Zabbix é uma solução, de código aberto, de monitoramento distribuído de ativos. Um software de alto nível, muito utilizado no mercado corporativo. Ele é liberado sob a GPL, portanto, é gratuito tanto para uso comercial e não comercial. O texto completo da licença está disponível em http://www.gnu.org/copyleft/gpl.txt.

Segue abaixo as novidades:

:: Monitoramento JMX remoto

Essa opção permite monitorar nativamente, com segurança, e remotamente aplicações java e populares middlewares, tal como JBoss, WebSphere e WebLogic.

:: Tipo de dados booleano

Tipo de dados booleanos pode ser usado para monitoramento de duas métricas e contadores JMX, que tem tipo booleano.

:: Novo pacote de ícones

Novo mapa de ícones está disponível para deixar seus mapas mais elegantes e bonitos.

:: Suporte a novos macros

Adicionado suporte para macros {IPADDRESS}, {HOST.DNS} e {HOST.CONN}.

:: Múltiplas interfaces de rede

Múltiplas interface de rede pode ser configuradas em apenas um host, portanto um host pode ter diversos endereços IP com diferentes checagens por IP.

:: Melhora no framework de tradução para interface WEB

Traduções da interface do Zabbix são manipuladas pelo módulo GNU gettext.

:: Auto-registro com checagem passiva

Adicionado o suporte de monitoramento para auto-registro, com checagem passiva. Isso é muito usado para monitoria de ambientes em nuvem.

:: Ajuste de eventos e triggers de status desconhecido

Triggers e eventos em estado desconhecido não serão exibidos pela interface web, uma sinalização especial será exibida em em seu lugar.

:: Legendas opcionais do gráfico

Legendas do gráfico pode ser opcionalmente desabilitado.

:: Customização da severidade das triggers

As triggers padrões agora podem ser customizadas, com nomes e cores diferentes.

:: Nova tela de login

A tela de login foi refeita e agora está mais bonita.

:: Novo formulário para configuração de ações

O novo formulário, com separações claras de parâmetros gerais, condições e ações.

:: Exportar os eventos para CSV

Eventos disponíveis no Zabbix agora podem ser exportados para o formato CSV em apenas um clique.

:: Suporte a SQLite3 no servidor Zabbix

SQLite3 agora pode ser usado no servidor Zabbix e trabalha também com a interface WEB. Ótima notícia para ambientes simples.

Gostou? Quer usar? Lembre-se que esse software NÃO é aconselhável para ambientes de produção, ou seja, faça por sua conta em risco.

Veja nesse link como instalar ou atualizar o ser Zabbix.

Fonte – Zabbix.com

No meu novo emprego, por coincidência ou não, foi solicitado a instalação desse ambiente. Sendo assim estou satisfeito em proporcionar esse resultado.

Vale salientar que algumas funções do Active Directory ainda não foram completamente atendidas, tal como o controle de estações via GPO e afins, mas iremos tratar isso posteriormente.

Eu instalei esse ambiente em um CentOS 5.5 x64 (Final), mas acredito que ele possa ser reproduzido em qualquer distribuição Gnu/Linux.

Segue abaixo os pacotes utilizados e suas versões:

Pacote	Versão	Link
OpenLDAP	2.3	http://www.openldap.org/
Samba	3.4.6	http://www.samba.org
Httpd	2.2	http://httpd.apache.org/
OpenSSL	0.9.8	http://www.openssl.org/
MySQL	5.0.77	http://www.mysql.com/
PHP	5.1.6	Http://www.php.net
CentOS	5.5	http://www.centos.org/

Eu utilizei o repositório EPEL, que é mantido pela comunidade para obter alguns pacotes extras, esse é um repositório sério, pode confiar:

# rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm

Agora vamos instalar os pacotes necessários:

# yum install openldap-servers nss_ldap samba httpd openssl mod_ssl mysql mysql-server php php-xml php-ldap php-mysql php-pdo php-cli php-common smbldap-tools

A efeito de entendimento, quando for citado o termo <NOMEDOMINIO>, ele deve ser substituído para nome preterido pelo seu domínio,  <NOMEHOST> pelo nome do servidor a ser instalado e <SEUIP> pelo ip do servirdor.

OpenLDAP

Agora vamos começar pelas configurações do OpenLDAP:

Acesse o arquivo /etc/hosts e adicione a seguinte linha:

<SEUIP> <NOMEHOST>.<NOMEDOMINIO> <NOMEHOST>

Execute o comando abaixo para que seu nome seja modificado:

# hostname <NOMEHOST>

Agora vamos ao OpenLDAP,

Execute o comando abaixo para gerar o hash da senha a ser utilizada no arquivo de configuração do OpenLDAP:

# slappasswd

Guarde o arquivo padrão do OpenLDAP com o comando abaixo:

# mv -f /etc/openldap/slapd.conf /etc/openldap/slapd.conf.dist

Acesse o arquivo /etc/openldap/slapd.conf e adicione o seguinte conteúdo:

include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema
allow bind_v2
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
database bdb
suffix “dc=<NOMEDOMINIO>,dc=com,dc=br”
rootdn “cn=root,dc=<NOMEDOMINIO>”
rootpw Coloque aqui o hash gerado com o comando slappasswd
password-hash {SSHA}
directory /var/lib/ldap
index cn,sn,uid,displayName pres,sub,eq
index uidNumber,gidNumber eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index objectClass pres,eq
index default sub
access to attrs=userPassword,sambaLMPassword,sambaNTPassword
by self write
by anonymous auth
by * none
access to *
by * read

Digite os comandos abaixo para que os arquivos necessário sejam copiados e devidamente ajustados:

# cp /usr/share/doc/samba-3.*/LDAP/samba.schema /etc/openldap/schema/
# cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
# chown ldap:ldap /var/lib/ldap/DB_CONFIG
# chmod 600 /var/lib/ldap/DB_CONFIG

Crie o arquivo /etc/openldap/init.ldif, que será utilizado para adicionar as informações básicas de sua base openldap com o seguinte conteúdo:

dn: dc=<NOMEDOMINIO>,dc=com,dc=br
objectclass: dcObject
objectclass: organization
o: CentOS Directory Server
dc: <NOMEDOMINIO>

dn: cn=root,dc=<NOMEDOMINIO>,dc=com,dc=br
objectclass: organizationalRole
cn: root

Agora execute os comandos abaixo para que o arquivo seja carregado corretamente:

# slapadd -l /etc/openldap/init.ldif
# chown -R ldap:ldap /var/lib/ldap
# chmod 600 /var/lib/ldap/*

Com o comando abaixo, você poderá verificar se o procedimento foi efetuado de maneira correta:

# slapcat

Com os comandos abaixo iremos ativar o serviço OpenLDAP:

# service ldap start
# chkconfig ldap on

Com o comando abaixo será possível verificar se todo processo foi efetuado com sucesso:

# ldapsearch -x -b "dc=<NOMEDOMINIO>,dc=com,dc=br"

PHPLDAPAdmin

Pronto, seu OpenLDAP está ok! Agora vamos ao PHPLDAPAdmin.

Execute o comando abaixo para instalar o phpldapadmin:

# yum install phpldapadmin -y

Acesse o arquivo /usr/share/phpldapadmin/config/config.php e adicione as seguintes linhas:

$ldapservers->SetValue($i,’server’,'name’,'CentOS Openldap’);
$ldapservers->SetValue($i,’server’,'host’,'<SEUIP>’);
$ldapservers->SetValue($i,’server’,'base’,array(‘dc=<NOMEDOMINIO>,dc=com,dc=br’));
$ldapservers->SetValue($i,’server’,'auth_type’,'session’);

Obs: Atente que é necessário configurar o acesso ao phpldapadmin via HTTPS. Caso contrário ele não funcionará. Não irei abordar aqui essa configuração.

Agora acesse a URL abaixo:

https://<SEUIP>/phpldapadmin

Obs: Acesse com um usuário criado, ensinaremos posteriormente nesse manual como criar usuários.

Samba

Agora vamos a configuração do Samba.

Primeiramente, vamos guardar os arquivos que são instalados por padrão e obter uma base para nossa configuração com os comandos abaixo:

# mv /etc/samba/smb.conf /etc/samba/smb.conf.dist
# cp /usr/share/doc/smbldap-tools*/smb.conf /etc/samba/smb.conf


Acesse o arquivo /etc/samba/smb.conf e edite conforme seu ambiente.

Como nessa arquitetura, o servidor OpenLDAP e Samba estarão no mesmo servidor, sendo assim segue abaixo três parâmetros que devem ser adicionados no arquivo /etc/samba/smb.conf:

ldap ssl = off
nt acl support = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 SO_KEEPALIVE

Com o comando abaixo vamos obter uma base para configuração do smbldap-tools:

# cp /usr/share/doc/smbldap-tools-*/smbldap.conf /etc/smbldap-tools/smbldap.conf

Com o comando abaixo vamos gerar o SID do seu domínio:

# net getlocalsid

Obs: Retornará diversos erros. Não se preocupe, espere até o final de todo retorno, que terá a informação necessária.

Acesse o arquivo /etc/smbldap-tools/smbldap.conf, adicione o SID retirado no comando anterior, e modifique os parâmetros de acordo com seu ambiente.

Acesse o arquivo /etc/smbldap-tools/smbldap_bind.conf e configure também de acordo com seu ambiente.

Com os comandos abaixo ajuste a permissão dos arquivos de configuração do smbldap-tools:

# chmod 644 /etc/smbldap-tools/smbldap.conf
# chmod 600 /etc/smbldap-tools/smbldap_bind.conf

Digite o comando abaixo e selecione a opção “Local authorization is sufficient” :

# authconfig-tui

Utilize o comando abaixo para verificar se todos os parâmetros do samba estão devidamente configurados:

# testparm

Com os comandos abaixo inicie a população da base LDAP:

# smbpasswd -w < SUA SENHA DE ROOT DO LDAP AQUI >
# smbldap-populate

Inicie o serviço e configure para iniciar no boot automaticamente com os comandos abaixo:

# /etc/init.d/smb start
# chkconfig smb on

Para adicionar um novo usuário é necessário adicionar no unix, samba e LDAP, com os comandos abaixo:

# useradd user1
# smbldap-useradd -a -G 'Domain Users' -m -s /bin/bash -d /home/user2 -F "" -P user1

Com comando abaixo veja quais as relações no LDAP com os GID locais do unix:

# net groupmap list

Agora crie os grupos locais com as relações informadas no comando acima:

# groupadd -g 514 samba_domain_guests
# groupadd -g 515 samba_domain_computers
# groupadd -g 544 samba_administrator
# groupadd -g 548 samba_account_operators
# groupadd -g 550 samba_print_operators
# groupadd -g 551 samba_backup_operators
# groupadd -g 552 samba_replicators

Para criar um novo grupo digite o comando abaixo:

# smbldap-groupadd -a "grupo1"

Agora verifique qual GID está configurado para ele na base LDAP com o comando abaixo:

# net groupmap list

Com o comando abaixo crie o arquivo na base unix com o GID igual ao obtido no comando anterior:

# groupadd -g < GID DO GRUPO AQUI> grupo1

Com os comandos abaixo vamos desabilitar todos os serviços desnecessários do servidor:

# chkconfig ntpd off
# chkconfig bluetooth off
# chkconfig xinetd off
# chkconfig smartd off
# chkconfig yum-updatesd off
# chkconfig rpcidmapd off
# chkconfig rpcgssd off
# chkconfig restorecond off
# chkconfig portmap off
# chkconfig pcscd off
# chkconfig nfslock off
# chkconfig mcstrans off
# chkconfig mdmonitor off
# chkconfig irqbalance off
# chkconfig kudzu off
# chkconfig ip6tables off
# chkconfig hidd off
# chkconfig gpm off
# chkconfig haldaemon off
# chkconfig autofs off
# chkconfig avahi-daemon off
# service ntpd stop
# service bluetooth stop
# service xinetd stop
# service smartd stop
# service yum-updatesd stop
# service rpcidmapd stop
# service rpcgssd stop
# service restorecond stop
# service portmap stop
# service pcscd stop
# service nfslock stop
# service mcstrans stop
# service mdmonitor stop
# service irqbalance stop
# service kudzu stop
# service ip6tables stop
# service hidd stop
# service gpm stop
# service haldaemon stop
# service autofs stop
# service avahi-daemon stop

Com o comando abaixo configure o servidor para buscar parâmetros de usuário e grupo na base ldap:

# authconfig --enableldap --enableldapauth --ldapserver 127.0.0.1 --ldapbasedn dc=<NOMEDOMINIO>,dc=com,dc=br --kickstart

Obs: Não se esqueça de configurar em seu DNS o nome do domínio para o ip do servidor que acabou de configurar.

Pronto! Seu ambiente está completamente pronto!

Clientes com Windows 7

Você tem máquina Windows 7 em sua rede? Não ta conseguindo adicionar ela em seu domínio?

Não se desespere! Siga os passos abaixo:

Primeiro vamos instalar uma versão mais atual do Samba, pois a versão disponível no repositório do CentOS é a 3.0 e o Windows 7 somente foi suportado a partir da versão 3.3.

Vamos configurar o repositório de onde iremos atualizar o nosso samba:

# cd /etc/yum.repos.d/
# wget http://ftp.sernet.de/pub/samba/3.3/centos/5/sernet-samba.repo

Agora atualize seus pacotes, o samba será atualizado:

# yum update

Obs : Caso não queria mais utilizar esse repositório, basta remover o arquivo /etc/yum.repos.d/sernet-samba.repo.

Recoloque o samba na inicialização automática do sistema e reinicialize o serviços com os comandos abaixo:

# chkconfig --add smb
# chkconfig smb on
# service smb restart

Antes de adicionar a máquina no domínio, é necessário executar um .reg na mesma, pois existem algumas opções que precisam ser modificadas para que ele se adeque ao domínio samba.

Pronto, com esse procedimento será possível adicionar uma estação Windows7 em seu domínio.

Para instalar e começar usar o Proftpd é muito fácil, mas o que poucos sabem é que a sua configuração padrão, assim como em qualquer outro serviço, é focada apenas para experimentação, ou seja, em um ambiente de produção ele deve ser customizado, seja de acordo a carga de utilização de seu ambiente ou a sua segurança.

Irei tratar hoje sobre alguns aspectos de segurança desse serviço, que com pequenas alterações são resolvidos.

Todos as configurações explicadas abaixo serão encontradas no arquivo do proftpd, que geralmente está localizado em /etc/proftpd/proftpd.conf

• Evitar Footprinting

Footprinting é o processo de obter informações do alvo, antes de iniciar um ataque, sendo assim vamos dificultar essa coleta de informações adicionando a seguinte linha:

ServerIdent Off

• Tentativas de login

Para evitar que o invasor efetue a quantidade necessária de tentativas para “adivinhar” sua senha, adicione a seguinte linha no seu arquivo de configuração:

MaxLoginAttempts 3

• Inibir

O que poucas pessoas sabem é, que as vezes uma medida simples pode ter um retorno interessante.

As vezes um alerta antes de uma tentativa de acesso indevido é o bastante para afastar alguns tipos de invasores, ou ao menos deixá-los avisados que aquele servidor foi alvo de uma modificação com foco em segurança.

Crie dois arquivos em seu servidor, em um dos arquivos coloque um texto a ser exibido antes do usuário tentar efetuar logon e outro para após.

O texto que será exibido antes, deve conter um texto sério, que tem como objetivo demonstrar a seriedade da organização que hospeda o serviço e quais as implicações o invasor terá caso ele apenas tente efetuar uma invasão, ele ao menos pensará um pouco mais antes de iniciar um ataque para aquele ativo.

Para a mensagem que ficará antes do acesso adicione a seguinte linha:

DisplayConnect /home/ftp/texto_antes.msg

Para a mensagem que ficará depois, adicione a seguinte linha:

DisplayLogin /home/ftp/texto_depois.msg

Basicamente, essas são as medidas mais simples a serem tomadas com seu servidor FTP, que em minha opinião farão uma enorme diferença na utilização do seu serviço.

Existem outras medidas que podem ser aplicadas em sua configuração, mas como algumas delas divergem quanto ao fim devido do serviço, preferi me manter no básico.

Caso tenha mais alguma sugestão, pode comentar, atualizarei o post caso necessário.

Até a próxima!

De acordo com a NTA Monitor, a cada três websites que estão hospedados na internet um apresenta falhas graves de segurança em seu código. Dais quais podem ser exploradas por diversas técnicas de ataques.

Falando em técnicas de ataque, você sabe o que é SQL Injection? Não! Se você é o responsável pela segurança da sua empresa, deveria saber.

SQL Injection é a técnica que consiste em enviar consultas SQL pela interface da aplicação. Como isso é possível?

Veja no exemplo abaixo:

O código da aplicação faz a validação do usuário com a consulta abaixo:

SELECT id, nome, usuario, senha FROM vendedores WHERE usuario = ‘rafael’ and senha = ‘senha’

O nome de usuário e senha serã passado pela aplicação.

Imagine se ao invés de enviar o nome do usuário correto eu fizesse o seguinte:

* Usuário: ra’; DROP TABLE vendedores–

Você deve estar se perguntando, “mas o que é isso?” O sinal de ; simboliza o inicio de outra consulta SQL e a aspas simples informa que o código informado será interpretado normalmente. Então a solicitação ficaria da seguinte maneira:

SELECT id, nome, usuario FROM vendedores WHERE usuario = ‘ra’ ‘; DROP TABLE vendedores–senha = ‘senha’

Ou seja, o usuário ra não seria encontrado, mas a tabela seria deletada e tudo após o — não seria interpretado, pois o SQL encara como comentário.

Uma falha que impactará no quesito disponibilidade, pois sua aplicação não será mais capaz de autenticar um usuário sequer após esse incidente.

Fique ligado, aguardem os próximos artigos

Como já puderam perceber, estou iniciando uma série de posts com o tema segurança. Para mais posts, veja esse link.

Um dos grandes exemplos que povoou a mídia no ano passado foi o roubo do notebook da Petrobrás. A empresa não informou detalhes do problema de segurança, mas alguns acreditam que informações valiosas poderiam ser furtadas naquele episódio.

Veja que o maior problema nesse caso não é o custo do equipamento, e sim o sigilo da informação contida no mesmo. Algo que poderia valer mais do que um lote inteiro do notebook roubado.

Existe um documento que informa o número de perda de dados em 2009, vale a pena dar uma olhada.

O que pode ser feito? Encriptar os dados é uma ótima solução.

Agora, qual ferramenta devo usar, se quiser existe uma ferramenta opensource que provavelmente atende sua demanda.

E essa ferramenta é a TrueCrypt.

Essa ferramenta tem as seguintes funcionalidades:

# Criar disco virtual encriptado como um arquivo e montá-lo como um disco real.
# Encriptar uma partição inteira ou dispositivo de storage tal como um Pen drive USB ou disco rígido.
# Encriptar uma partição ou disco onde o Windows está instalado. (Pré-autenticação no boot).
# Encriptar automática, em tempo real e transparente.
# Paralelização e pipelining permite que o dado seja lido e escrito tão rápido como se o dado não estivesse criptografado.
# Prover plausível negação de acesso.
# Algorítimo de encriptação: AES-256, Serpent, and Twofish. Modo de operação: XTS.

Ou seja, tem tudo que precisa para manter seu dado seguro!

Se você usa o Fedora, não precisa se preocupar. Procure em seu repositório oficial. Ele estará lá.

Clique em Sistema>Administração>Instalar/Remover programas e instale o seu truecrypt.

Baseado em Sans Diary

Mesmo sendo do Projeto Fedora, não tenho vergonha de dizer, invejo algumas coisas do Debian, uma delas é o o apt-get, acredito que pela arquitetura do pacote deb ele seja mais rápido do que nosso yum, mas mesmo assim é uma boa ferramenta.

A outra que sempre invejei foi o debootstrap, que é uma ferramenta onde com alguns simples comandos é possível instalar uma máquina dentro da outra, uma especie de virtualização por assim dizer, mas muito mais simples e com chroot.

Nosso amigo Richard Jones, da Red Hat, se cansou de ficar esperando uma boa solução para o Fedora e colocou a mão na massa e construiu o febootstrap, que faz a mesma coisa que o debootstrap, mas não precisa de acesso root pro mesmo (Calma, podemos controlar isso).

Pra quem não conhece, o debootstrap e o febootstrap instalam uma versão minima da distribuição em uma determinada pasta (informada por você no comando) e assim é possível usar duas maquinas dentro de uma única maquina física.

Muito bom pra quem deseja testar uma nova versão da distribuição sem precisar reparticionar ou usar maquina virtual.

O pacote ainda está em desenvolvimento inicial e não está nem no repositório de teste no momento.

Quem deseja instala, deverá buscar os pacotes nesse link.

Informações sobre o que fazer? Veja no post do Richard.

Para você que passa por algum problema no seu Proxy Squid e não sabe como diagnosticar. Seus problemas acabaram, o Cachemgr vai lhe proporcionar toda a informação que precisa para resolver sua demanda.

Se você usa CentOS 5.1 e instalou o Squid via yum, fique tranquilo. A sua configuração já está quase ok, faltará apenas alguns ajustes!

Vamos aos usuário que instalaram o Squid em outra distro ou no CentOS mesmo, mas via source*.

*Aproveitando para falar sobre isso, vou escrever um post acerca a importância de utilizarmos instalação via pacotes, mas isso fica pra outro post!

Verificação

Veja se a opção “–enable-cachemgr-hostname=localhost” foi adicionada a compilação.

# squid -v

Configuração

Agora vamos configurar o seu servidor de aplicação Apache. O meu é o Apache 2, acredito que a configuração seja semelhante.

O meu apache tem um esquema de segmentação da configuração. Tenho uma pasta chamada conf.d onde os arquivos algumacoisa.conf é encarado como parte do arquivo httpd.conf, que é o arquivo de configuração “raiz” da ferramenta.

Criaremos o arquivo squid.conf dentro dessa pasta e então adicionaremos o seguinte conteúdo:

ScriptAlias /Squid/cgi-bin/cachemgr.cgi /usr/lib/squid/cachemgr.cgi

<Location /Squid/cgi-bin/cachemgr.cgi>
order allow,deny
allow from all
# Add additional allowed hosts as needed
# allow from .example.com
</Location>

Obs1 : Atente para o caminho do ScriptAlias, pois deve refletir o caminho onde se encontra o seu cachemgr.cgi

Coloque a permissão correta na pasta:

# chown apache:apache /etc/httpd/conf.d/squid.conf

Obs 2 : Atente que o caminho acima deve refletir o SEU ambiente.

Agora basta reiniciar o apache e pronto!

Acesse com seu navegador preferido

http://seuip/squid/cgi-bin/cachemgr.cgi

Quem usa o CentOS 5.1 e instalou o Squid via yum. Apenas é necessário mudar o arquivo /etc/httpd/conf.d/squid.conf:

Onde tem :

Allow from <endereço>

Troque por :

Allow from all

Divirtam-se !!!

Fonte : Squid-Cache (Wiki)