Até que enfim consegui um tutorial muito bom e repasso a todos aqui com a referência a seguir:
Boa sorte.
Ficam aqui algumas dicas e soluções para os sistemas Windows e Linux.
sexta-feira, 4 de fevereiro de 2011
Servidor Ftp no Squeeze com Proftp
Fonte: PinguimRibeiro
Objectivo
Configurar um servidor ftp para uso na rede interna.
- NOTA:
- O protocolo ftp é um protocolo considerado inseguro, uma vez que os nomes de utilizadores e senhas são transmitidas em texto simples, sem qualquer tipo de protecção, pelo que são facilmente capturadas por terceiros. Por este motivo, o servidor ftp deve ser utilizador apenas dentro do ambiente relativamente seguro de uma rede interna. Caso se pretenda utilizar um servidor ftp de modo seguro deve ser adicionado o suporte para TLS (Ver: Proftpd + TLS/SSL)
Instalação
root@server:~# aptitude install proftpd-basic proftpd-doc
Durante a instalação, deve ser seleccionado o modo de funcionamento "standalone":
Configuração
Toda a configuração do ProFTPD é guardada no ficheiro /etc/proftpd/proftpd.conf.
A instalação por omissão activa o suporte IPV6 do ProFTPD. Como o nosso servidor apenas suporta IPV4, o IPV6 deve ser desligado, para evitar mensagens de erro durante o arranque do serviço.
#[...]
# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
UseIPv6 off
#[...]
Verificar que o servidor está configurado como standalone:
#[...]
ServerName "Debian"
ServerType standalone
DeferWelcome off
#[...]
Finalmente, reiniciar o servidor ftp:
root@server:~# /etc/init.d/proftpd restart
Opção de segurança: Restrição de acessos
Na configuração por omissão, o servidor ProFTPD permite que o utilizador navegue por todo o sistema de ficheiros a que normalmente tem acesso. No entanto, o ProFTPD permite restringir o acesso a apenas uma determinada arborescência de directorias. Deste modo, o cliente fica confinado a essa arborescência, não podendo aceder a qualquer outro recurso fora desse âmbito, o que constitui uma opção bastante segura.
No ficheiro de configuração do ProFTPD, o parâmetro DefaultRoot deverá indicar a directoria destinada a ser acedida via ftp.
Acesso restrito à home do utilizador
Para restringir o acesso via ftp apenas à directoria home de cada utilizador, basta indicar ~ como DefaultRoot no ficheiro /etc/proftpd/proftpd.conf:
#[...]
# Use this to jail all users in their homes
DefaultRoot ~
#[...]
Acesso restrito uma directoria específica
Para restringir o acesso via ftp a uma directoria específica na home de cada utilizador do utilizador, é necessário primeiro criar a respectiva directoria, e em seguida alterar a configuração do servidor no ficheiro /etc/proftpd/proftpd.conf:
#[...]
DefaultRoot ~/ftp
#[...]
Em seguida, cada utilizador que pretenda aceder via ftp, deve criar uma directoria chamada ftp, na sua home:
fribeiro@server:~$ mkdir ~/ftp
Por último, reiniciar o serviço ftp para activar as alterações:
root@server:~# /etc/init.d/proftpd restart 
Bloqueando tentativas de acesso com o fail2ban
Objectivo
O Fail2Ban é uma aplicação que analisa continuamente os ficheiros log e bloqueia os endereços Internet de onde originaram várias tentativas falhadas de acesso com senha inválida.
O Fail2Ban é extremamente eficaz na prevenção de ataques de força bruta e de negação de serviço (DoS).
Instalação
root@server:~# aptitude install fail2ban whois
Configuração
- NOTA:
- A configuração activada durante a instalação activa o fail2ban para a porta ssh. No entanto outras portas podem ser monitorizadas e protegidas.
A documentação do Fail2Ban aconselha a que toda a configuração seja feita em ficheiros com a extensão .local. Estes podem ser criados copiando o ficheiro de configuração original, com a extensão .conf:
root@server:~# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Toda a configuração é a partir de agora efectuada apenas no ficheiro /etc/fail2ban/jail.local.
Numa primeira fase, definimos os endereços que não estão sujeitos a restrições (endereço local e rede local), durante quanto tempo os endereços atacantes serão banidos (1800 segundos (30 minutos)) e após quantas tentativas (3 tentativas permitidas). Essa configuração deve ser efectuada no ficheiro /etc/fail2ban/jail.local:
# [...]
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1 192.168.1.0/24
bantime = 1800
maxretry = 3
# [...]
Também é definido o endereço email para o qual serão enviados os alertas:
# [...]
#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost
# [...]
Em seguida, é configurada a acção a realizar quando é detectado um possível ataque. Neste caso, o endereço IP do atacante é banido e um email é enviado ao administrador do sistema.
# [...]
#
# ACTIONS
#
# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overriden globally or per
# section within jail.local file
banaction = iptables-multiport
# [...]
#
# Action shortcuts. To be used to define action parameter
# [...]
# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_mwl)s
# [...]
Por último, são definidos os parâmetros do serviço que se pretende proteger, editando a secção JAILS do ficheiro /etc/fail2ban/jail.local:
# [...]
#
# JAILS
#
# [...]
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
# [...]
Finalmente, reiniciar o serviço fail2ban:
root@server:~# /etc/init.d/fail2ban restart
Verificação
A cada (re)início do serviço fail2ban um email de notificação será enviado ao administrador do sistema:
Subject: [Fail2Ban] ssh: started
From: Fail2Ban
To: root@localhost
Date: Tue, 13 Jan 2011 22:14:28 +0000 (WET)
Hi,
The jail ssh has been started successfully.
Regards,
Fail2Ban
E a cada ataque que despolete uma acção defensiva, o administrador será também notificado:
Subject: [Fail2Ban] ssh: banned 219.143.232.144
From: Fail2Ban
To: root@localhost
Date: Tue, 13 Jan 2011 22:25:06 +0000 (WET)
Hi,
The IP 219.143.232.144 has just been banned by Fail2Ban after
3 attempts against ssh.
Here are more information about 219.143.232.144:
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 219.143.232.0 - 219.143.233.127
netname: Sinotrans-Air-Transport-Development-Co-Ltd
country: CN
descr: 16F Building A Jinyun Plaza,NO.43 Xizhimen South Street,Xicheng District, Beijing,P.R.China
admin-c: HC55-AP
tech-c: HC55-AP
status: ASSIGNED NON-PORTABLE
changed: bjnic@bjtelecom.net 20071010
mnt-by: MAINT-CHINANET-BJ
source: APNIC
person: Hostmaster of Beijing Telecom corporation CHINA TELECOM
nic-hdl: HC55-AP
e-mail: bjnic@bjtelecom.net
address: Beijing Telecom
address: No. 107 XiDan Beidajie, Xicheng District Beijing
phone: +86-010-58503461
fax-no: +86-010-58503054
country: cn
changed: bjnic@bjtelecom.net 20040115
mnt-by: MAINT-CHINATELECOM-BJ
source: APNIC
Lines containing IP:219.143.232.144 in /var/log/auth.log
Dec 21 23:40:54 server sshd[4311]: Did not receive identification string from 219.143.232.144
Dec 21 23:44:19 server sshd[4318]: Invalid user globus from 219.143.232.144
Dec 21 23:44:19 server sshd[4318]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=219.143.232.144
Dec 21 23:44:21 server sshd[4318]: Failed password for invalid user globus from 219.143.232.144 port 43536 ssh2
Dec 21 23:44:22 server sshd[4320]: Invalid user marine from 219.143.232.144
Dec 21 23:44:22 server sshd[4320]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=219.143.232.144
Regards,
Fail2Ban
Referência: Site do PinguimRibeiro
- NOTA:
- O pacote Fail2Ban pode ser utilizado para proteger servidores de e-mail, ftp, web, etc, bastando para tal editar o ficheiro /etc/fail2ban/jail.local para configurar os vários serviços que se pretendem proteger.
quarta-feira, 2 de fevereiro de 2011
BKP simples no Squeeze
Buenas pessoas...
Estou aqui hoje para mostrar uma solução que encontrei simples aqui na empresa para efetuar o bkp automático de arquivos do samba, usados pelos setores no hospital, para meu pc debian que é um server reserva de squid e samba.
Bom, em 1° lugar instalei e configurei o proftpd, o qual o link segue abaixo:
Instalação do proftd no debian
O próximo passo foi baixar e configurar o Déja Cup no srv-debian para enviar os diretórios que eu selecionei para o servidor que eu uso. Procure pelo Déja-cup em Sistema/Administração/Central de Aplicativos
O programa é tão simples que é só executá-lo e alguns cliques e está configurado.
Sei que existem soluções bem mais complexas. mas dessa eu gostei, e faz o que eu quero, toda semana salvo os arquivos em um HD externo, (somente o ultimo bkp) e deleto os demais.
Aqui tá ajudando, espero que sirva para os amigos.
Estou aqui hoje para mostrar uma solução que encontrei simples aqui na empresa para efetuar o bkp automático de arquivos do samba, usados pelos setores no hospital, para meu pc debian que é um server reserva de squid e samba.
Bom, em 1° lugar instalei e configurei o proftpd, o qual o link segue abaixo:
Instalação do proftd no debian
O próximo passo foi baixar e configurar o Déja Cup no srv-debian para enviar os diretórios que eu selecionei para o servidor que eu uso. Procure pelo Déja-cup em Sistema/Administração/Central de Aplicativos
O programa é tão simples que é só executá-lo e alguns cliques e está configurado.
Sei que existem soluções bem mais complexas. mas dessa eu gostei, e faz o que eu quero, toda semana salvo os arquivos em um HD externo, (somente o ultimo bkp) e deleto os demais.
Aqui tá ajudando, espero que sirva para os amigos.
Assinar:
Postagens (Atom)