide para sempre utilizar o mesmo usuário e
> senha. Ao instalar pelo
> Firewall Builder, marque a opção Batch Install
> (Executar instalação em
> lote), coloque uma vez o usuário e senha e espere o
> Firewall Builder fazer
> o resto por você.
>
> Concluindo, a dica acima teve como intuito, promover
> e mostrar o potencial
> dessa excelente ferramenta, bem como, através da
> demonstração de uma situação,
> mostrar que problemas aparentemente complexos podem
> ser solucionados com
> ferramentas básicas.
>
>
>
--------------------------------------------------------------------
> CVS
> Editora Novatec
> http://www.novatec.com.br/guias/cvs/
> Livros da Editora Novatec com desconto para
> assinantes da Dicas-L
> Código da promoção: DICASL01
> Desconto: 15%
> Validade: 31/05/2008
>
------------------------------------------------------------------------
> Colabore com a Dicas-L. Publique seu comentário
> sobre esta mensagem
> em http://www.Dicas-L.com.br/dicas-l/20080418.php
>
--------------------------------------------------------------------
> Veja também do arquivo da Dicas-L:
>
> "Semana do Júlio Neves - O Comando Paste"
> http://www.dicas-l.com.br/dicas-l/20050223.php
>
> "Uma alternativa para criar grupos de contatos no
> gmail"
> http://www.dicas-l.com.br/dicas-l/20050421.php
>
> "Comprimindo logs ao mesmo tempo em que são gerados"
> http://www.dicas-l.com.br/dicas-l/20040506.php
>
> "Semana Solis - Scotty"
> http://www.dicas-l.com.br/dicas-l/20040907.php
>
> "Change log automático no vim"
> http://www.dicas-l.com.br/dicas-l/20050425.php
>
>
-------------------------------------------------------------------------
> Descadastramento:
> http://www.dicas-l.com.br/descadastramento.php
>
-------------------------------------------------------------------------
> As mensagens da lista Dicas-L são veiculadas
> diariamente
> para 29974 assinantes.
>
> Todas as mensagens da Dicas-L ficam
> armazenadas em
> http://www.Dicas-L.com.br/dicas-l/
>
> A redistribuição desta e outras mensagens da lista
> Dicas-L pode
> ser feita livremente segundo a licença Creative
> Commons
>
http://creativecommons.org/licenses/by-nc-sa/2.0/br/deed.pt
>
> Dicas-L: Uma dica por dia desde 3 de março de 1997
>
-------------------------------------------------------------------------
> Newsfeed RSS: http://www.dicas-l.com.br/index.xml
>
-------------------------------------------------------------------------
>
Enaldo S. Leite
[EMAIL PROTECTED]
Abra sua conta no Yahoo! Mail, o único sem limite de espaço para
armazenamento!
http://br.mail.yahoo.com/
