O Snort é um NIDS (Sistema de Detecção de Intruso na Rede) que gera alertas no caso de tentativa de ataques à uma rede coorporativa. Ele gera logs de acordo com a configuração feita no arquivo /etc/snort/snort.conf, salva estas informações em um Banco de Dados e as exibe em uma interface Web desenvolvida em PHP.
Neste tutorial , aprenderemos como configurar o pacote Snort + Apache + Mysql + Acidbase + PHP5
apt-get install mysql-server
apt-get install snort-mysql
Marcar para Não Configurar o Banco de Dados
Habilita o Snort aSalvar os Logs no Banco de Dados.
No arquivo /etc/snort/snort.conf, descomentar a linha
output database: log, mysql, user=snort password=senha dbname=snort host=localhost
E comente a linha
#output log_tcpdump: tcpdump.log
Criar a Base de Dados do Snort
mysql -u root -p
create database snort;
grant all privileges on snort.* to “snort”@“localhost” identified by “senha”;
Rodar o Script que cria a estrutura da Base de Dados do Snort apache.conf
cd /usr/share/doc/snort-mysql
gzip –d create_mysql.gz
mysql –u root –p snort < create_mysql
rm /etc/snort/db-pending-config
Reinicie o snort e Verifique se está tudo ok
/etc/init.d/snort restart
Instalar o Apache , PHP e outras dependências
apt-get install apache2
apt-get install php5-mysql
apt-get install libphp-adodb
apt-get install acidbase
No arquivo /etc/apache2/apache2.conf inserir a linha
Include /etc/acidbase/apache.conf
No Arquivo /etc/acidbase/apache.conf , colocar o endereço da sua rede local , como em :
allow from 192.168.1.0/255.255.255.0
Reinicie o apache e os outros serviços
/etc/init.d/apache2 restart
/etc/init.d/mysql restart
/etc/init.d/snort restart
Agora acesse http://servidor/acidbase
domingo, 8 de novembro de 2009
Desabilitando acesso via SSH do usuário root
Por medidas de segurança, devemos mudar a porta padrão de acesso via SSH e desabilitar o acesso do usuário root. Motivo: o usuário root existe em todos os sistemas linux e por padrão , tem permissão de acesso via SSH.
Acesse o arquivo /etc/ssh/sshd_config e mude de "yes" para "no" a seguinte linha:
PermitRootLogin no
No mesmo arquivo, mude a linha port 22 para port
Reinicie o SSH
/etc/init.d/ssh restart
Crie outro usuário no Sistema e o coloque no grupo root
Quando se logar no sistema via SSH como o novo usuário, digite "su" e entre com a senha do root. Pronto ! Agora você pode ter acesso total ao sistema !
Acesse o arquivo /etc/ssh/sshd_config e mude de "yes" para "no" a seguinte linha:
PermitRootLogin no
No mesmo arquivo, mude a linha port 22 para port
Reinicie o SSH
/etc/init.d/ssh restart
Crie outro usuário no Sistema e o coloque no grupo root
Quando se logar no sistema via SSH como o novo usuário, digite "su" e entre com a senha do root. Pronto ! Agora você pode ter acesso total ao sistema !
segunda-feira, 2 de novembro de 2009
FwAnalog - Analisando os Logs do Iptables
O Fwanalog é uma ferramenta com interface Web que interpreta os logs do Iptables gerando um relatório HTML.
Com o FwAnalog podemos verificar quais são os ataques mais comuns no nosso servidor, quais as portas mais scanneadas, qual hora os pacotes são bloqueados com mais frequência, os IP's externos dos atacantes, enfim , muita informação importante para qualquer administrador de rede preocupado com a segurança de seus servidores.
Distribuição testada: Debian 5.0
apt-get install fwanalog
Para gerar os Logs, digite
fwanalog
Por padrão , o fwanalog salva os arquivos gerados na pasta /var/www/fwanalog.
Podemos mudar esse valor. Para isto abrimos o arquivo /etc/fwanalog/fwanalog.opts e editamos a primeira linha que é outdir="/var/www/fwanalog"
Podemos criar um site no apache e direcionar os logs para lá.
Vimos com este tutorial como é simples a instalação e configuração do fwanalog, uma ferramenta muito útil para qualquer administrador de redes.
Com o FwAnalog podemos verificar quais são os ataques mais comuns no nosso servidor, quais as portas mais scanneadas, qual hora os pacotes são bloqueados com mais frequência, os IP's externos dos atacantes, enfim , muita informação importante para qualquer administrador de rede preocupado com a segurança de seus servidores.
Distribuição testada: Debian 5.0
apt-get install fwanalog
Para gerar os Logs, digite
fwanalog
Por padrão , o fwanalog salva os arquivos gerados na pasta /var/www/fwanalog.
Podemos mudar esse valor. Para isto abrimos o arquivo /etc/fwanalog/fwanalog.opts e editamos a primeira linha que é outdir="/var/www/fwanalog"
Podemos criar um site no apache e direcionar os logs para lá.
Vimos com este tutorial como é simples a instalação e configuração do fwanalog, uma ferramenta muito útil para qualquer administrador de redes.
Migração de Servidor Exchange para o Zimbra - O Básico
Esse tutorial visa mostrar o procedimento básico para migrar contas do Microsoft Exchange para o Zimbra Colaboraiton Server.
O Procedimento foi testado no Zimbra 6 instalado no Debian 5. A estação responsável pela migração estava com o Windows XP SP2 e outlook 2003 instalados.
Segue abaixo os procedimentos:
1.Na estação com o Windows XP , registre a dll ole32.dll com o comando regsvr ole32.dll
2.Instale o Outlook 2003, logue-se nela com a conta de Administrador e crie um perfil de e-mail do Exchange para esta conta
3. Baixe do site http://email.com.br/downloads/utilitarios o Migration Wizard para Exchange
4. A primeira tela do assistente pergunta o IP do servidor Zimbra, o usuário e senha do usuário administrador, aquele que vc cadastrou quando instalou o programa
5. Se o certificado do Zimbra não estiver instalado na estação, aparecerá uma mensagem de erro. Pode clicar em OK.
6.Selecione o Domínio cujas contas serão migradas
7. Em "select the MAPI profile", selecione o perfil da conta exchange do Administrador e avançar
8. Clique em Object Picker e selecione a conta do usuário Exchange que será migrada para o Zimbra. Avançar
9. Selecione os itens que serão migrados. Avançar
10. Clique em avançar mais uma vez e pronto ! A conta foi migrada para o Zimbra.
O Procedimento foi testado no Zimbra 6 instalado no Debian 5. A estação responsável pela migração estava com o Windows XP SP2 e outlook 2003 instalados.
Segue abaixo os procedimentos:
1.Na estação com o Windows XP , registre a dll ole32.dll com o comando regsvr ole32.dll
2.Instale o Outlook 2003, logue-se nela com a conta de Administrador e crie um perfil de e-mail do Exchange para esta conta
3. Baixe do site http://email.com.br/downloads/utilitarios o Migration Wizard para Exchange
4. A primeira tela do assistente pergunta o IP do servidor Zimbra, o usuário e senha do usuário administrador, aquele que vc cadastrou quando instalou o programa
5. Se o certificado do Zimbra não estiver instalado na estação, aparecerá uma mensagem de erro. Pode clicar em OK.
6.Selecione o Domínio cujas contas serão migradas
7. Em "select the MAPI profile", selecione o perfil da conta exchange do Administrador e avançar
8. Clique em Object Picker e selecione a conta do usuário Exchange que será migrada para o Zimbra. Avançar
9. Selecione os itens que serão migrados. Avançar
10. Clique em avançar mais uma vez e pronto ! A conta foi migrada para o Zimbra.
Ativando o Anti-Spam e o Anti-Vírus do Zimbra
Quando instalamos o Zimbra, o Kit de Segurança composto por ClamAV, Amavis e Spamassassim éstão desabilitados.
O Amavis é um Programa que faz a filtragem de E-Mails em um servidor.A filtragem é dividida em Scanner de Virus e Anti-Spam. O clamAV é responsável por scannear os vírus nos e-mails que chegam e o spamassassin é responsável por identificar os spams que chegam. Os três programas dependem um do outro.
Segue abaixo os passos necessários para uma configuração básica. O recomendável é ler cada arquivo de configuração e adaptar as opções ao seu ambiente.
No arquivo /opt/zimbra/conf/amavisd.conf
Descomentar as linhas
# @bypass_virus_checks_maps = (1);
# $final_virus_destiny = D_DISCARD
No arquivo /opt/zimbra/conf/spamassassin/local.cf
Descomentar:
# rewrite_header Subject *****SPAM*****
# report_safe 1
# lock_method flock
# required_score 5.0
# use_bayes 1
# bayes_auto_learn 1
No arquivo /opt/zimbra/conf/clamd.conf
Descomentar:
LocalSocket /opt/zimbra/data/clamav/clamav.sock
ScanPE yes
ScanELF yes
DetectBrokenExecutables yes
ScanOLE2 yes
ScanPDF yes
ScanMail yes
PhishingSignatures yes
PhishingScanURLs yes
ScanHTML yes
ScanArchive yes
O Amavis é um Programa que faz a filtragem de E-Mails em um servidor.A filtragem é dividida em Scanner de Virus e Anti-Spam. O clamAV é responsável por scannear os vírus nos e-mails que chegam e o spamassassin é responsável por identificar os spams que chegam. Os três programas dependem um do outro.
Segue abaixo os passos necessários para uma configuração básica. O recomendável é ler cada arquivo de configuração e adaptar as opções ao seu ambiente.
No arquivo /opt/zimbra/conf/amavisd.conf
Descomentar as linhas
# @bypass_virus_checks_maps = (1);
# $final_virus_destiny = D_DISCARD
No arquivo /opt/zimbra/conf/spamassassin/local.cf
Descomentar:
# rewrite_header Subject *****SPAM*****
# report_safe 1
# lock_method flock
# required_score 5.0
# use_bayes 1
# bayes_auto_learn 1
No arquivo /opt/zimbra/conf/clamd.conf
Descomentar:
LocalSocket /opt/zimbra/data/clamav/clamav.sock
ScanPE yes
ScanELF yes
DetectBrokenExecutables yes
ScanOLE2 yes
ScanPDF yes
ScanMail yes
PhishingSignatures yes
PhishingScanURLs yes
ScanHTML yes
ScanArchive yes
Relay Autenticado no Zimbra
O IP's dos provedores de Banda Larga não nos permite enviar e-mails para provedores tais como UOL, Yahoo, IG dentre outros. Para mantermos um servidor de e-mail interno contornando esse problema, devemos configurar um smart host, ou seja um servidor SMTP externo que receberá todas as mensagens que nossa empresa envia para fora, realizará a consulta DNS e encaminhará para o provedor.
Segue abaixo as linhas que devem ser colocadas em /opt/zimbra/postfix-2.6.5.2z/conf/main.cf
relayhost = smtp.meuprovedor.com.br:25
# Linha que informa que o servidor acima requer autenticação
smtp_sasl_auth_enable = yes
smtp_cname_overrides_servername = no
# Essa linha determina como o pacote contendo o usuário e senha será enviado. Da #forma como está configurado abaixo, é a que a maioria dos provedores aceitam
#(locaweb,allnet,etc)
smtp_sasl_security_options= noanonymous
smtp_sasl_password_maps = hash:/opt/zimbra/conf/senha_relay
Crie um arquivo com o nome de senha_relay em /opt/zimbra/conf com a seguinte linha
smtp.meuprovedor.com.br TAB minhaconta@meuprovedor.com.br:123456
após inserir as linhas digite:
su - zimbra
postfix reload
postmap hash:/opt/zimbra/conf/senha_relay
Segue abaixo as linhas que devem ser colocadas em /opt/zimbra/postfix-2.6.5.2z/conf/main.cf
relayhost = smtp.meuprovedor.com.br:25
# Linha que informa que o servidor acima requer autenticação
smtp_sasl_auth_enable = yes
smtp_cname_overrides_servername = no
# Essa linha determina como o pacote contendo o usuário e senha será enviado. Da #forma como está configurado abaixo, é a que a maioria dos provedores aceitam
#(locaweb,allnet,etc)
smtp_sasl_security_options= noanonymous
smtp_sasl_password_maps = hash:/opt/zimbra/conf/senha_relay
Crie um arquivo com o nome de senha_relay em /opt/zimbra/conf com a seguinte linha
smtp.meuprovedor.com.br TAB minhaconta@meuprovedor.com.br:123456
após inserir as linhas digite:
su - zimbra
postfix reload
postmap hash:/opt/zimbra/conf/senha_relay
Instalação do Zimbra
O ZCS Zimbra Colaboration Suite é uma alternativa de Software Livre para Exchange e Lotus Domino. Possui as funções de Compartilhamento de Tarefas, Calendários, Pastas de E-Mail, Agenda, além de permitir a sincronização com Dispositivos Móveis. O Zimbra também permite a integração com o Exchange e possui um plug-in para ser usado com o Microsoft Outlok 2003 e 2007. Esse plug-in só está disponível para versão Paga.
Esse é o primeiro de uma série de tutoriais sobre o Zimbra.
A instalação foi testada no Debian 5.0
Baixar o Zimbra no Site abaixo. Selecionar Debian 5
wget http://www.zimbra.com/community/downloads.html\zcs-5.0.9_GA_2533.DEBIAN5.0.20080815215219.tgz
Instalando os pacotes que o Zimbra precisa
apt-get install sudo libgmp3c2 libexpat1 libstdc++5 sysstat
Ative o sysstat em /etc/default sysstat mudando a chave de false para true
Removendo o Exim para não conflitar com o MTa do Zimbra
apt-get remove --purge exim4
apt-get remove --purge exim4-base
apt-get remove --purge exim4-config
apt-get remove --purge exim4-daemon-light
Altere o arquivo /etc/hosts
192.168.5.10 zimbra_server zimbra_server.meudominio.com.br
Descompactar o Arquivo baixado
tar xzf zcs-5.0.9_GA_2533.DEBIAN5.0.20080815215219.tgz
Executar o Script de Instalação
./install.sh
Instalar todas as opções disponíveis
No menu que se abrir, selecione somente a opção de alterar a senha e depois pressione "a" para aplicar. Só aguardar a
instalação e inicialização do serviço
Para verificar se o Status dos Serviços
su - zimbra
zmcontrol status
antispam Running
antivirus Running
ldap Running
logger Running
mailbox Running
mta Running
snmp Running
spell Running
stats Running
Para iniciar algum serviço
zmcontrol start
Para logar na console de administração do servidor
https://192.168.1.3:7071/zimbraAdmin/
Esse é o primeiro de uma série de tutoriais sobre o Zimbra.
A instalação foi testada no Debian 5.0
Baixar o Zimbra no Site abaixo. Selecionar Debian 5
wget http://www.zimbra.com/community/downloads.html\zcs-5.0.9_GA_2533.DEBIAN5.0.20080815215219.tgz
Instalando os pacotes que o Zimbra precisa
apt-get install sudo libgmp3c2 libexpat1 libstdc++5 sysstat
Ative o sysstat em /etc/default sysstat mudando a chave de false para true
Removendo o Exim para não conflitar com o MTa do Zimbra
apt-get remove --purge exim4
apt-get remove --purge exim4-base
apt-get remove --purge exim4-config
apt-get remove --purge exim4-daemon-light
Altere o arquivo /etc/hosts
192.168.5.10 zimbra_server zimbra_server.meudominio.com.br
Descompactar o Arquivo baixado
tar xzf zcs-5.0.9_GA_2533.DEBIAN5.0.20080815215219.tgz
Executar o Script de Instalação
./install.sh
Instalar todas as opções disponíveis
No menu que se abrir, selecione somente a opção de alterar a senha e depois pressione "a" para aplicar. Só aguardar a
instalação e inicialização do serviço
Para verificar se o Status dos Serviços
su - zimbra
zmcontrol status
antispam Running
antivirus Running
ldap Running
logger Running
mailbox Running
mta Running
snmp Running
spell Running
stats Running
Para iniciar algum serviço
zmcontrol start
Para logar na console de administração do servidor
https://192.168.1.3:7071/zimbraAdmin/
Assinar:
Postagens (Atom)
.jpg)
.jpg)
.jpg)
