RE: Implantar Servidor IPtables/Firewall
Sempre separe seus serviços em servidores dinstintos (fw, proxy, Voip, dns, dhcp e etc), de preferência físicos, pois isso facilita a manutenção e ajuda não parar todos os serviços se um falahar ou se o Server hospedeiro cair. Crie seu projeto de rede (crie vlans, limite a máscara de rede se necessário, pois isola a rede e diminui o broadcast), e use camadas e níveis (fw de perímetro, dmz e etc) de segurança, no fw use no mínimo 2 placas físicas, se usar dmz coloque outra, se usar mais de 1 link adicione uma para cada, pois emular placa perde performance, desative todos os serviços que não for usar, filtre todas as portars, monitore seus ativos (zabbix, cacti) criei políticas de ids (snort, suricata). Emfin é um mundo a se explorar. Estude, se certifique. É importante, minha LPI tem me ajudado bastante. Bons estudos ;-) On Jun 26, 2013 9:16 PM, "Samuel ." wrote: > Agradeço aos que dedicaram um minuto do seu tempo para me ajudar! Estou > procurando mesmo boas práticas de segurança em servidores linux. Eu tenho > um serviço com somente uma placa de rede rodando um sistema de telefonia ip > (Asterisk) e preciso implementar políticas de segurança urgente. > > > __ > > Samuel > > __ > > > *De:* Samuel . > *Para:* Lista Debian BR > *Enviadas:* Terça-feira, 25 de Junho de 2013 23:50 > *Assunto:* Implantar Servidor IPtables/Firewall > > Olá a todos! Alguém poderia me ajudar a implantar um servidor de firewall? > Alguém tem pdf para me passar a respeito? Tudo bem que o que bloquear > depende do meu ambiente, mas o que normalmente os administradores > bloqueiam? No mais, meu muito obrigado! > > > __ > > Samuel > > __ > > > >
RE: Implantar Servidor IPtables/Firewall
Lembrando que firewall é um conceito e não uma feramenta só, firewall engloba filtro de portas, filtro de pacote e conteúdo, ids, IPs e outros. O que geralmente os sysadmin fazem: alterar as portas padrão dos serviços e as monitora e filtra, fazer loadbalance e failover se necessário, bloqueiam portas altas, limita privilégio e serviços. Adote a política de segurança: bloqueiar tudo é liberar somente o necessário, pois assim você está bloqueando tudo o que for desnecessário implicitamente, ajuda a dormir nos fins de semana kkk. On Jun 27, 2013 8:01 AM, d4n1h...@gmail.com wrote: > Sempre separe seus serviços em servidores dinstintos (fw, proxy, Voip, > dns, dhcp e etc), de preferência físicos, pois isso facilita a manutenção e > ajuda não parar todos os serviços se um falahar ou se o Server hospedeiro > cair. Crie seu projeto de rede (crie vlans, limite a máscara de rede se > necessário, pois isola a rede e diminui o broadcast), e use camadas e > níveis (fw de perímetro, dmz e etc) de segurança, no fw use no mínimo 2 > placas físicas, se usar dmz coloque outra, se usar mais de 1 link adicione > uma para cada, pois emular placa perde performance, desative todos os > serviços que não for usar, filtre todas as portars, monitore seus ativos > (zabbix, cacti) criei políticas de ids (snort, suricata). Emfin é um mundo > a se explorar. Estude, se certifique. É importante, minha LPI tem me > ajudado bastante. > > Bons estudos ;-) > On Jun 26, 2013 9:16 PM, "Samuel ." > wrote: > >> Agradeço aos que dedicaram um minuto do seu tempo para me ajudar! Estou >> procurando mesmo boas práticas de segurança em servidores linux. Eu tenho >> um serviço com somente uma placa de rede rodando um sistema de telefonia ip >> (Asterisk) e preciso implementar políticas de segurança urgente. >> >> >> __ >> >> Samuel >> >> __ >> >> >> *De:* Samuel . >> *Para:* Lista Debian BR >> *Enviadas:* Terça-feira, 25 de Junho de 2013 23:50 >> *Assunto:* Implantar Servidor IPtables/Firewall >> >> Olá a todos! Alguém poderia me ajudar a implantar um servidor de >> firewall? Alguém tem pdf para me passar a respeito? Tudo bem que o que >> bloquear depende do meu ambiente, mas o que normalmente os administradores >> bloqueiam? No mais, meu muito obrigado! >> >> >> __ >> >> Samuel >> >> __ >> >> >> >>
Re: OFF-TOPIC - VPS Digital Ocean
Massa, tenho uma vps no linode, testei um plano semelhante no Digital Ocean, e achei a latência do Digital Ocean mais alta com relação ao linode, embora ela tinha uma vantage com storage perdia em poder de processamentto, memória era igual entre ambas. Mas é um bom serviço. Uso Debian no linode.com :-D
OpenLDAP
Olá Pessoal!! Preciso de uma documentao para aprender sobre OpenLDAP, alguém pode me indicar uma boa para iniciantes? -- Fagner Patrício João Pessoa - PB Brasil
Re: OpenLDAP
Esse livro é bacana: GIL, Anahuac de Paula. OpenLDAP Extreme - Domando o verme. Abraços, Em 27 de junho de 2013 10:32, Fagner Patricio escreveu: > Olá Pessoal!! > > Preciso de uma documentao para aprender sobre OpenLDAP, alguém pode me > indicar uma boa para iniciantes? > > -- > Fagner Patrício > João Pessoa - PB > Brasil > -- *Geowany Galdino Alves* *Assistente em Tecnologia da Informação - NTI/UFAC* *Acadêmico em Licenciatura Plena - HISTÓRIA/UFAC***
Re: OpenLDAP
On Thu, 2013-06-27 at 11:32 -0300, Fagner Patricio wrote: > Olá Pessoal!! > > > Preciso de uma documentao para aprender sobre OpenLDAP, alguém pode me > indicar uma boa para iniciantes? > > -- > Fagner Patrício > João Pessoa - PB > Brasil Olá Fagner, procure sobre OpenLDAP na parte de monografias no site da UFLA no curso ARL. (Administração de redes Linux). -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1372344683.2273.8.camel@Windows-NT4.0
Re: OpenLDAP
[1] http://www.openldap.org/doc/ [2] http://www.openldap.org/doc/admin24/quickstart.html Em 27/06/13, Fagner Patricio escreveu: > Olá Pessoal!! > > Preciso de uma documentao para aprender sobre OpenLDAP, alguém pode me > indicar uma boa para iniciantes? > > -- > Fagner Patrício > João Pessoa - PB > Brasil > -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CACnf0pgstczRkxyp6=6xgxe4ous6m17rpdmhjtrzjd5s8w0...@mail.gmail.com
Re: Problemas para reiniciar o serviço de rede no Debian Testing (Jessie)
Em 27/06/13, Helio Loureiro escreveu: > Oi de novo, > > Olha, em geral vc não coloca duas interfaces na mesma subnet da forma que > está configurado. Ou vc habilita uma, ou outra, ou usa uma interface > bridge com as duas interfaces físicas adicionadas. Não vou mentir que estava com essa dúvida e sem entender oq o autor do tópico queria com duas interfaces setadas simultaneamente na mesma rede com /etc/network/interface daquele jeito... vlw pela luz [ ] 's -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CACnf0phS31tNsL4QADviBV_2vWVfyZLwi7aafq7Ci0=_zd-...@mail.gmail.com
Re: Problemas para reiniciar o serviço de rede no Debian Testing (Jessie)
Oi de novo, Olha, em geral vc não coloca duas interfaces na mesma subnet da forma que está configurado. Ou vc habilita uma, ou outra, ou usa uma interface bridge com as duas interfaces físicas adicionadas. Eu uso o meu com o network-manager e deixo tudo em DHCP. Em casa, eu coloco no servidor DHCP do roteador wireless (roda dd-wrt) o IP estático por MAC. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 26 de junho de 2013 17:28, Shutdown -h now escreveu: > Amigo, > > Estes IPs estão excluídos do pool do DHCP. > > O problema persiste quanto tento reiniciar o daemon de rede. é como se o > arquivo interfaces não fosse levado em consideração, tampouco as interfaces > fossem destivadas no networking stop. > > Abraços > > > Em 26 de junho de 2013 16:41, Rodolfo escreveu: > > Tipo, se sua rede recebe IP via DHCP, e voce atribui um IP estatico nas >> maquinas, e apos derruba-las tentar pegar o mesmo IP, pode ser que o >> servido DHCP nao tenha feito o release automatico do IP, dai pra ele o >> mesmo aparenta ainda estar reservado. >> >> >> Em 26 de junho de 2013 15:34, Shutdown -h now escreveu: >> >> Amigos, >>> >>> Já editei meu /etc/network/interfaces com a respectiva identação, e ele >>> ficou assim: >>> >>> # This file describes the network interfaces available on your system >>> # and how to activate them. For more information, see interfaces(5). >>> >>> # Interface de loopback >>> auto lo >>> iface lo inet loopback >>> >>> # Interface de rede cabeada >>> auto eth0 >>> iface eth0 inet static >>> address 192.168.0.90 >>> netmask 255.255.255.0 >>> network 192.168.0.0 >>> broadcast 192.168.0.255 >>> gateway 192.168.0.254 >>> >>> # Interface de rede sem fio >>> auto wlan0 >>> iface wlan0 inet static >>> address 192.168.0.91 >>> netmask 255.255.255.0 >>> network 192.168.0.0 >>> broadcast 192.168.0.255 >>> wpa-driver wext >>> wpa-conf /etc/wpa_supplicant/wireless.conf >>> >>> Como vocês podem ver, ambas interfaces estão com IPs fixos, e ambas >>> funcionam normalmente quando conectadas. >>> >>> O resumo da ópera é o seguinte. >>> Quado rodo: >>> >>> /etc/init.d/networking stop : a wlan0 não desativou (tive que >>> desativá-la na mão) >>> /etc/init.d/networking start : ambas subiram, mas as modificações no >>> arquivo interfaces não surtiram efeitos. >>> Para isso, tive que rodar "/etc/init.d/networking reload" >>> Inclusive, depois de rodar este último, apareceu a seguinte mensagem: >>> >>> RTNETLINK answers: No such process >>> >>> >>> Para mim, já está em um nível quase aceitável. >>> Mas o meu intento é fazer com que o reinício do daemon de rede do Debian >>> seja normalizado. >>> >>> Abraços >>> >>> >>> >>> Em 26 de junho de 2013 12:51, Helio Loureiro >>> escreveu: >>> Eu editei a mensagem no tablet e ficou uma bela duma porcaria. O interfaces tinha de estar nesse formato: # Interface de rede cabeada auto eth0 iface eth0 inet static address 192.168.0.90 netmask 255.255.255.0 gateway 192.168.0.254 # Interface de rede sem fio auto wlan0 iface wlan0 inet static address 192.168.0.91 netmask 255.255.255.0 gateway 192.168.0.254 wpa-driver wext wpa-conf /etc/wpa_supplicant/wireless.conf Dá uma olhada em "man (5) interfaces" que pode ajudar na sintaxe. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 26 de junho de 2013 09:50, Helio Loureiro escreveu: Tá faltando um espaço na configuração pra funcionar. Devia estar: > > auto eth0 > interface eth0 inet static > >address 192.168.0.90 >netmask 255.255.255.0 >gateway 192.168.0.254 > > Abs, > Helio Loureiro > http://helio.loureiro.eng.br > http://br.linkedin.com/in/helioloureiro > http://twitter.com/helioloureiro > http://gplus.to/helioloureiro > - sent via Android - > Em 25/06/2013 19:50, "Shutdown -h now" escreveu: > > Amigos, >> >> Eis o meu /etc/network/interfaces >> >> # cat /etc/network/interfaces >> # This file describes the network interfaces available on your system >> # and how to activate them. For more information, see interfaces(5). >> >> # Interface de loopback >> auto lo >> iface lo inet loopback >> >> # Interface de rede cabeada >> auto eth0 >> iface eth0 inet static >> address 192.168.0.90 >> netmask 255.255.255.0 >> gateway 192.168.0.254 >> >> # Interface de rede sem fio >> auto wlan0 >> iface wlan0 inet static >> address 192.168.0.91 >> netmask 255.255.255.0 >> gateway 192.168.0.254 >> wpa-driver wext >> wpa-conf /etc/wpa_supplican
Re: Problemas para reiniciar o serviço de rede no Debian Testing (Jessie)
Amigos, Agradeços pela paciência e pela dedicação de todos. Abraços Em 26 de junho de 2013 17:28, Shutdown -h now escreveu: > Amigo, > > Estes IPs estão excluídos do pool do DHCP. > > O problema persiste quanto tento reiniciar o daemon de rede. é como se o > arquivo interfaces não fosse levado em consideração, tampouco as interfaces > fossem destivadas no networking stop. > > Abraços > > > Em 26 de junho de 2013 16:41, Rodolfo escreveu: > > Tipo, se sua rede recebe IP via DHCP, e voce atribui um IP estatico nas >> maquinas, e apos derruba-las tentar pegar o mesmo IP, pode ser que o >> servido DHCP nao tenha feito o release automatico do IP, dai pra ele o >> mesmo aparenta ainda estar reservado. >> >> >> Em 26 de junho de 2013 15:34, Shutdown -h now escreveu: >> >> Amigos, >>> >>> Já editei meu /etc/network/interfaces com a respectiva identação, e ele >>> ficou assim: >>> >>> # This file describes the network interfaces available on your system >>> # and how to activate them. For more information, see interfaces(5). >>> >>> # Interface de loopback >>> auto lo >>> iface lo inet loopback >>> >>> # Interface de rede cabeada >>> auto eth0 >>> iface eth0 inet static >>> address 192.168.0.90 >>> netmask 255.255.255.0 >>> network 192.168.0.0 >>> broadcast 192.168.0.255 >>> gateway 192.168.0.254 >>> >>> # Interface de rede sem fio >>> auto wlan0 >>> iface wlan0 inet static >>> address 192.168.0.91 >>> netmask 255.255.255.0 >>> network 192.168.0.0 >>> broadcast 192.168.0.255 >>> wpa-driver wext >>> wpa-conf /etc/wpa_supplicant/wireless.conf >>> >>> Como vocês podem ver, ambas interfaces estão com IPs fixos, e ambas >>> funcionam normalmente quando conectadas. >>> >>> O resumo da ópera é o seguinte. >>> Quado rodo: >>> >>> /etc/init.d/networking stop : a wlan0 não desativou (tive que >>> desativá-la na mão) >>> /etc/init.d/networking start : ambas subiram, mas as modificações no >>> arquivo interfaces não surtiram efeitos. >>> Para isso, tive que rodar "/etc/init.d/networking reload" >>> Inclusive, depois de rodar este último, apareceu a seguinte mensagem: >>> >>> RTNETLINK answers: No such process >>> >>> >>> Para mim, já está em um nível quase aceitável. >>> Mas o meu intento é fazer com que o reinício do daemon de rede do Debian >>> seja normalizado. >>> >>> Abraços >>> >>> >>> >>> Em 26 de junho de 2013 12:51, Helio Loureiro >>> escreveu: >>> Eu editei a mensagem no tablet e ficou uma bela duma porcaria. O interfaces tinha de estar nesse formato: # Interface de rede cabeada auto eth0 iface eth0 inet static address 192.168.0.90 netmask 255.255.255.0 gateway 192.168.0.254 # Interface de rede sem fio auto wlan0 iface wlan0 inet static address 192.168.0.91 netmask 255.255.255.0 gateway 192.168.0.254 wpa-driver wext wpa-conf /etc/wpa_supplicant/wireless.conf Dá uma olhada em "man (5) interfaces" que pode ajudar na sintaxe. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 26 de junho de 2013 09:50, Helio Loureiro escreveu: Tá faltando um espaço na configuração pra funcionar. Devia estar: > > auto eth0 > interface eth0 inet static > >address 192.168.0.90 >netmask 255.255.255.0 >gateway 192.168.0.254 > > Abs, > Helio Loureiro > http://helio.loureiro.eng.br > http://br.linkedin.com/in/helioloureiro > http://twitter.com/helioloureiro > http://gplus.to/helioloureiro > - sent via Android - > Em 25/06/2013 19:50, "Shutdown -h now" escreveu: > > Amigos, >> >> Eis o meu /etc/network/interfaces >> >> # cat /etc/network/interfaces >> # This file describes the network interfaces available on your system >> # and how to activate them. For more information, see interfaces(5). >> >> # Interface de loopback >> auto lo >> iface lo inet loopback >> >> # Interface de rede cabeada >> auto eth0 >> iface eth0 inet static >> address 192.168.0.90 >> netmask 255.255.255.0 >> gateway 192.168.0.254 >> >> # Interface de rede sem fio >> auto wlan0 >> iface wlan0 inet static >> address 192.168.0.91 >> netmask 255.255.255.0 >> gateway 192.168.0.254 >> wpa-driver wext >> wpa-conf /etc/wpa_supplicant/wireless.conf >> >> Ambas interfaces estão configuradas para IP estático. >> >> Tanto dando "networking restart" quanto "networking stop && >> networking start", ele não 'sobe' a eth0 automaticamente. >> >> Aliás, sempre que rodo qualquer desses, aparece: >> >> [] Configuring network interfaces...RTNETLINK answers: File exists >> Failed to bring up eth0. >> >> Sei que posso subir a eth0
Re: Problemas para reiniciar o serviço de rede no Debian Testing (Jessie)
Só um adendo, Já tenho ciência da (não) utilidade de 2 interfaces na mesma subnet, e realmente este não é o escopo do tópico, e sim o funcionamento errático do meu daemon de rede. Abraços Em 27 de junho de 2013 19:31, Shutdown -h now escreveu: > Amigos, > > Agradeços pela paciência e pela dedicação de todos. > > Abraços > > > Em 26 de junho de 2013 17:28, Shutdown -h now escreveu: > > Amigo, >> >> Estes IPs estão excluídos do pool do DHCP. >> >> O problema persiste quanto tento reiniciar o daemon de rede. é como se o >> arquivo interfaces não fosse levado em consideração, tampouco as interfaces >> fossem destivadas no networking stop. >> >> Abraços >> >> >> Em 26 de junho de 2013 16:41, Rodolfo escreveu: >> >> Tipo, se sua rede recebe IP via DHCP, e voce atribui um IP estatico nas >>> maquinas, e apos derruba-las tentar pegar o mesmo IP, pode ser que o >>> servido DHCP nao tenha feito o release automatico do IP, dai pra ele o >>> mesmo aparenta ainda estar reservado. >>> >>> >>> Em 26 de junho de 2013 15:34, Shutdown -h now escreveu: >>> >>> Amigos, Já editei meu /etc/network/interfaces com a respectiva identação, e ele ficou assim: # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # Interface de loopback auto lo iface lo inet loopback # Interface de rede cabeada auto eth0 iface eth0 inet static address 192.168.0.90 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255 gateway 192.168.0.254 # Interface de rede sem fio auto wlan0 iface wlan0 inet static address 192.168.0.91 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255 wpa-driver wext wpa-conf /etc/wpa_supplicant/wireless.conf Como vocês podem ver, ambas interfaces estão com IPs fixos, e ambas funcionam normalmente quando conectadas. O resumo da ópera é o seguinte. Quado rodo: /etc/init.d/networking stop : a wlan0 não desativou (tive que desativá-la na mão) /etc/init.d/networking start : ambas subiram, mas as modificações no arquivo interfaces não surtiram efeitos. Para isso, tive que rodar "/etc/init.d/networking reload" Inclusive, depois de rodar este último, apareceu a seguinte mensagem: RTNETLINK answers: No such process Para mim, já está em um nível quase aceitável. Mas o meu intento é fazer com que o reinício do daemon de rede do Debian seja normalizado. Abraços Em 26 de junho de 2013 12:51, Helio Loureiro escreveu: > Eu editei a mensagem no tablet e ficou uma bela duma porcaria. > > O interfaces tinha de estar nesse formato: > > > # Interface de rede cabeada > auto eth0 >iface eth0 inet static >address 192.168.0.90 >netmask 255.255.255.0 >gateway 192.168.0.254 > > # Interface de rede sem fio > auto wlan0 > iface wlan0 inet static >address 192.168.0.91 >netmask 255.255.255.0 >gateway 192.168.0.254 >wpa-driver wext >wpa-conf /etc/wpa_supplicant/wireless.conf > > Dá uma olhada em "man (5) interfaces" que pode ajudar na sintaxe. > > > > Abs, > Helio Loureiro > http://helio.loureiro.eng.br > http://br.linkedin.com/in/helioloureiro > http://twitter.com/helioloureiro > http://gplus.to/helioloureiro > > > Em 26 de junho de 2013 09:50, Helio Loureiro > escreveu: > > Tá faltando um espaço na configuração pra funcionar. Devia estar: >> >> auto eth0 >> interface eth0 inet static >> >>address 192.168.0.90 >>netmask 255.255.255.0 >>gateway 192.168.0.254 >> >> Abs, >> Helio Loureiro >> http://helio.loureiro.eng.br >> http://br.linkedin.com/in/helioloureiro >> http://twitter.com/helioloureiro >> http://gplus.to/helioloureiro >> - sent via Android - >> Em 25/06/2013 19:50, "Shutdown -h now" >> escreveu: >> >> Amigos, >>> >>> Eis o meu /etc/network/interfaces >>> >>> # cat /etc/network/interfaces >>> # This file describes the network interfaces available on your system >>> # and how to activate them. For more information, see interfaces(5). >>> >>> # Interface de loopback >>> auto lo >>> iface lo inet loopback >>> >>> # Interface de rede cabeada >>> auto eth0 >>> iface eth0 inet static >>> address 192.168.0.90 >>> netmask 255.255.255.0 >>> gateway 192.168.0.254 >>> >>> # Interface de rede sem fio >>> auto wlan0 >>> iface wlan0 inet static >>> address 192.168.0.91 >>> netmask 255.255.255.0 >>> gateway 192.168.0.254 >>> wpa-driver wext >>> wpa-conf /etc/wpa_supplicant/wireless.conf