Archive for category Tutorial

Lixeira no Samba passo-a-passo

Veja como configura a lixeira no samba

Deletei um arquivo no meu servidor de arquivos do SAMBA e agora? Se você explorar todo o poder que o samba tem nem tudo está perdido. O samba tem uma opção para você configurar lixeira…  Então mão na massa!

1.Habilitar a opção “vfs objects = recycle”

Esta opção pode ser habilitada de duas maneiras no samba. A primeira é na seção [GLOBAL] que faz com que fique configurada a lixeira para todos os usuários. A segunda e habilitar a opção em cada compartilhamento do samba.

2.Alterando o diretório onde será armazenado os arquivos deletado.

Acrescente a opção “recycle:repository = /home/trainingtecnologia/lixo”
Ao habilitar a opção vfs objects = recycle” todos os arquivos deletados vão para um diretório chamado .recycle dentro do compartilhamento onde foi hablitada a opção.
Habilitando a opção “recycle:repository = lixo” você altera o diretório onde será colocado os arquivos deletados.

3.Organizando o lixo

Acrescente a opção “recycle:keeptree = yes”
Esta opção é muito útil pois faz com que a arvore do diretório de onde o arquivo foi deletado seja conservado.

4.E se eu deletar arquivos com o mesmo nome?????

Relaxe pois existe a opção “recycle:versions = yes”
Pronto. Os seus problemas acabaram pois agora arquivos com o mesmo nome serão versionados.

5.Cada usuário tem seu lixo.

Acrescente ao final da opção recycle:repository = /home/trainingtecnologia/lixo a variável %U
Para facilitar a administração e recuperação ao acrescentar a variável %U cada usuário terá um subdiretório dentro da lixeira.
A linha ficara da seguinte maneira: recycle:repository = /home/trainingtecnologia/lixo/%U

6.Compensa armazenar na lixeira musica, vídeos e outros arquivos não referentes a trabalho???

Acrescentando a opção “recycle:exclude = *.mp3, *.log, *.avi, *.qualquer_coisa” tudo que contiver estas extensões não será armazenado na lixeira.

7.Segue abaixo a configuração finalizada. Lembrando que abaixo eu coloquei na configuração global, ou seja, todos os compartilhamentos terá a lixeira configurada.

#======================= Global Settings =======================

[global]

workgroup = TRAINING
server string = %h server
dns proxy = no
log level = 1
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes
unix extensions = no
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
#============= Configurando a lixeira unificada ====================
vfs objects = recycle
recycle:repository = /home/lixo/%U
recycle:versions = yes
recycle:keeptree = yes
recycle:exclude = *.tmp, *.log, *.iso, *.mp3, *.avi
#============= FIM Configurando a lixeira unificada ====================

Fonte: http://trainingtecnologia.com.br

Lomadee, uma nova espécie na web. A maior plataforma de afiliados da América Latina.

, , , , , , , ,

Comments

Configurando link Ponto a Ponto básico com Mikrotik (Para iniciantes)

Primeiro. O que danado é Mikrotik?

Para dar a resposta correta teria que me alongar muito, mas como o intuito para este post é ser o mais básico possível a resposta curta é:

Mikrotik é a empresa desenvolvedora de um sistema operacional de roteamento mais conhecido pelo próprio nome da empresa, porém o nome próprio é RouterOS. Muito utilizado por provedores o sistema suporta configurações de Wireless, roteamento estático e dinâmico, proxy, firewall e etc.

OBS: Para o tutorial abaixo foi usado uma Routerboard 153 já antiga e fora de linha com o sistema RouterOS embarcado. Você não terá problema para configurar em sistemas mais novos, as opções vão estar lá.

Para acessar os rádios Mikrotik é necessário utilizar o programa WINBOX que é gratuito, não precisa ser instalado e pode ser encontrado e baixado do site: www.mikrotik.com

Após abrir o programa temos a seguinte tela inicial:

Parte 1: Aqui as configurações são idênticas para os dois rádios.

Clique no menu Bridge. Ao abrir a tela clique no botão “+ “  para criar uma nova bridge, defina um nome para a bridge ou deixe o valor padrão e de ok.

Ainda no menu bridge, vá na aba Ports clique no botão “+ “  e selecione:

Interface: ether1

Bridge: Selecione a bridge criada.

Depois clique novamente no botão “+ “ vermelho e selecione:

Interface: wlan1

Bridge: Selecione a bridge criada.

Ficando assim:

Feche a tela Bridge.

Clique no menu IP e selecione a opção Addresses.

Clique no botão “+ “  digite o IP/Mascara do rádio e selecione a interface Bridge1 (ou o nome que você definiu).

OBS: Coloque um IP Diferente para o segundo rádio. Ex: 10.10.0.2/24

Clique em “Interfaces” e na Interface list que será exibida de dois cliquem em “Wlan1” para editar as configurações do rádio.

Parte 2: Configurando o rádio 1.

Vá para a aba Wireless e configure os parâmetros conforme figura abaixo:

Vá para a aba WDS e configure conforme figura abaixo:

De ok.

Clique com o botão direito do mouse em Wlan1 e clique em “Enable” para habilitar o rádio.

Configurando o rádio 2.

Vá para a aba Wireless e configure os parâmetros conforme figura abaixo:

Vá para a aba WDS e configure conforme figura do rádio 1 e de ok.

Clique com o botão direito do mouse em Wlan1 e clique em “Enable” para habilitar o rádio. (Conforme figura do rádio 1)

Verificando a conexão:

Se tudo deu certo deverá aparecer uma nova conexão do tipo WDS na Interface List:

Agora é so fazer os testes.

Davi Sabino Barros
*Todo conteúdo pode e deve ser copiado, desde que mantidos o autor e o endereço original.

Lomadee, uma nova espécie na web. A maior plataforma de afiliados da América Latina.

, , , , , , , , , , , , , , , , , ,

Comments

Como converter máquinas reais em máquinas virtuais (VM)?

O Vmware vcenter converter standalone é uma ferramenta gratuita de conversão de máquinas físicas para máquinas virtuais.

O que significa isso?

Você tem um servidor instalado numa máquina e precisa liberar a máquina para outro tipo de serviço. Com o vcenter converter  você consegue transformar essa sua máquina em uma VM e importar ela para o ESXi (Servidor gratuito de virtualização). Liberando a máquina física para qualquer outro fim.

Instalando o vcenter converter

Baixe aqui e instale o vmware vcenter converter standalone, que enquanto escrevo está na sua versão 4.3. A instalação é padrão Windows (NNF) next, next, finish. Você não terá problema.

Importando máquinas

Após a instalação abra o vcenter e clique em “Convert Machine” no topo esquerdo da tela.

No nosso exemplo, em Source System escolha: “Powered-on Machine” isso significa que você esta importando uma máquina que esta no momento ligada (Garanta isso).

Selecione qual máquina esta sendo importada, se é a local, onde você instalou o software ou uma máquina remota. No segundo caso digite o IP da máquina e as credenciais necessárias para o acesso a ela. Informe também o tipo do sistema operacional e clique em next.

Em Destination System selecione VMware Infrastruture virtual machine para importar a máquina para o servidor ESX/ESXi, informe o IP do servidor e as credenciais dele e clique em next.

Em Destination  Virtual Machine escolha um nome para a máquina que esta sendo importada e clique em next.

Em Destination Location confira o tamanho do disco  e selecione em que HD “Datashore” ele será importado e clique em next.

Nas duas telas seguintes “options” e “sumary” confira as opções e clique em next.

Agora e só aguardar a finalização.

Davi Sabino Barros
*Todo conteúdo pode e deve ser copiado, desde que mantidos o autor e o endereço original.

Lomadee, uma nova espécie na web. A maior plataforma de afiliados da América Latina.

, , , , , , , , , , , , , , , , , ,

Comments

Debugando Squid lento.

Esta semana notei que a Internet, em determinados momentos, estava muito lenta somente durante a navegação em páginas. Imediatamente dei um # tail -f /var/log/squid/access.log para ver como estava o fluxo. Notei que havia problemas, pois não era raro as coisas ficarem bem lentas. Algo considerado normal era de 5 a 30 linhas de log por segundo. De repente, o fluxo passava para 1 linha a cada 3 ou 5 segundos. Era evidente que algo estava errado.

A caçada ao problema

A próxima providência foi observar o log /var/log/squid/cache.log. Esse log é muito útil em casos de panes. Assim sendo, encontrei entradas como essas:

2011/03/01 11:33:08| WARNING! Your cache is running out of filedescriptors
2011/03/01 11:33:24| WARNING! Your cache is running out of filedescriptors
2011/03/01 11:33:40| WARNING! Your cache is running out of filedescriptors
...
2011/03/01 11:37:49| comm_open: socket failure: (24) Too many open files
2011/03/01 11:37:49| comm_open: socket failure: (24) Too many open files
2011/03/01 11:37:49| comm_open: socket failure: (24) Too many open files
2011/03/01 11:37:49| comm_open: socket failure: (24) Too many open files
2011/03/01 11:37:49| comm_open: socket failure: (24) Too many open files

A primeira atitude foi parar o Squid para extinguir conexões e liberar a memória. Ao parar o Squid, o log cache.log mostrou várias linhas similares às seguintes:

2011/03/01 11:39:56| WARNING: Closing client 172.20.11.8 connection due to lifetime timeout
2011/03/01 11:39:56|    http://212.95.32.228/
2011/03/01 11:39:56| WARNING: Closing client 172.20.11.8 connection due to lifetime timeout
2011/03/01 11:39:56|    http://pornorus.info/
2011/03/01 11:39:56| WARNING: Closing client 172.20.11.8 connection due to lifetime timeout
2011/03/01 11:39:56|    http://212.95.32.228/
2011/03/01 11:39:56| WARNING: Closing client 172.20.11.8 connection due to lifetime timeout
2011/03/01 11:39:56|    http://212.95.32.228/
2011/03/01 11:39:56| WARNING: Closing client 172.20.11.8 connection due to lifetime timeout
2011/03/01 11:39:56|    http://pornorus.info/

Depois de ver tais ocorrências nos logs, coloquei novamente o Squid no ar e iniciei uma sessão tcpdump analisando os pacotes oriundos da máquina 172.20.11.8 (# tcpdump -n src host 172.20.11.8 -i any). O resultado, assustador, foi o seguinte (apenas parte dele):

13:14:43.987252 IP 172.20.11.8.57275 > 69.172.201.37.80: Flags [R.], seq 181, ack 222, win 0, length 0
13:14:44.409406 IP 172.20.11.8.57267 > 66.147.233.129.80: Flags [S], seq 1898618422, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.409410 IP 172.20.11.8.57258 > 199.59.164.43.80: Flags [S], seq 55279041, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.409421 IP 172.20.11.8.57259 > 216.67.236.203.80: Flags [S], seq 932004311, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.409452 IP 172.20.11.8.57261 > 206.188.192.114.80: Flags [S], seq 2750519905, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.409462 IP 172.20.11.8.57264 > 66.147.233.129.80: Flags [S], seq 1119544921, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.409473 IP 172.20.11.8.57266 > 206.188.192.114.80: Flags [S], seq 590383906, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.409475 IP 172.20.11.8.57262 > 97.74.233.172.80: Flags [S], seq 2639837201, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.409485 IP 172.20.11.8.57263 > 199.59.164.43.80: Flags [S], seq 2739288678, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.409495 IP 172.20.11.8.57268 > 212.95.32.228.80: Flags [S], seq 2977967308, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.440659 IP 172.20.11.8.57270 > 97.74.233.172.80: Flags [S], seq 3954006774, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.440659 IP 172.20.11.8.57269 > 212.95.32.228.80: Flags [S], seq 2623039428, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.471860 IP 172.20.11.8.57271 > 216.67.236.203.80: Flags [S], seq 3118322633, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.483034 IP 172.20.11.8.57254 > 69.172.201.37.80: Flags [R.], seq 158, ack 222, win 0, length 0
13:14:44.487431 IP 172.20.11.8.57273 > 184.154.10.250.80: Flags [S], seq 3904042156, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.518571 IP 172.20.11.8.57274 > 66.147.233.129.80: Flags [S], seq 1708211931, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.525773 IP 172.20.11.8.57285 > 216.67.236.203.80: Flags [R.], seq 132, ack 285, win 0, length 0
13:14:44.525840 IP 172.20.11.8.57293 > 212.95.32.228.80: Flags [R.], seq 185, ack 263, win 0, length 0
13:14:44.534239 IP 172.20.11.8.57750 > 206.188.192.114.80: Flags [FP.], seq 0:193, ack 1, win 64240, length 193
13:14:44.598544 IP 172.20.11.8.57755 > 66.147.233.129.80: Flags [S], seq 2940124690, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.598893 IP 172.20.11.8.57755 > 66.147.233.129.80: Flags [.], ack 1072162614, win 64240, length 0
13:14:44.599643 IP 172.20.11.8.57755 > 66.147.233.129.80: Flags [P.], seq 0:209, ack 1, win 64240, length 209
13:14:44.599676 IP 172.20.11.8.57755 > 66.147.233.129.80: Flags [F.], seq 209, ack 1, win 64240, length 0
13:14:44.643413 IP 172.20.11.8.57729 > 212.95.32.228.80: Flags [S], seq 1694411187, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.643434 IP 172.20.11.8.57731 > 69.172.201.37.80: Flags [S], seq 3071298608, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.643451 IP 172.20.11.8.57728 > 216.67.236.203.80: Flags [S], seq 3961495832, win 8192, options [mss 1460,nop,nop,sackOK], length 0
13:14:44.643712 IP 172.20.11.8.57729 > 212.95.32.228.80: Flags [.], ack 1069583567, win 64240, length 0
13:14:44.643860 IP 172.20.11.8.57731 > 69.172.201.37.80: Flags [.], ack 1068018127, win 64240, length 0
13:14:44.643875 IP 172.20.11.8.57728 > 216.67.236.203.80: Flags [.], ack 1060616693, win 64240, length 0
...

Bem, foram cerca de 250 transações por segundo. Estava evidente que era vírus. E a quantidade de conexões em massa estava exaurindo os recursos do Squid. Então, liguei para o usuário e solicitei que retirasse o cabo de rede (eu poderia ter utilizado uma regra de iptables ao invés disso). Reiniciei o Squid para que o mesmo rompesse as conexões estabelecidas. No mesmo instante a rede voltou ao normal.

A desinfecção da máquina

O próximo passo foi ir ao usuário. Eu queria ver qual era o worm que estava destruindo a minha rede. A máquina estava com um Windows Vista. Instalei o Zone Alarm Free para ver quais programas iam tentar acessar a Internet quando eu reiniciasse o computador. Um dos primeiros foi um tal svajnager.exe, localizado em c:\windows\system32\drivers. Um lugar suspeitíssimo, uma vez que lá só há arquivos .sys. Imediatamente, realizei um boot com um pendrive contendo um Debian, montei a partição e apaguei o arquivo. Reiniciei o Windows. A máquina ficou mais rápida e a rede normal.

A prevenção contra problemas futuros

Bem, para evitar problemas futuros, criei um shell script que varre o log cache.log a cada 10 minutos (via cron), procurando por anomalias. Caso encontre alguma coisa, esse shell me avisa, via Jabber, sobre o ocorrido. Para entender como configurar isso e para ver o script, acesse este post.

Conclusão

Se você procurar na Internet pelas mensagens de erro mostradas, verá que a maioria dos posts manda aumentar a quantidade possível de arquivos abertos ou outras soluções numéricas. O problema é que isso é uma solução paliativa. Na verdade, temos que descobrir a causa do problema, ao invés de darmos um jeito de convivermos com ele. Então, neste post, vimos como descobrir tal causa.

 

fonte: http://www.eriberto.pro.br

 

Lomadee, uma nova espécie na web. A maior plataforma de afiliados da América Latina.

, , , , , , , , , , , ,

Comments

Mac Flooding – Entendendo melhor o ataque.

O Mac flooding (não é nome de sanduiche novo) é geralmente usado para atacar Switches da sua rede. Neste tipo de ataque eles bombardeiam seu dispositivo com vários números MAC de origem falsos com a intenção de consumir toda memória reservada a tabela de endereços físicos do seu dispositivo. A famosa tabela ARP.

Quando isso acontece o Switch pode responder de duas maneiras:

  1. O switch simplesmente trava.
  2. Ele começa a operar no modo Failopen.

Como no primeiro modo, ao travar o Switch, iria derrubar todas as conexões que estivessem feitas a ele a maioria das fabricantes prefere usar o segundo modo, afinal, Switch travando não é uma boa propaganda.

Porém, ao se utilizar o modo Failopen, o Switch abandona a tabela ARP e começa a trabalhar como se fosse um Hub onde os pacotes são endereçados a todas as portas em Broadcast. Sendo assim é possível a captura de pacotes em toda a sua rede utilizando um Sniffer.

Para demonstrar o ataque é possível utilizar uma ferramenta que faz parte da suíte Dsniff o MACOF (nome sugestivo né?).

  1. Fazendo o download – Para baixar acesse a pagina da suíte clicando AQUI, ou simplesmente digite no seu terminal Debian o comando #apt-get install dsniff
  2. Utilizando – A utilização é mais simples ainda, após instalando digite no seu terminal #mcof –i eth0 –n 100000. O –i indica por qual interface iremos lançar os pacotes e o –n indica a quantidade de pacotes com Mac falsos.

Agora vamos ver como se defender usando algumas técnicas para prevenir o ataque:

  1. Implementar filtros de segurança L2 (MAC filter).
  2. Permitir que apenas um número limitado de MAC Address seja aprendido automaticamente por porta.
  3. Implementar Port Security com bloqueio automático de portas em caso de tentativa de intrusão.

Mas como aplicar no meu dispositivo? (Utilizando um switch da Cisco)

A Cisco tem uma funcionalidade chamada switchport port-security, que protege contra esse tipo de ataque. Você pode usar essa funcionalidade para restringir a entrada de um número grande de endereços MAC em uma interface limitando e identificando endereços MAC de estações que podem ter acesso as portas.

Existem três modos de endereços MAC:

  1. Endereços MAC estáticos: Esses são configurados manualmente usando o comando: switchport port-security mac-address mac-address interface configuration. O endereço é guardado na tabela e adicionado ao “running config” do dispositivo.
  2. Endereços MAC dinâmicos: Esses, como o nome diz, são aprendidos dinamicamente.  O endereço é guardado na tabela, porém não é adicionado ao “running config” e é removido casso o switch reinicie.
  3. Endereços MAC “sticky”: Esses podem ser aprendidos dinamicamente ou manualmente adicionados. O endereço é guardado na tabela e adicionado ao “running config”. Se os endereços forem salvos no “running config” não precisam ser aprendidos novamente quando o switch reiniciar.

Uma porta segura pode ter de 1 a 132 endereços associados a ela. Porém o numero total de endereços seguros em um switch é de 1024. Quando o número máximo de endereços MAC seguros é atingido e uma estação que não tem seu endereço MAC na tabela do dispositivo tenta um acesso na interface uma violação de segurança ocorre.

O Switch pode reagir de três maneiras a essa violação de segurança:

  1. Modo Protect: Todos os pacotes vindos de estações com o endereço desconhecido serão descartados até que você libere um número suficiente de endereços MAC seguros ou aumente o número de endereços seguros permitidos. Neste modo você não será notificado das violações de segurança.
  2. Modo Restrict: Exatamente igual ao modo Protect. Porém, nesse modo, você é notificado das violações de segurança. É enviada uma trap SNMP, uma mensagem ao syslog e o contador de violações e incrementado.
  3. Modo Shutdown: Nesse modo uma violação de segurança muda o estado da porta para “error-disabled” o que desativa a porta (até os leds). Também envia uma trap SNMP, uma mensagem ao syslog e incrementa o contador de violações.

Mão na massa:

Vamos, como exemplo, limitar a 10 o número de endereços MAC, dois deles serão do tipo estático (aaaa.aaaa.aaaa, bbbb.bbbb.bbbb), na interface FastEthernet 0/1. Usaremos o modo Restrict.

R1# conf t
R1(config)# interface fastethernet0/1
R1(config-if)# switchport mode access
R1(config-if)# switchport port-security
R1(config-if)# switchport port-security maximum 10
R1(config-if)# switchport port-security violation restrict
R1(config-if)#switchport port-security mac-address sticky 
R1(config-if)# switchport port-security mac-address aaaa.aaaa.aaaa
R1(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

Sendo:

switchport mode access: O port-security funciona apenas em portas do tipo acesso.
switchport port-security: Habilita o port security na interface.
switchport port-security maximum 10: Seta o número máximo de endereços MAC da interface para 10.
switchport port-security violation restrict: Defines o modo de utilização “restrict”.
switchport port-security mac-address aaaa.aaaa.aaaa: Define o endereço MAC estático. Quando você cadastrar menos endereços do que os definidos como máximo os restante será aprendido dinamicamente.

Não podemos utilizar o port security se a porta estiver configurada como: Trunk, Dynamic, Dynamic-access, EtherChannel, 802.1X, Switch Port Analyzer (SPAN) destination.

Davi Sabino Barros
*Todo conteúdo pode e deve ser copiado, desde que mantidos o autor e o endereço original.

Lomadee, uma nova espécie na web. A maior plataforma de afiliados da América Latina.

, , , , , , , , , , , , , , , , , , , , ,

Comments