Neste tutorial, abordaremos a configuração de uma Zona de Política de Resposta DNS (RPZ) com o objetivo de simplificar a resolução de nomes alterados, especialmente quando lidamos com escalas substanciais. Nosso objetivo é bloquear milhares de domínios de forma eficiente, minimizando o consumo de recursos de hardware em nosso servidor.

Não abordarei a instalação do BIND neste momento, pois já disponibilizamos um tutorial completo em nosso blog, que pode ser acessado através do seguinte link:
Servidor DNS Bind9 (Debian 12).

Para configurar sempre que um domínio bloqueado for resolvido pelo seu DNS em um IP da sua rede, você precisará criar um subdomínio no seu servidor DNS autoritativo. No arquivo de configuração dos seus hosts irei criar um subdomínio chamado bloqueadonobrasil, vejamos um exemplo:

# vim /var/cache/bind/master-aut/remontti.com.br/remontti.com.br.hosts

Exemplo “bloqueadonobrasil“, ou então apontando para os IPs de localhost mesmo 127.0.0.1 e ::1 onde neste caso se o usuário acessar o domínio bloqueado simplesmente não irá abrir nada.

//...
bloqueadonobrasil       A       x.xx.xxx.x
                        AAAA    xxxx:xxxx:xxxx::y
//...

DNS PRIMÁRIO (MASTER)

Agora crie uma zona chamada rpz.zone em seu /etc/bind/named.conf.local. em allow-transfer e also-notify informe os IPs de seus servidores Slaves.

# vim /etc/bind/named.conf.local

zone "rpz.zone" {
        type master;
        file "/var/cache/bind/rpz/db.rpz.zone.hosts";
        allow-query { none; };
        allow-transfer { 10.51.51.3; };
        also-notify { 10.51.51.3; };
};

Vamos criar o diretório “rpz” e os arquivos de hosts que serão bloqueados.

# mkdir /var/cache/bind/rpz/

Criarei um atalho em /etc/bind para facilitar o acesso da pastar também.

# ln -s /var/cache/bind/rpz/ /etc/bind/rpz

Entendendo como os domínios são bloqueados. A seguir, apresentamos um exemplo do arquivo que servirá como base para o nosso próximo script a seguir:
Nome do arquivo: /var/cache/bind/rpz/db.rpz.zone.hosts

$TTL 1H
@       IN      SOA LOCALHOST. bloqueadonobrasil.remontti.com.br. (
                2024012201      ; Serial  
                1h              ; Refresh
                15m             ; Retry
                30d             ; Expire 
                2h              ; Negative Cache TTL
        )
        NS  bloqueadonobrasil.remontti.com.br.
;       ou
;       NS  localhost.
 
sitequeprecisabloquear.com     IN CNAME .
*.sitequeprecisabloquear.com   IN CNAME .
elesmandamnosfaz.bo.bo         IN CNAME .
*.elesmandamnosfaz.bo.bo       IN CNAME .

Sendo que para cada domínio que será bloqueado, o mesmo será adicionado:

sitequeprecisabloquear.com        IN CNAME .
*.sitequeprecisabloquear.com      IN CNAME .

Assim qualquer subdomínio (*).domino.com seja traduzido sempre irá ser apontado para seu IP ou localhost.

Antes de criar o script, ajuste o response-policy dentro do seu /etc/bind/named.conf.options

# vim /etc/bind/named.conf.options

Deve ficar dentro de options { … } adcione:

options {
//...
    response-policy {
      zone "rpz.zone" policy CNAME bloqueadonobrasil.remontti.com.br;
    };
//...

Ou se você irá apontar para localhost use:

options {
//...
    response-policy {
      zone "rpz.zone" policy CNAME localhost;
    };
//...

Script AnaBlock

Para simplificar nossa tarefa, criaremos um script que utiliza o site https://anablock.net.br, uma plataforma desenvolvida por Patrick Brandão da Nuva. Ele projetou uma página abrangente que oferece todas as informações necessárias para acompanhar os bloqueios de conteúdo regulados pela Anatel e pelas autoridades da República Federativa do Brasil.

Porém ANATEL solicitou a remoção dessa lista:

Para liberação da lista você deve entrar em contato com Patrick Brandão

Crie um diretório onde iremos salvar nosso script:

# mkdir /etc/bind/scripts

Subi meu script no Github, mas iremos entrar na nossa pasta /etc/bind/scripts e baixar ele direto para nosso servidor.

# cd /etc/bind/scripts
# wget https://raw.githubusercontent.com/remontti/anablock_bind9/main/anablock_bind9.py

Esse scrip ira verificar verificar qual sua versão e sempre que existir uma nova ou se for sua primeira vez ele irá baixar a lista de todos os domínios e cria o arquivo db.rpz.zone.hosts com a lista completa de siste que serão bloqueados pelo seu DNS.

Script foi feito em python3 instale os pacotes necessários para executa-lo.

# apt install python3 python3-requests tree

Execute o script:

# python3 /etc/bind/scripts/anablock_bind9.py bloqueadonobrasil.remontti.com.br

Arquivo de zona RPZ atualizado.
Permissões do diretório alteradas com sucesso.
Serviço Bind9 reiniciado com sucesso.

# tree -h /var/cache/bind/rpz/

Seu diretório terá os seguintes arquivos

/var/cache/bind/rpz/
├── [159K]  db.rpz.zone.hosts
├── [ 46K]  domain_all
└── [  11]  version

Se você executar o script novamente nada irá acontecer até que uma nova versão seja lancada.

Para que tenhamos nossa lista sempre atualizada, colocamos o script para ser executado todos os dias a meia noite.

# echo '00 00   * * *   root    python3 /etc/bind/scripts/anablock_bind9.py bloqueadonobrasil.remontti.com.br'\ >> /etc/crontab
# systemctl restart cron

Testes

Agora faça um teste para ver o que seu servidor ira traduzir corretamente:

# dig 2filmestorrent.top @localhost

; <<>> DiG 9.11.5-P4-5.1+deb10u9-Debian <<>> 2filmestorrent.top @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42124
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: be484fb71dfe219dd9e6544465ae7d4b7e142ef750ed0d80 (good)
;; QUESTION SECTION:
;2filmestorrent.top.		IN	A

;; ANSWER SECTION:
2filmestorrent.top.	5	IN	CNAME	bloqueadonobrasil.remontti.com.br.
bloqueadonobrasil.remontti.com.br. 10800	IN A	x.x.x.x

;; Query time: 479 msec
;; SERVER: ::1#53(::1)
;; WHEN: seg jan 22 11:35:55 -03 2024
;; MSG SIZE  rcvd: 137

DNS SECUNDÁRIO's (SLAVE's)

Agora crie uma entrada zona chamada rpz.zone em seu /etc/bind/named.conf.local. em masters e also-notify informe os IPs de seus servidores Master.

# vim /etc/bind/named.conf.local

zone "rpz.zone" {
    type slave;
    file "/var/cache/bind/rpz/db.rpz.zone.hosts";
    masters { 10.51.51.2; };
    allow-notify { 10.51.51.2; };
};

Configure o response-policy

# vim /etc/bind/named.conf.options

Deve ficar dentro de options { ... } adcione:

options {
//...
    response-policy {
      zone "rpz.zone" policy CNAME bloqueadonobrasil.remontti.com.br;
      // ou
      // zone "rpz.zone" policy CNAME localhost;
      // 
    };
//...

Crie o diretório, de permissão, e reinicie o bind.

# mkdir /var/cache/bind/rpz/
# chown bind: /var/cache/bind/rpz/ -R
# systemctl restart bind9

Arquivo db.rpz.zone.hosts será criado dentro de /var/cache/bind/rpz/

# tree /var/cache/bind/rpz/

/var/cache/bind/rpz/
└── db.rpz.zone.hosts

Configurando uma Página de Bloqueio em Seu Servidor Web

Vou deixar exemplo com fazer isso em um Apache.Crie o diretório onde iremos criar nossa página:

# mkdir /var/www/bloqueadonobrasil

Apache

Crie o arquivo de configuração do apache.

# vim /etc/apache2/sites-available/bloqueadonobrasil.conf

<virtualhost *:80>
        Protocols h2 http/1.1
        ServerName bloqueadonobrasil.remontti.net.br
        ServerAlias x.xxx.xxx.x
        ServerAlias [xxxx:xxxx:xxxx:xxxx::x]

        ServerAdmin noc@remontti.com.br

        ErrorDocument 404 /index.php
 
        DocumentRoot /var/www/bloqueadonobrasil
 
        <Directory /var/www/bloqueadonobrasil/>
            Options FollowSymLinks
            AllowOverride All
            # Restringe o acesso apenas para os IPs do seu ISP
            Require ip 127.0.0.1 ::1 100.64.0.0/10 x.xx.xxx.x/22 xxxx:xxxx::/32
        </Directory>
 
        LogLevel warn 
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</virtualhost>

Habilite a configuração e reinicie o Apache

# a2ensite bloqueadonobrasil.conf
# systemctl restart apache2

Instale o certbot para gerar um certificado ssl para o domínio

# apt install certbot python3-certbot-apache

Execute:

# certbot

Selecione seu domínio, e em sguinda reponda com No redirect

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: remontti.com.br
2: bloqueadonobrasil.remontti.com.br

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 2 <<<<<<<<<<<<<<<<<<<<
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for bloqueadonobrasil.remontti.com.br
Waiting for verification...
Cleaning up challenges
Created an SSL vhost at /etc/apache2/sites-available/bloqueadonobrasil-le-ssl.conf
Deploying Certificate to VirtualHost /etc/apache2/sites-available/bloqueadonobrasil-le-ssl.conf
Enabling available site: /etc/apache2/sites-available/bloqueadonobrasil-le-ssl.conf

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 1 <<<<<

Agora vou deixar um exemplo de página para ajudar você:

Vamos excluir o diretório que foi criado, já que estou prestes a baixar minha página, que, ao ser descompactada, conterá o mesmo nome.

# rm -rf /var/www/bloqueadonobrasil/
# cd /var/www/
# wget https://github.com/remontti/anablock_bind9/raw/main/bloqueadonobrasil.tar.gz
# tar -vxzf bloqueadonobrasil.tar.gz
# rm bloqueadonobrasil.tar.gz

Gostou? Se quiser apoiar o blog e fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Automatizando o bloqueio de sites no Brasil pelo DNS usando a API da anablock.net.br (BIND9+RPZ) apareceu primeiro em Remontti.

Greenbone OpenVAS é um scanner de vulnerabilidade completo. Seus recursos incluem testes não autenticados e autenticados, vários protocolos industriais e de alto nível da Internet, ajuste de desempenho para varreduras em larga escala e uma poderosa linguagem de programação interna para implementar qualquer tipo de teste de vulnerabilidade.
O scanner obtém os testes para detectar vulnerabilidades de um feed que possui um longo histórico e atualizações diárias.

O OpenVAS foi desenvolvido e impulsionado pela empresa Greenbone desde 2006. Como parte da família de produtos de gerenciamento de vulnerabilidade comercial Greenbone Enterprise Appliance, o scanner forma o Greenbone Community Edition junto com outros módulos de código aberto (Open Source).

Leia mais sobre a história do OpenVAS aqui.

A figura a seguir mostra uma visão geral da arquitetura da versão 22.4.

A arquitetura do Greenbone Community Edition é agrupada em três partes principais:
– Aplicativos de scanner executáveis que executam testes de vulnerabilidade (VT) em sistemas de destino
– Daemon do gerenciador de vulnerabilidade Greenbone (gvmd)
– Greenbone Security Assistant (GSA) com o Greenbone Security Assistant Daemon (gsad)

Distribuição Utilizada

Debian 12 bookworm (Instalação Limpa)

Requisitos de hardware

Mínimo
– 2 CPU
– 4 GB Memória
– 20 GB de disco livres

Recomendado:
– 4 CPU
– 8 GB Memória
– 60 GB de disco livres

Instalação

Irei fazer a instalação através de containes pois ser mais pratico e fácil, mas se você quiser compilar e instala-lo siga esses passos.

Vamos a instalação dos pacotes necessários:

# apt install curl docker.io python3 python3-pip docker-compose
# mkdir -p /usr/local/lib/docker/cli-plugins
# curl -SL https://github.com/docker/compose/releases/download/v2.40.0/docker-compose-linux-x86_64 \
  -o /usr/local/lib/docker/cli-plugins/docker-compose

Vamos adicionar o docker ao grupo root.

# usermod -aG docker root

Crie um diretório onde iremos criar a composição do docker, em seguinta entre no diretório.

# mkdir -p /opt/greenbone-community-container
# cd /opt/greenbone-community-container

Baixe o arquivo de composição do docker.

# curl -f -L \
 https://greenbone.github.io/docs/latest/_static/docker-compose.yml \
 -o docker-compose.yml

Puxe os contêiners.

# docker-compose -f \
 /opt/greenbone-community-container/docker-compose.yml \
 -p greenbone-community-edition pull

Inicie os contêiner.

# docker-compose -f \
 /opt/greenbone-community-container/docker-compose.yml \
 -p greenbone-community-edition up -d

Acesse em seu navegador com usuário e senha admin.
http://IP_SERVIDOR:9392

Se achar melhor pode fazer um proxyutilizando o Nginx para acessar via domínio (Http/Http)

# apt install nginx
# sed -i 's/# server_tokens/server_tokens/' /etc/nginx/nginx.conf
# vim /etc/nginx/sites-available/greenbone.conf

Ajuste

server {
    listen 80;
    listen [::]:80;
 
    server_name greenbone.remontti.com.br;
 
    # Descomente para restringir o acesso apenas aos IPs Listados
    # allow 127.0.0.1;
    # allow ::1;
    # allow 192.168.0.0/16;
    # allow 2801:db8::/32;
    # deny  all;
    # error_page  403   http://www.remontti.com.br;
 
    location / {
        proxy_pass http://localhost:9392;
        proxy_set_header   Host $host;
    }
}

Crie o link para sites-enabled, e reinicie o serviços.

# ln -s /etc/nginx/sites-available/greenbone.conf /etc/nginx/sites-enabled/
# systemctl restart nginx

Agora você pode acessar via Domínio (removendo a criação de um firewall com nftables)

Primeiros passos

A ferramenta tem uma ótima documentação, basta acessar aqui. Mas vou deixar aqui uns passo básicos para você realizar ao menos um primeiro scan.

Alterando as configurações do usuário (provavelmente vai querer trocar a senha admin)

Administration >> Feed Status

Em todo lugar você irá encontrar esse (?) que irá te jogar direto para a explicação na documentação.

Configuration >> Portlists

Você ira encontrar já 3 padrões exemplo o All IANA assigned TCP and UDP, que contem um total de 11.318 portas sendo 5.836/TCP e 5482/UDP.

Para criar clique no ícone de “New Port List”

Exemplo:

Outro exemplo de TCP e UDP:

Para iniciar um scan, menu: Scans >> Tasks, em seguida New Task

Defina um nome (pelo menos)

Vamos informar nossos hosts (Prefixos) e informar qual portas vamos varrer, clique em save.

Voltamos par atela anterior, é so clicar em save. Poré perceba que temos varias outras possibilidades.

Agora de um start e aguarde!

Agora é só “chorrar”…

Vou deixar um vídeo do Raphael explicando como utilizar também a ferramenta.

Gostou e quer me ajudar manter o blog?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fonte:
https://greenbone.github.io/docs/latest/

O post Guia de Instalação do Greenbone OpenVAS: Um Scanner de Vulnerabilidades Poderoso apareceu primeiro em Remontti.

O Cockpit permite que os administradores de sistema executem facilmente tarefas como iniciar contêineres, virtualização, administração de armazenamento, configuração de rede, inspeção de logs e assim por diante.

Distribuição utilizada neste tutorial:
Debian 11 (Bullseye) 64 bits instalação mínima
Como melhorar a produtividade no seu Debian após instalação (Recomendado)

Ativando repositório Backports

Usarei o repositório backports para obter os pacotes mais recentes do Cockpit (tem mais recursos)

# . /etc/os-release 
# echo "deb http://deb.debian.org/debian ${VERSION_CODENAME}-backports main" > /etc/apt/sources.list.d/backports.list
# apt update

Instalação Cockpit

Iremos instalar o cockpit com algumas “extensões” básicas.

# apt install -t ${VERSION_CODENAME}-backports cockpit \
 cockpit-storaged cockpit-networkmanager cockpit-packagekit cockpit-doc lm-sensors 

Cockpit é executado utilizando a porta 9090, para verificar se a mesta esta aberta execute:

# ss -pnltu | grep 9090

Abra em seu navegador http://HOST:9090/

Entre com usuário e senha do sistema operacional. Todos usuários irão logar, sistemas como Ubuntu você pode entrar com seu usuário comum e solicitar permissões, mas neste caso como é um debian entrarei diretamente com root.

Umas das coisar que não gosto que durante a instalação do cockpit ganhamos um brinde um serviço de e-mail exim4, como nõ tenho menos interesse em ter ele rodando irei desativa-lo.

# systemctl stop exim4 
# systemctl disable exim4

Gerenciando Máquinas virtuais

Que tal subir VMs sem um sistema como VMware, Proxmox, Xen, Virtualbox, entre outros?
– libvirt-dbus para enumerar máquinas, obter notificações de atualização de status e operações como iniciar/parar/excluir
– virt-install e virt-xml para criar e modificar definições de máquina; ambos fazem parte do projeto virt-manager
Instale os pacotes:

# . /etc/os-release
# apt install -t ${VERSION_CODENAME}-backports cockpit-machines \
 libvirt-daemon-driver-storage-gluster libvirt-daemon-driver-storage-iscsi-direct \
 libvirt-daemon-driver-storage-rbd libvirt-daemon-driver-storage-zfs libvirt-login-shell

A imagens (discos) das VMs ficam em /var/lib/libvirt/images

Gerenciando Containers

Ativa no Cockpit interface para containers Podman que é uma ferramenta multiplataforma de linha de comando, Open-Source que permite criar e gerenciar imagens de contêiner diretamente.

Um dos maiores diferenciais do Podman é que ele não precisa de um serviço (daemon-less) rodando em background para funcionar, e é totalmente Gratuito e Open-Source. É uma alternativa amigável para quem já esta acostumado com Docker, já que é baseado na CLI do Docker, tendo compatibilidade com as imagens Docker e suportando tambem Dockerfile’s e sendo possível ate rodar docker-compose.yml com podman-compose.

Instale o pacote cockpit-podman

# . /etc/os-release
# apt install -t ${VERSION_CODENAME}-backports cockpit-podman

Por segurança recomendo você aplicar um firewall com nftables (Já instalado no Debain 11) protegendo a porta 9090 apenas para sua rede local.

Gostou? Se quiser apoiar o blog e fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fontes:
https://cockpit-project.org/
https://github.com/cockpit-project/cockpithttps://github.com/cockpit-project/cockpit-machines
https://github.com/cockpit-project/cockpit-podman

O post Conheça o Cockpit, uma poderosa ferramenta para administração de servidores através do seu navegador. apareceu primeiro em Remontti.

Não irei ensinar instalar o bind até porque já tem tutorial explicando aqui no blog.

Se você deseja configurar que toda vez que o domínio bloqueado for traduzido, traduza um IP da sua rede qual tenha um serviço web rodando com alguns dizerem por exemplo, será necessário configurar um subdomínio no seu DNS Autoritativo. Exemplo:

# vim /var/cache/bind/master-aut/cursodns.com.br/cursodns.com.br.hosts

Exemplo “umbrella” , ou então apontando para os IPs de localhost mesmo 127.0.0.1 e ::1

//...
umbrella                A       45.10.20.5
                        AAAA    2804:f123:bebe:cafe::5
//...

Agora basta criar uma zona chamada rpz.zone em seu /etc/bind/named.conf.local.

# vim /etc/bind/named.conf.local

zone "rpz.zone" {
    type master;
    file "/var/cache/bind/rpz/db.rpz.zone";
    allow-query { none; };
};

Criaremos o diretório rpz, bem como o arquivos de hosts quais serão bloqueados

# mkdir /var/cache/bind/rpz/
# ln -s /var/cache/bind/rpz/ /etc/bind/rpz
# vim /var/cache/bind/rpz/db.rpz.zone

Se você está resolvendo para subdomínio exemplo umbrella.cursodns.com.br, crie o arquivo da seguinte forma:

$TTL 1H
@       IN      SOA LOCALHOST. umbrella.cursodns.com.br. (
                2022042801      ; Serial  
                1h              ; Refresh
                15m             ; Retry
                30d             ; Expire 
                2h              ; Negative Cache TTL
        )
        NS  umbrella.cursodns.com.br.
 
sitequeprecisabloquear.com     IN CNAME .
*.sitequeprecisabloquear.com   IN CNAME .
elesmandamnosfaz.bo.bo         IN CNAME .
*.elesmandamnosfaz.bo.bo       IN CNAME .

Ou se só ta querendo jogar para o infinito e além, aponte para localhost mesmo.

$TTL 1H
@       IN      SOA LOCALHOST. localhost.localhost. (
                2022042801      ; Serial  
                1h              ; Refresh
                15m             ; Retry
                30d             ; Expire 
                2h              ; Negative Cache TTL
        )
        NS  localhost.
 
sitequeprecisabloquear.com     IN CNAME .
*.sitequeprecisabloquear.com   IN CNAME .
elesmandamnosfaz.bo.bo         IN CNAME .
*.elesmandamnosfaz.bo.bo       IN CNAME .

Sendo que para cada domínio que você deseja bloquear, siga o formato:

alllllandossssantos.com        IN CNAME .
*.alllllandossssantos.com      IN CNAME .

Assim qualquer subdomínio (*).domino.com seja traduzido sempre irá ser apontado para seu IP ou Localhost.

Agora adicione o response-policy dentro do seu /etc/bind/named.conf.options

# vim /etc/bind/named.conf.options

Deve ficar dentro de options { … } adcione:

options {
//...
    response-policy {
      zone "rpz.zone" policy CNAME umbrella.cursodns.com.br;
    };
//...

Se usou os ips de localhost use:

options {
//...
    response-policy {
      zone "rpz.zone" policy CNAME localhost;
    };
//...

Altere as permissões do diretório /var/cache/bind/rpz/ para que o bind consiga ler o mesmo e reinicie o serviço.

# chown bind. /var/cache/bind/rpz/ -R
# systemctl restart bind9

Testes

Agora faça um teste para ver o que seu servidor ira traduzir corretamente:

# dig @localhost alllllandossssantos.com

; <<>> DiG 9.16.27-Debian <<>> @localhost alllllandossssantos.com
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20245
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: d9b8e60a2ecf09ad01000000626ad597bd40b368154c9bdb (good)
;; QUESTION SECTION:
;alllllandossssantos.com.	IN	A

;; ANSWER SECTION:
alllllandossssantos.com. 5	IN	CNAME	localhost.
localhost.		604800	IN	A	127.0.0.1

;; ADDITIONAL SECTION:
rpz.zone.		1	IN	SOA	LOCALHOST. localhost.localhost. 2022042801 3600 900 2592000 7200

;; Query time: 4 msec
;; SERVER: ::1#53(::1)
;; WHEN: Thu Apr 28 14:57:43 -03 2022
;; MSG SIZE  rcvd: 182

# dig sitequeprecisabloquear.com

; <<>> DiG 9.16.27-Debian <<>> sitequeprecisabloquear.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11551
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: dc78338a3afd94bc01000000626ad6724eeea9366a7d771d (good)
;; QUESTION SECTION:
;sitequeprecisabloquear.com.    IN  A

;; ANSWER SECTION:
sitequeprecisabloquear.com. 5   IN  CNAME   umbrella.cursodns.com.br.
umbrella.cursodns.com.br.   14362   IN  A   45.10.20.5

;; ADDITIONAL SECTION:
rpz.zone.       1   IN  SOA LOCALHOST. umbrella.cursodns.com.br. 2022042801 3600 900 2592000 7200

;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Apr 28 15:01:22 -03 2022
;; MSG SIZE  rcvd: 186

# host sitequeprecisabloquear.com

sitequeprecisabloquear.com is an alias for umbrella.cursodns.com.br.
umbrella.cursodns.com.br has address 45.10.20.5
umbrella.cursodns.com.br has IPv6 address 2804:f123:bebe:cafe::5

# ping sitequeprecisabloquear.com

PING sitequeprecisabloquear.com(webhost.cursodns.com.br (2804:f123:bebe:cafe::5)) 56 data bytes
64 bytes from webhost.cursodns.com.br (2804:f123:bebe:cafe::5): icmp_seq=1 ttl=61 time=1.06 ms
64 bytes from webhost.cursodns.com.br (2804:f123:bebe:cafe::5): icmp_seq=2 ttl=61 time=1.17 ms
64 bytes from webhost.cursodns.com.br (2804:f123:bebe:cafe::5): icmp_seq=3 ttl=61 time=1.18 ms
--- sitequeprecisabloquear.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 1.061/1.116/1.171/0.055 ms

# ping -4  sitequeprecisabloquear.com

PING  (45.10.20.5) 56(84) bytes of data.
64 bytes from webhost.cursodns.com.br (45.10.20.5): icmp_seq=1 ttl=61 time=0.991 ms
64 bytes from webhost.cursodns.com.br (45.10.20.5): icmp_seq=2 ttl=61 time=1.32 ms
64 bytes from webhost.cursodns.com.br (45.10.20.5): icmp_seq=3 ttl=61 time=1.59 ms
64 bytes from webhost.cursodns.com.br (45.10.20.5): icmp_seq=4 ttl=61 time=0.789 ms
---  ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 4703ms
rtt min/avg/max/mdev = 0.789/1.172/1.590/0.306 ms

Gostou? Se quiser apoiar o blog e fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Como bloquear sites pelo DNS (BIND9) Response Policy Zones apareceu primeiro em Remontti.

Jitsi é uma coleção de projetos de código aberto que fornecem recursos de videoconferência de última geração que são seguros, fáceis de usar e fáceis de hospedar.

Requerimentos

Debian 11 (Bullseye) 64 bits instalação mínima pronta
Configurado em seu DNS autoritativo um subdomínio exemplo “meet.remontti.com.br” apontado para o IPv4/6 do seu servidor.

Ajustes

Tenha seu servidor atualizado! (E repita isso uma vez por mês após)

# apt update; apt upgrade

Nesta instalação estarei utilizando como exemplo “meet.remontti.com.br”, ajuste sempre pelo seu.

Ajuste o nome do servidor:

hostnamectl set-hostname meet.remontti.com.br

vim /etc/hosts

Adicione o IP Domínio de acordo com seu DNS, exemplo:

255.200.200.200 meet.remontti.com.br

Caso esteja utilizando um IP com NAT terá que ter as portas 80/tcp 443/tcp 4443/tcp 10000/udp 3478/udp 5349/tcp abertas/redirecionadas para o IP do seu servidor.

Instale alguns pacotes básicos que serão necessários:

# apt install apt-transport-https gnupg2 curl wget

Instalando Jitsi

Vamos adicionar o repositório oficial do jitsi (stable)

# echo 'deb https://download.jitsi.org stable/' > /etc/apt/sources.list.d/jitsi-stable.list 
# wget -qO - https://download.jitsi.org/jitsi-key.gpg.key  | apt-key add - 

Instale o mesmo

# apt update
# apt install jitsi-meet

Informe seu domíno:

Selecione Generate a net self-signed certificate

Agora instale o certbot para gerar os certificados com lets encript.

# apt install certbot

Gere um certificado Let’s Encrypt, basta executar:

/usr/share/jitsi-meet/scripts/install-letsencrypt-cert.sh

-------------------------------------------------------------------------
This script will:
- Need a working DNS record pointing to this machine(for domain meet.remontti.com.br)
- Download certbot-auto from https://dl.eff.org to /usr/local/sbin
- Install additional dependencies in order to request Let’s Encrypt certificate
- If running with jetty serving web content, will stop Jitsi Videobridge
- Configure and reload nginx or apache2, whichever is used
- Configure the coturn server to use Let's Encrypt certificate and add required deploy hooks
- Add command in weekly cron job to renew certificates regularly

You need to agree to the ACME server's Subscriber Agreement (https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf) 
by providing an email address for important account notifications
Enter your email and press [ENTER]: noc@remontti.com.br
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Account registered.
Requesting a certificate for meet.remontti.com.br
Performing the following challenges:
http-01 challenge for meet.remontti.com.br
Using the webroot path /usr/share/jitsi-meet for all unmatched domains.
Waiting for verification...
Cleaning up challenges
Running deploy-hook command: /etc/letsencrypt/renewal-hooks/deploy/0000-coturn-certbot-deploy.sh
Output from deploy-hook command 0000-coturn-certbot-deploy.sh:
Configuring turnserver


IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/meet.remontti.com.br/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/meet.remontti.com.br/privkey.pem
   Your certificate will expire on 2022-06-22. To obtain a new or
   tweaked version of this certificate in the future, simply run
   certbot again. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Configuring nginx

Crie um scrip para renovação do certificado

# mkdir /root/scripts/
# vim /root/scripts/renova-certificado

#!/bin/bash
# Pare o serviço web
/usr/bin/systemctl stop nginx
# Aguarda 10 seg
sleep 10
# Renova o certificado
/usr/bin/certbot renew -q
# Aguarda o certificado renovar
sleep 30
# Inicie o serviço web
/usr/bin/systemctl restart nginx
# Reinicie os serviços
/usr/bin/systemctl systemctl restart prosody jicofo jitsi-videobridge2

Adicione ao cron para ser executado umas vez por semana toda às 3h.

# chmod +x /root/scripts/renova-certificado
# echo '00 30   1 * *   root    /root/scripts/renova-certificado' >> /etc/crontab

Reinicie o cron para ler a nova tarefa.

# systemctl restart cron

Systemd/Limits: As implantações padrão em sistemas que usam systemd terão valores padrão baixos para processos máximos e arquivos abertos. Se a ponte usada espera um número maior de participantes, os valores padrão precisam ser ajustados (os valores padrão são bons para menos de 100 participantes).
Se achar necessário aumente estes valores:

# echo 'DefaultLimitNOFILE=65000' >> /etc/systemd/system.conf
# echo 'DefaultLimitNPROC=65000' >> /etc/systemd/system.conf
# echo 'DefaultTasksMax=65000' >> /etc/systemd/system.conf

Reinicie o daemon

# systemctl daemon-reload

Verifique se os valores foram alterados

# systemctl show --property DefaultLimitNPROC
# systemctl show --property DefaultLimitNOFILE
# systemctl show --property DefaultTasksMax

Reinicie o jitsi

# systemctl status jitsi-videobridge2

# cat /proc/`cat /var/run/jitsi-videobridge/jitsi-videobridge.pid`/limits

Veja se Max processes e Max open files estão com limit: 65000

Limit                     Soft Limit           Hard Limit           Units     
...
Max processes             65000                65000                processes
Max open files            65000                65000                files
...

Neste momento seu servidor já esta rodando de forma anônima, onde qualquer um pode criar já uma sala de reunião.

Porém é possível permitir que apenas usuários autenticados criem novas salas de conferência. Sempre que uma nova sala estiver prestes a ser criada, o Jitsi Meet solicitará um nome de usuário e senha. Depois que a sala for criada, outras pessoas poderão ingressar no domínio anônimo.

# vim /etc/prosody/conf.avail/meet.remontti.com.br.cfg.lua

Localize authentication e altere anonymous para internal_hashed:

authentication = "anonymous"

Para

authentication = "internal_hashed"

Descomente:

https_ports = { };

Ainda no mesmo arquivo adicione as linhas a baixo ante de “– Proxy to jicofo’s user JID…”
OBS: Não é necessário você criar uma entra “guest.meet” em seu DNS.

VirtualHost "guest.meet.remontti.com.br"
    authentication = "anonymous"
    c2s_require_encryption = false

Agora em /etc/jitsi/meet/SEUDOMINO-config.js faça:

# vim /etc/jitsi/meet/meet.remontti.com.br-config.js

Localize anonymousdomain, vai estar comentada com “//”, remova o comentário e adicione seu “guest.meet.remontti.com.br”.

// anonymousdomain: 'guest.example.com',

Ficando

anonymousdomain: 'guest.meet.remontti.com.br',

Em jicofo.conf será necessário fazer os ajustes para autenticação.

# vim /etc/jitsi/jicofo/jicofo.conf

Adicione em jicofo { … }

  authentication: {
    enabled: true
    type: XMPP
    login-url: jitsi-meet.example.com
 }

Ficando assim:

jicofo {
  authentication: {
    enabled: true
    type: XMPP
    login-url: meet.remontti.com.br
 }
  xmpp: {
    client: {
      client-proxy: focus.meet.remontti.com.br
    }
    trusted-domains: [ "recorder.meet.remontti.com.br" ]
  }
  bridge: {
    brewery-jid: "JvbBrewery@internal.auth.meet.remontti.com.br"
  }
}

Reinicie os serviços

# systemctl restart prosody jicofo jitsi-videobridge2

Agora ao criar uma nova reunião

Será necessário autenticar:

Então para criar um usuário (ou mais) administrador faça em seu terminal:

# prosodyctl register meuusuario meet.remontti.com.br minhasenha

Para deletar um usuário:

# prosodyctl deluser meuusuario@meet.remontti.com.br

Com sua sala de reunião pronta você pode desejar fazer alguns ajustes em mais configurações […]

Ajuste seus dados

Informe seu nome e e-mail se desejar

Você pode ainda fazer outros ajustes como:

Clique em OK para aplicar.
Outro ajuste que é interessante são as opções de segurança:

É interessante você Habilitar sala de espera, assim novos usuários terão que informar seu nome e você precisará aprovar sua entrada.

Agora quando alguém entrar na sala ira aparecer a seguinte tela:


O administrador ira autoriza-lo:

Bom a interface é bem intuitiva então acredito que não terá dificuldas. E não deixe de ler as integrações, bem como o restante da documentação, pois o projeto tem muita coisa que não foi mostrada aqui.

Gostou?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Fonte: https://jitsi.github.io/handbook/docs/intro

O post Aprenda instalar o Jitsi Meet, uma ferramenta de videoconferências de código aberto apareceu primeiro em Remontti.

Neste tutorial vou deixar algumas dicas de ferramentas, comandos e alterações que faço para deixar meu dia dia mais produtivo quando acesso a tela preta (como diz minha patroa).

Vou deixar aqui a 1ª parte aula do curso DNS onde passo pela instalação e falo sobre este tutorial.

O que irei mostrar aqui pode ser aplicado desde a versão 8 do Debian.

Antes de começar não esqueça de virar root! Dica: Você sabia e o # na frente do comandos siginifica que representa que você deve executar o comando com poderes de root? E quando $ seria com usuário comum?!

$ su -

Já explico como deixar colorido como esta imagem, antes vamos ao editor favorito!

EDITOR

# apt install vim

Ao editar com vim aprenda a usar as seguintes artimanhas:

:x - sair e salva (o mesmo q :wq)
:wq - sair e salva 
:q - sair quando não teve alteração 
:q! - sair sem salvar quando teve alteração
:$s/a/b/ - substituir a por b 
:9 - Se posiciona na linha 9
:88 - Se posiciona na linha 88
dd - deletar 1 linha 
yy - copiar 1 linha 
u - desfazer
3dd - deleta 3 linhas (o nª define a quantidade de linhas)
900dd - deleta 900 linhas
3yy - copiar 3 linhas (o nª define a quantidade de linhas)
p - colar

Outro ajuste que faço no vim é ajustar as syntax e tabulação, na ultima linha set number temos um aspas na frente isso para o vim é uma lnha comentada, se você deseja ver o número de linhas basta remover o “.

# sed -i 's/"syntax on/syntax on/' /etc/vim/vimrc
# sed -i 's/"set background=dark/set background=dark/' /etc/vim/vimrc
# cat <<EOF >~/.vimrc
set showmatch " Mostrar colchetes correspondentes
set ts=4 " Ajuste tab
set sts=4 " Ajuste tab
set sw=4 " Ajuste tab
set autoindent " Ajuste tab
set smartindent " Ajuste tab
set smarttab " Ajuste tab
set expandtab " Ajuste tab
"set number " Mostra numero da linhas
EOF

AUTO COMPLETAR

Com editor favorito escolhido (use o nano se achar o vim o cara complicado) vou a primeira alteração é melhorar a cara do bash, instalando o pacote bash-completion para que os comandos tenham um auto completar muito maior, para isso faça:

# apt install bash-completion

Edite também

# vim /etc/bash.bashrc

Descomente (remova o # do início das linhas)

#if ! shopt -oq posix; then
#  if [ -f /usr/share/bash-completion/bash_completion ]; then
#    . /usr/share/bash-completion/bash_completion
#  elif [ -f /etc/bash_completion ]; then
#    . /etc/bash_completion
#  fi
#fi

Ficando:

if ! shopt -oq posix; then
  if [ -f /usr/share/bash-completion/bash_completion ]; then
    . /usr/share/bash-completion/bash_completion
  elif [ -f /etc/bash_completion ]; then
    . /etc/bash_completion
  fi
fi

Salve e saia e logue novamente como root.

# exit 
$ su -

Agora experimente das um comando e em seguida aperte 2x TAB. Veja um exemplo:

QUAL FOI O COMANDO MESMO!?

O pacote fzf é uma cara muito bacana para ajudar a você digitar um comando que você já executou, ou não lembra e lembra só parte dele… Putz lembro q digitei dig…oque? Vamos instala-lo e incluir no ~/.bashrc que é o arquivo que ao logar é “carregado”.

# apt install fzf
# echo 'source /usr/share/doc/fzf/examples/key-bindings.bash' >> ~/.bashrc

Saia e logue novamente como root

# exit 
$ su -

Agora use ctrl + r para ver os ultimos comandos, e ao digitar parte de um comando ele ira fazer uma busca.

COMO DEIXAR “COLORIDO”

Já tive que ouvir isso: Eu não gosto do Debian e uso ubuntu por isso! P* “José”, ai você me quebra. Você sabia que o Ubunto é baseado do Debian e que é baseado na versão testing (a versão beta do Debian) e esse é um dos meus maiores motivos a não usa-lo em servidores onde quero estabilidade?! Mas vamos as cores para quem sabe fazer você gostar mais dele!

# vim ~/.bashrc

Descomente (remova o # do início das linhas)

# export LS_OPTIONS='--color=auto'
# eval "`dircolors`" (Debian 10 < )
# eval "$(dircolors)" (Debian 11 > )
# alias ls='ls $LS_OPTIONS'
# alias ll='ls $LS_OPTIONS -l'
# alias l='ls $LS_OPTIONS -lA'

Ficando:

export LS_OPTIONS='--color=auto'
eval "`dircolors`"
alias ls='ls $LS_OPTIONS'
alias ll='ls $LS_OPTIONS -l'
alias l='ls $LS_OPTIONS -lA'

Adicione ao final:

PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u\[\033[01;34m\]@\[\033[01;33m\]\h\[\033[01;34m\][\[\033[00m\]\[\033[01;37m\]\w\[\033[01;34m\]]\[\033[01;31m\]\$\[\033[00m\] '

Isso fará root@ns1[~]# ficar com cores também. Aqui tem um tutorial antigo que falo sobre.

ATALHOS / ALIAS

Eu gosto de criar alguns atalhos para colorir os resultados também, como grep, egrep, ip e diff.

# vim ~/.bashrc

Adicione:

alias grep='grep --color'
alias egrep='egrep --color'
alias ip='ip -c'
alias diff='diff --color'

Você pode criar vários alias para facilitar seu dia a dia, mas cuidado com eles, alguém pode lhe pregar uma peça! Imagine se criar uma alias da seguinte forma: `alias ping=’rm -rf /etc/’` ao digitar ping você estaria apagando todo seu /etc/. Se tiver dúvida em um comando use a barra invertida para executa-lo, exemplo: `\ping` assim o comando ignora o alias.

Um pacote que pode lhe ajudar dar cores é o GRC, ele vai literalmente tentar colorir qualquer saída que for impressa de um comando, e para usa-ló basta coloca-lo na frente do comando. Exemplo `grc ping 1.1.1.1`

Gostou, então para usa-lo precisa instar:

# apt install grc -y

Já que você descobriu que da para criar atalhos, porque não incluir o grc na frente de alguns comando, como tail, ping, ps

# vim ~/.bashrc

Adicione:

alias tail='grc tail'
alias ping='grc ping'
alias ps='grc ps'

Para que tenha efeito saia e logue novamente como root.

# exit 
$ su -

Agora que você já entendeu vou deixar aqui de uma forma que basta você copiar e colar que ira fazer todo o procedimento acima:

# apt install vim bash-completion fzf grc -y

Copiar e colar!

echo '' >> /etc/bash.bashrc
echo '# Autocompletar extra' >> /etc/bash.bashrc
echo 'if ! shopt -oq posix; then' >> /etc/bash.bashrc
echo '  if [ -f /usr/share/bash-completion/bash_completion ]; then' >> /etc/bash.bashrc
echo '    . /usr/share/bash-completion/bash_completion' >> /etc/bash.bashrc
echo '  elif [ -f /etc/bash_completion ]; then' >> /etc/bash.bashrc
echo '    . /etc/bash_completion' >> /etc/bash.bashrc
echo '  fi' >> /etc/bash.bashrc
echo 'fi' >> /etc/bash.bashrc
sed -i 's/"syntax on/syntax on/' /etc/vim/vimrc
sed -i 's/"set background=dark/set background=dark/' /etc/vim/vimrc
cat <<EOF >/root/.vimrc
set showmatch " Mostrar colchetes correspondentes
set ts=4 " Ajuste tab
set sts=4 " Ajuste tab
set sw=4 " Ajuste tab
set autoindent " Ajuste tab
set smartindent " Ajuste tab
set smarttab " Ajuste tab
set expandtab " Ajuste tab
"set number " Mostra numero da linhas
EOF
sed -i "s/# export LS_OPTIONS='--color=auto'/export LS_OPTIONS='--color=auto'/" /root/.bashrc
sed -i 's/# eval "`dircolors`"/eval "`dircolors`"/' /root/.bashrc
sed -i 's/# eval "$(dircolors)"/eval "$(dircolors)"/' /root/.bashrc
sed -i "s/# alias ls='ls \$LS_OPTIONS'/alias ls='ls \$LS_OPTIONS'/" /root/.bashrc
sed -i "s/# alias ll='ls \$LS_OPTIONS -l'/alias ll='ls \$LS_OPTIONS -l'/" /root/.bashrc
sed -i "s/# alias l='ls \$LS_OPTIONS -lA'/alias l='ls \$LS_OPTIONS -lha'/" /root/.bashrc
echo '# Para usar o fzf use: CTRL+R' >> ~/.bashrc
echo 'source /usr/share/doc/fzf/examples/key-bindings.bash' >> ~/.bashrc
echo "alias grep='grep --color'" >> /root/.bashrc
echo "alias egrep='egrep --color'" >> /root/.bashrc
echo "alias ip='ip -c'" >> /root/.bashrc
echo "alias diff='diff --color'" >> /root/.bashrc
echo "alias tail='grc tail'" >> /root/.bashrc
echo "alias ping='grc ping'" >> /root/.bashrc
echo "alias ps='grc ps'" >> /root/.bashrc
echo "PS1='\${debian_chroot:+(\$debian_chroot)}\[\033[01;31m\]\u\[\033[01;34m\]@\[\033[01;33m\]\h\[\033[01;34m\][\[\033[00m\]\[\033[01;37m\]\w\[\033[01;34m\]]\[\033[01;31m\]\\$\[\033[00m\] '" >> /root/.bashrc
su -

COMANDOS E FERRAMENTAS

Vou listar alguns comandos e ferramentas que todo o sysadmin deveria conhecer, é claro que algumas aqui daria para se aprofundar muito, então leve é mais uma apresentação, com alguns comandos de exemplo, testa ai!

apt – Gerenciador de pacotes

Atualiza o repositório

# apt update

Atualiza os pacotes

# apt upgrade

Pesquisa por um pacote

# apt search nome_do_pacote

Detalhes sobre um pacote

# apt show nome_do_pacote 

Instala um pacote

# apt install nome_do_pacote

man – Manuais de referência

# apt install man-db
# man nome_do_pacote
# man ping

Muitos dos comandos se tem sempre uma opção de ajuda, normalalmente é `-h` ou `–help`, exemplo:

# ping -h
# history --help

uptime – Tempo que o sistema está funcionando

# uptime

df – Relata o espaço de disco

Exemplos:

# df 
# df -h
# df /dev/sda -Th

du – Estima o espaço utilizado de um diretório

# du
# du -h
# du -sh
# du -sh /etc/

ncdu – Uso do espaço em diretórios

Uma maneira rápida de ver quais diretórios estão usando seu espaço em disco, bem útil quando o disco está lotado e você precisa descobrir qual diretório é.

# apt install ncdu
# ncdu
# ncdu /home
# ncdu /

tree – Lista o conteúdo dos diretórios em formato de árvore.

# apt install tree
# tree
# tree /home
# tree /var/log -d
# tree -d -h --du | du -h --max-depth=1

tail – Exibe a última parte dos arquivos

Usando -f você pode acompanhar em tempo real.

# tail /var/log/auth.log
# tail -n 50 /var/log/auth.log
# tail -f /var/log/auth.log
# tail -f /var/log/auth.log |grep Failed

cat – Imprime o conteúdo do arquivo

Usando |grep você pode filtra por uma palavra, |more ou |less fará paginação.

# cat /var/log/auth.log
# cat /var/log/auth.log |grep Failed
# cat /var/log/auth.log |more
# cat /var/log/auth.log |less

tac – Imprime o conteúdo invertido do arquivo

# tac /var/log/auth.log
# tac /var/log/auth.log |grep Failed
# tac /var/log/auth.log |more
# tac /var/log/auth.log |less

history

Uso ele sempre para apagar o histórico de comandos executados.

# history -c

hdparm – Exibe/altera os parâmetros de discos

Utilizo principalmente para ver taxas de leituras/esritas de discos.

# apt install hdparm
# hdparm -i /deb/sdX 
# hdparm -I /deb/sdX 
# hdparm -t /deb/sdX

iotop – Informações de uso de I/O em tempo real

Bom para descobrir qual processo esta ferrando com seu disco.

# apt install iotop
# iotop

htop – Visualizador de processos

De uma maneira bem simples você consegue ver os processos, e pode até executar ações.

# apt install htop
# htop
# htop -t
# htop -u zabbix
# htop -p PID1,PID2

wget – Download via URL

# apt install wget
# wget https://remontti.com.br/arquivos.x

ipcalc – Calculadora de IPv4

# apt install ipcalc
# ipcalc 192.168.0.0/19

ip6calc – Calculadora de IPv6 (python2 Debian 8 e 9 )

# apt install python-ipaddr wget
# wget https://blog.remontti.com.br/arquivos/ip6calc -O /bin/ip6calc
# chmod a+x /bin/ip6calc
# ip6calc 2804:f123::/32

ip6calc – Calculadora de IPv6 (python3 Debian 10 e 11)

# apt install python3-ipaddr wget
# wget https://blog.remontti.com.br/arquivos/ip6calc_py3 -O /bin/ip6calc
# chmod a+x /bin/ip6calc
# ip6calc 2804:f123::/32
# ip6calc 2804:f123::/32 --print-all-subnets-count
# ip6calc 2804:f123::/48 --count-deaggregation-into 60 
# ip6calc 2804:f123::/48 --show-deaggregated-into 52

ip6calc – Calculadora de IPv6 (python3.11 Debian 12)

# apt install python3-pip wget
# pip install --break-system-packages ipaddr
# wget https://blog.remontti.com.br/arquivos/ip6calc_py3 -O /bin/ip6calc
# chmod a+x /bin/ip6calc
# ip6calc 2804:f123::/32
# ip6calc 2804:f123::/32 --print-all-subnets-count
# ip6calc 2804:f123::/48 --count-deaggregation-into 60 
# ip6calc 2804:f123::/48 --show-deaggregated-into 52

sipcalc – Calculadora de IP

# apt install sipcalc
# sipcalc 192.168.0.0/24
# sipcalc 2001:db8::/32

nmap – “Scaner de portas”

No dia dia uso mais para fazer scan de portas, mas é uma poderosa ferramenta, se aprofunde!

# apt install nmap
# nmap 192.168.0.1
# nmap 192.168.0.1 -p 80
# nmap 192.168.0.1 -p 53 -sU -sT
# nmap 192.168.0.1 -p 53 -sV
# nmap 192.168.0.1 -A

whois – Cliente para o serviço whois

Uso muito para descobri o AS de um IP, e ver detalhes do AS.

# apt install whois
# whois as1234
# whois 1.1.1.1

dnsutils – Utilitários de análise DNS

Ele é um dos pacote da família bind9. Quem fez meu curso de DNS sabe o quanto usamos ele!
→ dig (Utilitário de pesquisa DNS)

# apt install dnsutils
# dig AAAA google.com @8.8.8.8
# dig A    google.com @IP_DO_DNS>
# dig NS   google.com @IP_DO_DNS>
# dig MX   google.com @IP_DO_DNS>
# dig TXT  google.com @IP_DO_DNS>
# dig ANY  google.com @IP_DO_DNS>
# dig A +https google.com @IP_DO_DNS>
# dig A +short google.com @IP_DO_DNS>
# dig A +trace google.com @IP_DO_DNS>
# dig -x 8.8.8.8
# dig axfr zonetransfer.me @nsztm1.digi.ninja
# dig +short TXT whoami.ipv6.akahelp.net
# dig +short TXT whoami.ipv4.akahelp.net
# dig +short TXT whoami.ds.akahelp.net

→ nslookup (Consultar servidores de nomes)

# nslookup google.com.br
# nslookup -type=a google.com.br
# nslookup -type=aaaa google.com.br
# nslookup -type=mx google.com.br
# nslookup -type=AAAA google.com <IP_DO_DNS>
# nslookup -type=A google.com <IP_DO_DNS>
# nslookup -type=NS google.com <IP_DO_DNS>
# nslookup -type=MX google.com <IP_DO_DNS>
# nslookup -type=TXT google.com <IP_DO_DNS>
# nslookup -type=ANY google.com <IP_DO_DNS>
# nslookup -debug google.com <IP_DO_DNS>
# nslookup 8.8.8.8 <IP_DO_DNS>
# nslookup -type=TXT whoami.ds.akahelp.net
# nslookup -type=TXT whoami.ipv6.akahelp.net
# nslookup -type=TXT whoami.ipv4.akahelp.net
# nslookup -type=TXT whoami.ds.akahelp.net

pwgen – Gerador de senhas aleatórias

# apt install pwgen
# pwgen --help
# pwgen 16

au0ibahSha9jee6a ohSh3ohs8aif5fe0 xoolohngi5Kao8oo oHaijoGhah7ieghu
xexooGei4paeDool shaiGha8yu3ohzuv eiJiih4gieSeephi xeP1mah8thei9hee
am0DeGheuzu3Ba9A Ul3eithae8quek2u aiJaiZ0aegheegie Iepheyah2ahvohph
chokoh3yaGeich2o Yoi3dae5ZootheeP thai6AhYu6neJait shaigu1ua7Woomi7
Puothiew1aepahth deiMoohaicha8aab shoiThiv5eugae5x taepho3Phutaijae
Aic7aa1cho8eiqu9 aut6Aecoup5mahpu ve3fee3Eiveeghat Vieghe2laiqu6Ait
it4thaed0aP4shei eelu4ohgh1auJada ebie3AighafuShux sohh3ad4moo2Zum3
Uesh1zoh9Owah9Ae aiv9phoh2Viexiep aiseiC6eiZeeth7O eejieg8Ohlah8aer
eijowaedaiNaed7U reishohG9kaiYoot vuz0xeiGh9aeraem Roo5Gahwalohnood
ohk8Ohthahthi2or zaideir1ohShewei je9Aer2tai6Aec3u mot3Tahb9ahkohu1
Maethuu9eiM9eiVu ahzugei0ciin7iaP ahy2Aili4Ozi3Oo5 ieRaeng9aethoh0a
hohjeexuxeiB0qua Eiyu2eijaighahxa oixaeDoolohP8nep kangooxeiNgie9oh
Quez8ing7aeg7eeP fooveeroeX0oot3t pahYo7eegheefosh ii5ux0eeghah6Eph
oc3shuiw2aa9Ue5e wohka1eelohMee4h ceep9jeix6ohkueY roo9zee6ubirooCh
ooSuelan2we5xaec jewou5xaqu8ooJe0 xueGi6tu4she2aey idaeyooG8gein7ca
Phiuh1fitus9Jue8 shayahNuweeC5um5 aiqu1Ve3pheefoob heGoh9aiThio8ohk
othooquaiga8ahYo aeb6eohee7Equ7ue iajahmaeX0jechie Cai6johchei6iiph
baiqueexeij8aeLu Quoo4Aegoo1Eiphu Xei9taesaikahYoo neiBaecie9uab5te
woopooMei3shoo6v Yahraeb6Soh3Ahb6 emairai6eiPhogoo chahxeeh8cheiFei
teji6che1Onush7f Mohw3heichoth3ge eiWeiv6AeseYohco Eireing7guusoh9Z

dnstop – Utilitários de análise DNS

Analisa em tempo real as resoluções de nomes.

# apt install dnstop
# dnstop <interface_de_rede>
# dnstop ens18
# dnstop -4 ens18
# dnstop -6 ens18
dnstop -4 -i 10.10.10.10 ens18

Ao executar aperte:

1 - Query Name (TLD)
2 - Query Name (Autoritativos)
r - Rcode
t - Types
o - Opcode
s - Sources
c - Source
d - Destinations

host – Utilitário simples para realizar pesquisas DNS

# host google.com.br
# host 8.8.8.8
# host -t ns zonetransfer.me
# host -l -a zonetransfer.me nsztm1.digi.ninja

iftop – Exibir o uso de banda em uma interface por host

# apt install iftop
# iftop

locate – Cria um bancos de dados com lista de arquivos

Utilizo para encontrar arquivos (parente do find de longe). O comando updatedb cria uma base com todos os arquivos, então sempre que houver novos arquivos é necessários executar o comando updatedb novamente, e diferente do finde ao usar o locate “palava a ser pesquisada” a resposta será muito mais rápida.

# apt install locate
# updatedb
# locate ssh

traceroute – Exibe a rota para um determinado host

# apt install traceroute
# traceroute 1.1.1.1

mtr-tiny – Exibe a rota para um determinado host constante

# apt install mtr-tiny
# mtr 1.1.1.1

net-tools – Utilitários de rede

Temos nele arp, ifconfig, netstat, route entre outros.

# apt install net-tools 
# arp -a
# ifconfig
# ifconfig eno1
# route
# route -6 
# netstat -putan

arping – Envia pings arp

# apt install arping
# arping 192.168.0.1

lm-sensors – Informações de sensores

Útil em maquinas físicas, para saber qual a temperatura da CPU

# apt install lm-sensors
# sensors

bmon – Monitor de banda (gráfico)

Para fechar use q

# apt install bmon
# bmon
# bmon -p enp0s3

netdiscover – Scanner de endereço de rede ativo/passivo usando solicitações ARP

# apt install netdiscover
# netdiscover --help 
# netdiscover -r 192.168.254.0/24
# netdiscover

822 Captured ARP Req/Rep packets, from 69 hosts.   Total size: 49320                                                                                                                                                                                                         
 _____________________________________________________________________________                                                                                                                                                                                                    IP               At MAC Address     Count     Len  MAC Vendor / Hostname      
 -----------------------------------------------------------------------------                                                                                                                                                                                                  192.168.171.171 d4:ca:6d:ae:51:42     78    4680  Routerboard.com                                                                                                                                                                                                            
192.168.0.66    50:0f:f5:4c:4c:a0      1      60  Tenda Technology Co.,Ltd.Dongguan branch                                                                                                                                                                                   
192.168.0.101   64:1c:67:68:ed:7f      1      60  DIGIBRAS INDUSTRIA DO BRASILS/A                                                                                                                                                                                              192.168.0.130   94:de:80:f0:02:27      1      60  GIGA-BYTE TECHNOLOGY CO.,LTD.                                                                                                                                                                                              
192.168.2.150   70:71:bc:77:79:89      1      60  PEGATRON CORPORATION                                                                                                                                                                                                       
192.168.5.1     24:fd:0d:64:e4:c6      1      60  Intelbras                                                                                                                                                                                                                    192.168.254.227 00:1c:c0:e9:5d:13     38    2280  Intel Corporate                                                                                                                                                                                                            
192.168.8.1     38:3f:10:06:10:58      1      60  DBL Technology Ltd.                                                                                                                                                                                                          192.168.254.16  44:d9:e7:ba:13:bb     66    3960  Ubiquiti Networks Inc.

tcpdump

# apt install tcpdump
# tcpdump
# tcpdump -n dst port 53
# tcpdump -n src port 53
# tcpdump -n src 100.64.0.116 port 53
# tcpdump -nni enp0s17 icmp

http://www.tcpdump.org/index.html#documentation

neofetch

# apt install neofetch
# neofetch

screenfetch

# apt install screenfetch
# screenfetch

mysqltuner

Ferramenta muito f* para você deixar seu banco de dados tunado! Ele vai falar o que você precisa melhorar.

# apt install mysqltuner
# mysqltuner --host localhost --user root --pass senha

bgpq – Lista de prefixos

Muito util para quem faz politicas com bases em IRR. É um utilitário para gerar listas de prefixo.

Vendor targets:
 no option : Cisco IOS Classic (default)
 -X        : Cisco IOS XR
 -U        : Huawei
 -j        : JSON
 -J        : Juniper Junos
 -K        : MikroTik RouterOS
 -b        : NIC.CZ BIRD
 -N        : Nokia SR OS (Classic CLI)
 -n        : Nokia SR OS (MD-CLI)
 -B        : OpenBSD OpenBGPD
 -e        : Arista EOS
 -F fmt    : User defined format (example: '-F %n/%l')

Input filters:
 -4        : generate IPv4 prefix-lists (default)
 -6        : generate IPv6 prefix-lists
 -m len    : maximum prefix length (default: 32 for IPv4, 128 for IPv6)
 -L depth  : limit recursion depth (default: unlimited)
 -S sources: only use specified IRR sources, in the specified order (comma separated)
 -w        : 'validate' AS numbers: accept only ones with registered routes

Output modifiers:
 -A        : try to aggregate prefix-lists/route-filters
 -E        : generate extended access-list (Cisco), route-filter (Juniper)
             [ip|ipv6]-prefix-list (Nokia) or prefix-set (OpenBGPD)
 -f number : generate input as-path access-list
 -G number : generate output as-path access-list
 -M match  : extra match conditions for JunOS route-filters
 -l name   : use specified name for generated access/prefix/.. list
 -R len    : allow more specific routes up to specified masklen
 -r len    : allow more specific routes from masklen specified
 -s        : generate sequence numbers in prefix-lists (IOS only)
 -t        : generate as-sets for OpenBGPD (OpenBGPD 6.4+), BIRD and JSON formats
 -z        : generate route-filter-list (Junos only)
 -W len    : specify max-entries on as-path line (use 0 for infinity)

Utility operations:
 -d        : generate some debugging output
 -h host   : host running IRRD software (default: rr.ntt.net)
             use 'host:port' to specify alternate port
 -T        : disable pipelining (not recommended)
 -v        : print version and exit

bgpq4 version: 1.4 (https://github.com/bgp/bgpq4)

# apt install bgpq4
# bgpq4 --help
# bgpq4 -U -r 20 -R 24 -S RADB AS-SET-XYZ
# bgpq4 -6 -U -r 32 -R 36 -S RADB AS-SET-XYZ
# bgpq4 -U -r 20 -R 24 -S RADB AS-SET-XYZ
# bgpq4 -U  -S RADB -l IMPORT_IPV4_ACCCEPT AS-RIOT
# bgpq4 -U -S RADB -f 6507 AS-RIOT
# bgpq4 -U -S RADB -G 6507 AS-RIOT

Ou

# apt install bgpq3
# bgpq3 --help
# bgpq3 -U -r 20 -R 24 -S RADB AS-SET-XYZ
# bgpq3 -6 -U -r 32 -R 36 -S RADB AS-SET-XYZ

Sugestão para alguns alias:

# apt install net-tools
# echo "alias netstat='grc netstat'" >> /root/.bashrc 
# apt install dnsutils
# echo "alias dig='grc dig'" >> /root/.bashrc 
# apt install traceroute
# echo "alias traceroute='grc traceroute'" >> /root/.bashrc

Espero ter colaborado com uma pequena parcela em seu conhecimento! Desculpa o português e as palavras faltando letras, é difícil conseguir tempo para vir aqui escrever e revisar, então abro o editor e vou escrevendo…

Curtiu o conteúdo? Quer me ajudar manter o blog?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Como melhorar a produtividade no seu Debian após instalação apareceu primeiro em Remontti.

Neste tutorial vamos aprender a configurar nossas interfaces de rede no Debian e estar pensando um pouco mais para fazer uma boa escolha na hora de realizar suas configurações.

Antes de mais nada você precisa saber o que você quer!? Qual será o cenário!? Vejo muitas pessoas cometerem um desastre nos dias hoje quando se trata em colocar um simples IP público em um servidor. E por isso escrevo este “artigo” meio que tutorial.

No Debian você pode configurar os endereços IPs bem como algumas regras no arquivo /etc/network/interfaces, irei levar como base uma instalação recém-feita:

– Instalação do Debian 13 Trixie
– Instalação do Debian 12 Bookworm
– Instalação do Debian 11 Bullseye
– Instalação do Debian 10 Buster

Irei usar o editor nano que é o que já vem instalado, mas você pode usar o editor de sua escolha.

# nano /etc/network/interfaces

Se em sua instalação você informou o endereço IPv4 seu arquivo será algo como este, ressaltando que ens18 é o nome da interface, e ela pode ser outra.

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug ens18
iface ens18 inet static
        address 192.168.87.3/24
        gateway 192.168.87.1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 1.1.1.1 8.8.8.8

Alterar DNS

Por mais que vimos dns-nameserver nesta parte da configuração de rede, o servidor não irá usa-los, o arquivo qual será levado em conta é o /etc/resolv.conf

# nano /etc/resolv.conf

nameserver 1.1.1.1
nameserver 1.0.0.1
nameserver 2606:4700:4700::1111
nameserver 2606:4700:4700::1001

Se sua instalação foi feita com DHCP ativo, sua configuração será:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug ens18
iface ens18 inet dhcp

E ai, o que queremos ?

Planejar, é claro! Se você esta montando seu data center onde terá vários servidores, o que será melhor adorar? Quebrar um prefixo /30 para cada servidor que eu for implementar? NÃO!. Quer me ver com os olhos sangrando é ver alguém que tem vários servidores e para cada servidor o mesmo quebrou um /30 público. Pense comigo você tem 2 servidores você precisa 2 IPs, se você quebrou 2 /30 você terá sim seus 2 IPs públicos mas você acabou de jogar no LIXO outros 6 endereços IPs, e nos dias de hoje 1 único IP publico é quase como o ditado: Em terra de cego, quem tem um olho é rei?

Então o que fazer, o mais sensato é você pensar e quebrar um prefixo maior para que você não precise estar quebrando prefixos a cada servidor. Antes de mais nada imagine onde você quer chegar! Quantos servidores irá montar, quantos IPs publicos e privados irá precisar… Sempre que dou uma consultoria essa é a primeira coisa faço, “sento” com o cliente e estudo. E com base neste estudo reservamos já um/dois prefixo /29, /28 ou 27 até mesmo um /24 público/privado, vai depender muito de cada cenário, se meu cliente tem milhares de hospedagem com certeza o número de servidores em seu data center é enorme.

Outro grande erro em servidores é o NAT mal aplicado! Muitas pessoas principalmente pessoal de provedor ainda tem costume de colocar em seu Mikrotik de borda um belo NAT para fornecer internet a um servidor, ou apenas para fazer um redirecionamento de portas. Quando aplicamos regras de NAT em um roteadores causamos muitos malefícios para o bichinho! Então vamos para de fazer isso? Vou lhe ajudar!

É claro que isso é muito relativo de cada empresa, já fiz NAT com borda? Já! Depende do tamanho da empresa e organização de cada um. Então não leve ao pé da letra! Estou tentando lhe dizer o que é o melhor a ser feito!

Já fui criticado por pedir para cliente comprar uma roteador para ser apenas o gateway dos servidores. “Rudimar é louco”. E eu digo: Mais louco é quem faz NAT em roteador de borda! . Em alguns casos eu recomendo um router para ligar os servidores, pois você pode ter diversos recursos na manga, e basta você fechar um iBGP/OSPF entre seu roteador de borda com seu roteador “data”.

Exemplos

Receber IP via DHCP

O mais simples a ser feito quando seu servidor ira receber IP automaticamente.

allow-hotplug ens18
iface ens18 inet dhcp

Fixando IPv4 e IPv6

Basicamente o que iremos usar em 95% das vezes

allow-hotplug ens18
iface ens18 inet static
        address 200.200.200.2/28
        gateway 200.200.200.1

iface ens18 inet6 static
        pre-up modprobe ipv6
        address 2804:bebe:cafe::2/64
        gateway 2804:bebe:cafe::1

Adicionando Multiplos IPs

Quando quiser mais de um IP no mesmo servidor, caso for outras interfaces basta ajustar para o nome da interface

allow-hotplug ens18
iface ens18 inet static
        address 200.200.200.2/28
        gateway 200.200.200.1

iface ens18 inet static
        address 200.200.200.3/28

iface ens18 inet static
        address 200.200.201.1/32

iface ens18 inet6 static
        pre-up modprobe ipv6
        address 2804:bebe:cafe::2/64
        gateway 2804:bebe:cafe::1

iface ens18 inet6 static
        pre-up modprobe ipv6
        address 2804:bebe:cafe::3/64

iface ens18 inet6 static
        pre-up modprobe ipv6
        address 2804:bebe:ffff:ffff::ffff
        netmask 128

IP na Loopback

Você pode usar quando estiver roteando um IP (OSFP/iBGP), exemplo com FRR, porém neste caso estaria fazendo a adição dos IPs pelo próprio FRR.
Mas se você fará algum tipo de rota estática com intuito exemplo de fazer ECMP (Equal Cost Multi-Path), é importante que os IPs de anycast estejam na interface de loopback para que não tenha conflito.

auto lo 
iface lo inet loopback

iface lo inet static
        address 200.200.200.200/32

Ponto a ponto – Pointopoint

Aqui muitos ficam bugado, no meu cenário perceba que temos um servidor conectado ao roteador de borda, agora imagine, que neste roteador de borda não tem nenhum IP público por politicas de segurança, mas ai vem o estagiário e e te diz: Vamos quebrar um /30 pub! Então saiba que você não precisa fazer isso, você pode adicionar um IP ponto a ponto, onde temos IP diferente dos dois lados, então como no exemplo a baixo podemos add no nosso roteador de borda 10.50.50.1 e no nosso servidor 200.200.200.0.

allow-hotplug ens18
iface ens18 inet static
        address 200.200.200.0
        pointopoint 10.50.50.1
        netmask 255.255.255.255
        gateway 10.50.50.1

Isso funciona? É claro! E você não irá precisar deixar seu roteador de borda com IP público acessível pelo mundo, e muito menos fazer um NAT! Como sou bonzinho vou deixar aqui como você configuraria isso no seu Mikrotikão! Ficaria assim:

RouterOS# /ip address
RouterOS# add address=10.50.50.1 comment=Pointopoint interface=ether1 network=200.200.200.0

Simples não?! Testa ai! Depois me conta!

Privado com saída em origem Público

Quase que como o exemplo do pointopoint, porem em alguns roteadores não temos o suporte para fazer pointopoint, uma saída é você quebrar um prefixo privado (estou usando /30, mas se tivesses vários servidores junto faria já um prefixo maior). No exemplo então meu IP público é o 200.200.200.200/32 qual irei colocar na mesma interface da WAN que tenho o 10.33.33.2/30, logo o roteador é o 10.33.33.1. Desta forma você tem uma conversa entre as interfaces por IP privado, porem os pacotes são originados com o endereço de IP público.

allow-hotplug ens18
iface ens18 inet static
    address 200.200.200.200/32
iface ens18 inet static
    address 10.33.33.2/30
    post-up ip route add default via 10.33.33.1 src 200.200.200.200

Mas ai temos um problema, seu servidor irá gerar os pacotes de origem publico, e irá enviar para internet, mas quando o pacote estiver voltando ao chegar em seu roteador de borda é necessário que você tenha uma rotá para o mesmo. Então crie um rota estática dizendo que Destino 200.200.200.200 o gateway é 10.33.33.2 IP este do seu servidor. Ex.:

Exemplo RouterOS:

RouterOS# /ip address add address=10.33.33.1/30 interface=ether2
RouterOS# /ip route add dst-address=200.200.200.200/32 gateway=10.33.33.2

Exemplo Huawei:

ip route-static 200.200.200.200 32 10.33.33.2 preference 1 description SERVIDOR

É possível fazer isso para IPv6 também? É claro!

allow-hotplug ens18

#IPv6 Público
iface ens18 inet6 static
        pre-up modprobe ipv6
        address 2804:bebe:cafe::cafe
        netmask 128

# IPv6 Privado
iface ens18 inet6 static
        pre-up modprobe ipv6
        address fd00:a::2/64
        post-up ip -6 route add default via fd00:a::1 src 2804:bebe:cafe::cafe

Exemplo RouterOS:

RouterOS# /ipv6 address add address=fd00:a::1/64 advertise=no interface=ether2
RouterOS# /ipv6 route add dst-address=2804:bebe:cafe::cafe/128 gateway=fd00:a::2

Exemplo Huawei:

ipv6 route-static 2804:bebe:cafe::cafe 128 fd00:a::2 preference 1 description SERVIDOR

Possível problema: Resolução ARP/ND na Inicialização

Em alguns casos, pode acontecer do IP /32 (no IPv4) ou /128 (no IPv6) só começar a funcionar após um primeiro ping interno. Isso não significa que a configuração da rede esteja errada, mas sim que o kernel e o roteador precisam “descobrir” via ARP/ND como chegar a esse endereço adicional.

Esse comportamento ocorre porque, ao usar um endereço /32 (IPv4) ou /128 (IPv6), o roteador e o kernel do Linux não enviam nem respondem a requisições ARP/ND de forma “espontânea” para esse IP adicional. Somente quando há tráfego partindo do servidor (por exemplo, um ping), a troca de ARP/ND é feita e o roteador “aprende” para onde enviar os pacotes que chegam nesse IP público. Sem essa “ativação” inicial, o roteador não tem como saber que aquele IP /32 ou /128 está associado à interface do servidor.

No Debian 13 eu contornei desta forma:

allow-hotplug ens18
iface ens18 inet static
    address 200.200.200.200/32
    up ip addr add 10.33.33.200/24 dev $IFACE
    up ip route replace default via 10.33.33.1 dev $IFACE  src 200.200.200.200
    down ip route del default via 10.33.33.1 dev $IFACE || true
    down ip addr del 10.33.33.2/24 dev $IFACE || true

iface ens18 inet6 static
    address 2804:bebe:cafe::cafe/128
    up ip -6 addr add fd00:a::2/64 dev $IFACE
    up ip -6 route replace default via fd00:a::1 dev $IFACE
    down ip -6 route del default via fd00:a::1 dev $IFACE || true
    down ip -6 addr del fd00:a::1/64 dev $IFACE || true

Se ainda não resolver tente com o script:

Crie o serviço systemd

# vim /etc/systemd/system/meu_script_rede.service

Adicione:

[Unit]
Description=Rodar script após inicialização da rede
After=network-online.target
Wants=network-online.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/meu_script.sh
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

Crie o script, nele vamos incluir um ping

# vim /usr/local/bin/meu_script.sh

Ajuste IPV4_GATEWAY e IPV6_GATEWAY para seus gateway.

#!/bin/bash

# IPs
IPV4_GATEWAY="10.33.33.1"
IPV6_GATEWAY="fd00:cafe::1"

# Nº de pings
NPING=5

# Registro no log
date > /var/log/rede_inicializada.log
echo "A placa de rede foi inicializada" >> /var/log/rede_inicializada.log

# Enviar pings para forçar ARP/ND
ping -O -4 -c $NPING $IPV4_GATEWAY >> /var/log/rede_inicializada.log
ping -O -6 -c $NPING $IPV6_GATEWAY >> /var/log/rede_inicializada.log

# Espera 1 segundo
sleep 1

Dê permissão de execução:

# chmod +x /usr/local/bin/meu_script.sh

Ative o serviço no systemd e reinicie

# systemctl daemon-reload
# systemctl enable meu_script_rede
# systemctl start meu_script_rede
# systemctl status meu_script_rede

Agora, toda vez que o servidor inicializar, este script rodará e enviará alguns pings para “ativar” as tabelas ARP e ND. Você poderá verificar o arquivo /var/log/rede_inicializada.log para ver a saída dos pings. `cat /var/log/rede_inicializada.log`

Criando VLAN e adicionado IP nela

Para adicionar um IP a uma VLAN precisamos carregar o módulo 8021q, e coloca-lo para iniciar com sistema.

# modprobe 8021q
# echo "8021q" >> /etc/modules

Agora basta editar sua interface e incluir um ponto e o numero da VLAN. No exemplo VLAN 171

allow-hotplug ens18.171
iface ens18.171 inet static
       address 10.88.88.2/24

PBR – Roteamento baseado em políticas

Eu particularmente uso em Accel-ppp para separar o trafego de IPs publicos de Privados, direcionando apenas os IPs de NAT para a caixa do CGNAT. É necessário criar uma nova tabela de rotas, irei chamar de cgnat no exemplo.

# echo "100 cgnat" >> /etc/iproute2/rt_tables
# cat /etc/iproute2/rt_tables
# ip route list table main

Fecho um /30 entre router e servidor e digo que todos os IPs que 100.64.0.0./10 deve sair pela tabela de rotas com o CGNAT.

allow-hotplug ens18
iface ens18 inet static
    address 10.200.200.2/30
    post-up ip route add default via 10.200.200.1 dev ens18 table cgnat
    post-up ip rule add from 100.64.0.0/10 lookup cgnat

Blackhole

Normalmente útil em casos que você usa seu servidor como roteador. Você irá colocar após as configurações da interface o post-up passando o prefixo ou ip qual irá subir em blackhole

allow-hotplug ens18
iface ens18 inet static
    address 10.33.33.2/30
    post-up ip route add blackhole 200.200.200.128/26 metric 250 || true

Agregação

Instalar o ifenslave: Este pacote permite configurar a agregação de portas no Linux.

# apt install ifenslave

Carregar o Módulo de Bonding

# echo "bonding" | tee -a /etc/modules
# modprobe bonding

Verificar se o módulo foi carregado corretamente:

# lsmod | grep bonding

802.3ad (LACP): Ideal para aumentar a largura de banda e fornecer redundância quando conectado a um switch que suporta LACP.
balance-xor: Útil para balanceamento de carga baseado em XOR, adequado para ambientes que não suportam LACP.
balance-rr (Round Robin): Simples e eficaz para cargas de trabalho que exigem balanceamento de carga sem configuração específica do switch.
active-backup: Fornece redundância sem aumento de largura de banda, útil quando a continuidade do serviço é mais crítica do que a capacidade.
balance-tlb (Transmit Load Balancing) e balance-alb (Adaptive Load Balancing): Ambos são bons para ambientes onde a configuração do switch não pode ser alterada ou não suporta LACP. O ALB também tenta balancear o tráfego de entrada.

Aqui estão exemplos para vários modos de bonding

# vim /etc/network/interfaces

802.3ad (LACP)

Aplicação: Ideal para ambientes de alta disponibilidade e alta largura de banda, como data centers ou servidores que precisam de conexões robustas e de alta capacidade. É necessário que ambos os lados (o Debian e o switch/router) suportem LACP.

auto bond0
iface bond0 inet static
    address 192.168.0.2/24
    bond-slaves enp4s0f0 enp4s0f1
    bond-miimon 100
    bond-mode 802.3ad
    bond-xmit-hash-policy layer2+3

Balance-xor

Aplicação: Bom para ambientes onde o tráfego de rede tem padrões conhecidos que podem ser distribuídos de forma eficaz usando XOR. Pode ser usado para melhorar o desempenho quando LACP não é suportado.

auto bond0
iface bond0 inet static
    address 192.168.0.2/24
    bond-slaves enp4s0f0 enp4s0f1
    bond-miimon 100
    bond-mode balance-xor
    bond-xmit-hash-policy layer2+3

Balance-rr (Round Robin)

Aplicação: Simples e eficaz para distribuir cargas de forma equitativa sobre as interfaces físicas. Útil em ambientes onde a ordem de chegada dos pacotes não é crítica.

auto bond0
iface bond0 inet static
    address 192.168.0.2/24
    bond-slaves enp4s0f0 enp4s0f1
    bond-miimon 100
    bond-mode balance-rr

Active-backup

Aplicação: Ideal para redundância sem aumentar a largura de banda. Se a interface primária falhar, outra assumirá. Recomendado para serviços críticos que precisam de alta disponibilidade mais do que de alta capacidade.

auto bond0
iface bond0 inet static
    address 192.168.0.2/24
    bond-slaves enp4s0f0 enp4s0f1
    bond-miimon 100
    bond-mode active-backup
    bond-primary enp4s0f0

Balance-tlb (Transmit Load Balancing)

Aplicação: Útil quando a modificação de configuração do switch não é possível. Realiza o balanceamento de carga de saída de acordo com a carga atual de cada interface. Não requer suporte específico do switch.

auto bond0
iface bond0 inet static
    address 192.168.0.2/24
    bond-slaves enp4s0f0 enp4s0f1
    bond-miimon 100
    bond-mode balance-tlb

Balance-alb (Adaptive Load Balancing)

Aplicação: Similar ao balance-tlb, mas também tenta balancear o tráfego de entrada, o que pode ser útil em servidores web ou de aplicativos. Essa modalidade não requer configuração especial do switch.

auto bond0
iface bond0 inet static
    address 192.168.0.2/24
    bond-slaves enp4s0f0 enp4s0f1
    bond-miimon 100
    bond-mode balance-alb

Reiniciar o sistema para aplicar as alterações:

# reboot

Verificar o status do serviço de rede para garantir que não houve erros, e a configuração de bonding.

# systemctl status networking
# journalctl -u networking.service
# cat /proc/net/bonding/bond0

Considerações finais

Sempre que editar o arquivo /etc/network/interfaces para que as configurações sejam carregadas será necessário reiniciar seu servidor, você até pode subir a interface com auto ao invés de allow-hotplug, mas não irei abordar aqui.

Caso você queira adicionar/remover IPs manualmente (em memória/perde ao reiniciar) você pode usar o comando ip, segue exemplo, onde ens18 é o nome da interface.
Adicionar:

# ip addr add 192.168.7.7/32 dev ens18
# ip -6 addr add 2001:db8:1::1/128 dev ens18

Visualizar:

# ip address

Remover:

# ip addr del 192.168.7.7/32 dev ens18
# ip -6 addr del 2001:db8:1::1/128 dev ens18

Exibe interfaces / Endereços IPs

# ip -br a
# ip -br addr show
# ip -br link
# ip -br link show

Exibir informações sobre todas as interfaces de rede:

# ip a
# ip addr
# ip addr show

Exibir informações sobre todas as interfaces de rede IPv4:

# ip -4 a

Exibir informações sobre todas as interfaces de rede IPv6:

# ip -6 a

Exibir informações sobre uma interface de rede específica:

# ip a show eth0
# ip a list eth0
# ip a show dev eth0

Mostrar apenas interfaces em execução

# ip link ls up

Adicionar um endereço IPv4/IPv6:

# ip a add {ip_addr/mask} dev {interface}
# ip a add 10.0.1.200/255.255.255.0 dev eth0
# ip a add 10.0.1.200/24 dev eth0

Remover endereço IP

# ip a del {ipv6_addr_OR_ipv4_addr} dev {interface}
# ip a del 10.0.1.200/24 dev eth0

Desligando a interface

# ip link set dev eth1 down

Ligando a interface

# ip link set dev eth1 up

Ajusda

# man ip
# ip --help

Comandos antigos X Novo comando

Velho # ifconfig -a
 Novo # ip a

Velho # ifconfig eth0 down
 Novo # ip link set eth0 down

Velho # ifconfig eth0 up
 Novo # ip link set eth0 up

Velho # ifconfig eth0 10.0.2.24
 Novo # ip addr add 10.0.2.24/24 dev eth0

Velho # ifconfig eth0 netmask 255.255.255.0
 Novo # ip addr add 10.0.1.1/24 dev eth0

Velho # ifconfig eth0 mtu 9000
 Novo # ip link set eth0 mtu 9000

Velho # ifconfig eth0:0 10.0.2.25
 Novo # ip addr add 10.0.2.25/24 dev eth0

Velho # netstat -g
 Novo # ip maddr

Velho # route
 Novo # ip r

Velho # route add -net 10.0.2.0 netmask 255.255.255.0 dev eth0
 Novo # ip route add 10.0.2.0/24 dev eth0

Velho # route add default gw 10.0.2.254
 Novo # ip route add default via 10.0.2.254

Velho # arp -a
 Novo # ip neigh

Velho # arp -v
 Novo # ip -s neigh

Velho # arp -s 10.0.2.33 01:02:03:04:05:06
 Novo # ip neigh add 10.0.3.33 lladdr 01:02:03:04:05:06 dev eth0

Velho # arp -i eth0 -d 10.0.2.254
 Novo # ip neigh del 10.0.2.254 dev eth0

Velho # netstat
 Novo # ss

Velho # netstat -tulpn
 Novo # ss -tulpn

Velho # netstat -neopa
 Novo # ss -neopa

Espero ter colaborado com uma pequena parcela em seu conhecimento! Desculpa o português e as palavras faltando letras, é difícil conseguir tempo para vir aqui escrever e revisar, então abro meu “bloco de notas” e vou escrevendo…

Curtiu o conteúdo? Quer me ajudar manter o blog?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Configurando interface de rede no Debian 10/11/12/13 apareceu primeiro em Remontti.

Que tal nunca mais ver logs com datas e horas erradas?!

Esse é um tutorial bem simples, mas que ainda vejo muitas pessoas sofrer para implementarem um servido de horas (NTP) em sua rede.

Está instalação será feira no Debian 10, mas não vejo necessidade de você criar um Servidor/VM só para esta finalidade, o pacote ntp usa praticamente nada de recursos de hardware, então você pode instalar em um de seu servidores, o importante aqui é FECHAR A PORTA UDP 123 para o mundo, vou ensinar isso também criando um firewall bem simples com nftables.

Mão na massa!

NTP

# apt install ntp

# sntp --version
sntp 4.2.8p12@1.3728-o (1)

Vamos dar uma olhada com quais servidores o mesmo está sincronizando:

# ntpq -p

Ira listar algo como:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 0.debian.pool.n .POOL.          16 p    -   64    0    0.000    0.000   0.000
 1.debian.pool.n .POOL.          16 p    -   64    0    0.000    0.000   0.000
 2.debian.pool.n .POOL.          16 p    -   64    0    0.000    0.000   0.000
 3.debian.pool.n .POOL.          16 p    -   64    0    0.000    0.000   0.000
-ntp9.kashra-ser 192.168.100.15   2 u    5   64    1  205.880   -7.287   1.474
+y.ns.gin.ntt.ne 249.224.99.213   2 u    6   64    1  135.825   -0.532   2.092
-ec2-3-121-254-2 192.53.103.108   2 u    8   64    1  239.185   -3.357   1.845
 li290-38.member 209.180.247.49   2 u    9   64    1  162.385    4.319   2.840
-ntp5.flashdance 194.58.202.20    2 u    4   64    1  235.258    3.704   0.929
-main13.ip-conne 118.188.39.164   2 u   10   64    1  255.868   -6.108   3.203
+ntp1.hetzner.de 124.216.164.14   2 u   12   64    1  215.892   -0.202   2.642
-2001:440:1880:5 .PPS.            1 u   14   64    1  246.402    2.843   1.336
#shackleton.red. 147.156.1.135    2 u   22   64    1  236.816   11.631   1.291
-ntp.exact-time. .GPS.            1 u   23   64    1  240.908   -1.950   1.239
#ip.tcp.lv       194.100.2.194    2 u   27   64    1  274.910   20.462   1.673
#2606:6680:8:1:: 107.46.198.112   2 u   26   64    1  147.792    8.065   9.809
*mail.agrogradv. 118.188.39.164   2 u   27   64    1  243.763   -0.331   1.383
#dns1.campus-rv. 31.28.161.68     2 u   26   64    1  240.321    3.779   0.878
#ntp18.kashra-se 192.168.100.15   2 u   26   64    1  228.172  -15.113   0.715
+main.hosting-sk 192.53.103.108   2 u   27   64    1  212.732   -0.447   0.990

Você conhece o ntp.br ?
O projeto NTP.br tem por objetivo oferecer condições para que os servidores Internet no Brasil estejam sincronizados com a Horal Legal Brasileira. Para isso foi firmado um acordo entre o Observatório Nacional (ON) e o NIC.br.

Iremos ajustar nossas configurações para usar o ntp.br. Você pode incluir outros servidores NTPs dependendo de seu país se desejar. Irei criar um arquivo novo.

# mv /etc/ntp.conf /etc/ntp.conf.orig
# vim /etc/ntp.conf

driftfile /var/lib/ntp/ntp.drift

# Definição de segundos bissextos fornecida por tzdata
leapfile /usr/share/zoneinfo/leap-seconds.list

# Ative-o se quiser que as estatísticas sejam registradas.
statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

# Informe os servidores para sincronizar a hora
server a.st1.ntp.br iburst
server b.st1.ntp.br iburst
server c.st1.ntp.br iburst
server d.st1.ntp.br iburst
server gps.ntp.br iburst
server a.ntp.br iburst
server b.ntp.br iburst
server c.ntp.br iburst

# Configuração de controle de acesso; consulte /usr/share/doc/ntp-doc/html/accopt.html para
# detalhes. A página da web <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# também pode ser útil.
#
# Observe que "restrict" se aplica a servidores e clientes, portanto, uma configuração
# que pode ter como objetivo bloquear solicitações de certos clientes também pode terminar
# bloqueando respostas de seus próprios servidores upstream.
restrict -4 default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited
restrict source notrap nomodify noquery
restrict 127.0.0.1
restrict ::1

# Se desejar deixar a porta 123 UDP sendo ouvida apenas por alguma interface segue ex. comentado.
#interface ignore wildcard
#interface listen 127.0.0.1
#interface listen ::1
#interface listen 192.168.171.2
#interface listen 2001:db8:bebe:cafe::2

Crie o arquivo ntp.drift e reinicie o serviço ntp

# touch /var/lib/ntp/ntp.drift
# systemctl restart ntp

Verifique novamente

# ntpq -p

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
+a.st1.ntp.br    .ONBR.           1 u   23   64    3   22.847    1.804   2.047
 b.st1.ntp.br    .INIT.          16 u    -   64    0    0.000    0.000   0.000
-c.st1.ntp.br    .ONBR.           1 u   20   64    3   25.247    3.287   1.720
-d.st1.ntp.br    .ONBR.           1 u   18   64    3   28.425    1.562   7.737
*gps.jd.ntp.br   .GPS.            1 u   23   64    3   20.985    0.912   2.678
+a.ntp.br        200.160.7.186    2 u   23   64    3   21.051    0.859   2.229
-b.ntp.br        200.160.7.186    2 u   22   64    3  169.422  -49.325   2.108
-c.ntp.br        200.160.7.186    2 u   20   64    3  129.587   50.390   1.710

Você pode consultar se a porta foi aberta:

# ss -tulpn | grep :123

udp   UNCONN 0      0                  200.200.200.40:123          0.0.0.0:*     users:(("ntpd",pid=26866,fd=17))                                               
udp   UNCONN 0      0                       127.0.0.1:123          0.0.0.0:*     users:(("ntpd",pid=26866,fd=16))                                               
udp   UNCONN 0      0        [2001:db8:bebe:cafe::aa]:123             [::]:*     users:(("ntpd",pid=26866,fd=19))                                               
udp   UNCONN 0      0                           [::1]:123             [::]:*     users:(("ntpd",pid=26866,fd=18)) 

Consulte também as informações

# ntpq -c sysinfo

associd=0 status=0614 leap_none, sync_ntp, 1 event, freq_mode,
system peer:        a.st1.ntp.br:123
system peer mode:   client
leap indicator:     00
stratum:            2
log2 precision:     -23
root delay:         17.453
root dispersion:    5.114
reference ID:       200.160.7.186
reference time:     e4513036.6d7962c1  Thu, May 20 2021 16:00:06.427
system jitter:      0.406513
clock jitter:       2.205
clock wander:       0.000
broadcast delay:    -50.000
symm. auth. delay:  0.000

Para ver a hora use o comando

# date
sex mai 21 18:41:04 -03 2021

Caso sua instalação tenha o Time Zone (UTC) errado use o comando para ajustar de acordo com sua região

# dpkg-reconfigure tzdata

NFTABLES

Agora precisamos fechar essa porta urgente, caso contrário irai receber aquele lindo e famoso email do nic.br Para isso vamos usar o nftables. Faça a instalação do mesmo e habilite-o para iniciar com o sistema.

# apt install nftables
# systemctl enable nftables

Cri o arquivo, perceba que ele é bem intuitivo, temos uma lista chama acesso-ntp4/acesso-ntp6 onde iremos informar todos os IPs que podem solicitar informação de hora. (IP de sua rede!)

# vim /etc/nftables.conf

#!/usr/sbin/nft -f
  
flush ruleset

table inet filter {

    # Permite os ips da sua rede
    set acesso-ntp-local-v4 {
        type ipv4_addr
        flags interval
        elements = { 127.0.0.1, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 100.64.0.0/10, 200.200.200.0/22 }
    }
    set acesso-ntp-local-v6 {
        type ipv6_addr
        flags interval
        elements = { ::1,  2804:ff4:bebe::/48 }
    }

    # Permite que os servidores do ntp.br falem com seu servidor!
    set acesso-ntp-br-v4 {
        type ipv4_addr
        flags interval
        elements = { 200.160.7.186, 201.49.148.135, 200.186.125.195, 200.20.186.76, 200.160.7.197, 200.160.0.8, 200.189.40.8, 200.192.232.8 }
    }
    set acesso-ntp-br-v6 {
        type ipv6_addr
        flags interval
        elements = { 2001:12f8:b:1::8, 2001:12ff:0:7::186, 2001:12ff:0:7::197, 2001:12f8:9:1::8, 2001:12ff::8 }
    }

    chain input {
        type filter hook input priority 0;

        # NTP
        ip saddr  @acesso-ntp-local-v4 udp dport 123 counter accept
        ip6 saddr @acesso-ntp-local-v6 udp dport 123 counter accept
        ip saddr  @acesso-ntp-br-v4 udp dport 123 counter ct state related,established accept
        ip6 saddr @acesso-ntp-br-v6 udp dport 123 counter ct state related,established accept
        udp dport 123 counter drop

        type filter hook input priority 0;
    }
    chain forward {
        type filter hook forward priority 0;
    }
    chain output {
        type filter hook output priority 0;
    }
}

Reinicie o nftables em seguida verifique se as regras foram carregadas:

# systemctl restart nftables
# nft list ruleset 

Configurando os NTP clientes

Alguns exemplo, onde 10.20.30.1 seria o IP do nosso servidor NTP (contribuição #MAFIADOPING):

Linux (deb)

# apt install ntpdate
# ntpdate 10.20.30.1

Mikrotik

Fonte

/system clock
set time-zone-autodetect=no time-zone-name=America/Sao_Paulo
/system ntp client
set enabled=yes primary-ntp=10.20.30.1

Huawei NE

Fonte

<NE8000-root> system-view
[~NE8000-root] ntp-service refclock-master 2

[*NE8000-root] ntp-service unicast-server 10.20.30.1

[*NE8000-root] display ntp status
 clock status: synchronized
 clock stratum: 2
 reference clock ID: LOCAL(0) 
 nominal frequency: 100.0000 Hz
 actual frequency: 100.0000 Hz
 clock precision: 2^17
 clock offset: 0.0000 ms
 root delay: 0.00 ms
 root dispersion: 0.00 ms
 peer dispersion: 10.00 ms
 reference time: 18:50:19.981 UTC May 22 2021
 synchronization state: clock set

[*NE8000-root] clock timezone 1 minus 03:00:00

[*NE8000-root] commit

[~NE8000-root] display clock
2021-05-22 15:56:18-03:00
Saturday
Time Zone(1) : UTC-03:00

Juniper

Fonte

user@host# set system ntp boot-server 10.20.30.1
user@host# set system ntp server 10.20.30.1
user@host# set time-zone America/Sao_Paulo
user@host# show ntp status
user@host# show ntp associations

Cisco

Fonte

Router(config)# ntp server 10.20.30.1
Router(config-if)# show ntp associations 
switch(config)#clock timezone EST -3
Router# show ntp status
Router# show clock

VyOS

Fonte

# set system ntp server 10.20.30.1
# set system time-zone America/Sao_Paulo

Ubiquiti

Praticamente todos é só buscar o campo:

Gostou? Quer me ajudar?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

O post NTP Server – Mantenha a hora certa em sua rede! apareceu primeiro em Remontti.

Para iniciar um script na inicialização, um arquivo de serviço deve ser criado no systemd.

Vou pegar como base o script de firewall que publiquei (Modelo simples e funcional de Firewall com iptables)

Vamos criar um arquivo de serviço para o nosso programa firewall. Crie como root um arquivo chamado rr-firewall.service no diretório /lib/systemd/system.

# vim /lib/systemd/system/rr-firewall.service

[Unit]
Description=Firewall

[Service]
Type=simple
RemainAfterExit=yes
ExecStart=/etc/init.d/rr-firewall start
ExecStop=/etc/init.d/rr-firewall stop
ExecReload=/etc/init.d/rr-firewall restart

[Install]
WantedBy=multi-user.target

Recarregue a nova definição do serviço:

# systemctl daemon-reload

Ative o novo serviço, e verifique se o mesmo foi ativado

# systemctl enable rr-firewall
# systemctl list-unit-files | grep rr-firewall

Reinicie seu servidor e verifique se seu firewall foi carregado na inicialização.

# reboot 

Após reboot, verifique se as regras de firewall foram carregadas

# /etc/init.d/rr-firewall status

Veja q nosso script de firewall foi carregado!

Você pode utilizar tabén os comandos:

# systemctl start rr-firewall
# systemctl stop rr-firewall
# systemctl restart rr-firewall
# systemctl status rr-firewall

Agora é so usar a criatividade

Dica de uma boa leitura sobre Systemctl:
How To Use Systemctl to Manage Systemd Services and Units

O post Como usar o systemd para iniciar seu script/Aplicação no Debian apareceu primeiro em Remontti.

O que é?
No-IP pega o seu endereço IP dinâmico e aponta para um nome de host estático ou subdomínio. Com o nosso Cliente de Atualização Dinâmica Gratuito instalado no local, o No-IP verifica por mudanças no endereço IP regularmente. Quando o seu endereço IP muda, nós atualizamos o seu nome de host com o endereço IP correto. Sem a necessidade de inatividade.

Primeiramente acesse o https://www.noip.com para fazer seu cadastro.

Inscrever-se

Crie Sua Conta No-IP

Depois de criar a conta acesse o sua conta https://my.noip.com

Create Hostname

De um nome para seu host e escolha um domínio para o mesmo, selecione tipo de Registro DNS Host (A) e clique em Create Hostname

Nome de Host + Domínio

Cadastro feito, host+dominio criado vamos ao nosso servidor.

# cd /tmp/
# wget https://www.noip.com/client/linux/noip-duc-linux.tar.gz
# tar xf noip-duc-linux.tar.gz
# cd noip-2*
# make install

Informe seus dados:

Please enter the login/email string for no-ip.com seuemail@gmail.com
Please enter the password for user ‘seuemail@gmail.com’ **********

Only one host [remontti.ddns.net] is registered to this account.
It will be used.
Please enter an update interval:[30] 15
Do you wish to run something at successful update?[N] (y/N) N

# noip2

o Debian 9 o arquivo rc.local usado para adicionar comandos na inicialização está desativado por padrão. Vamos precisar cria-lo.

# vim /etc/rc.local

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

# Carrega No-IP
/usr/local/bin/noip2

exit 0

# chmod +x /etc/rc.local

# reboot

No meu caso ip do meu servidor é válido, é bem provável que vocês esteja usando no-ip devido a um NAT, mas queria apenas demonstrar que eles se atualizou ao painel do sistema com o IP.

Prontinho, agora você pode acessar seu servidor com um nome.

Exemplo no meu servidor tem o apache rodando ao remontti.ddns.net

remontti.ddns.net

O post Instalação do No-IP no Debian apareceu primeiro em Remontti.

A ideia deste tutorial é criar um cenário mais legal que um simples “xampp/easyphp”, e sim criar nosso próprio “servidor de hospedagem” onde vamos criar domínios virtuais quais poderemos acessá-los para fazer simulações em cima de ambientes mais reais.

Para crianção da maquina virtual no VirtualBox e a Instalação do Debian siga os tutoriais abaixo.

Criando uma máquina virtual no Virtual Box

Na instalação, na parte da configuração não é necessário fixar um IP, pode recebe-lo automaticamente via DHCP, assim se você sair da sua rede pode levar a experiência para outras redes, porém será necessário alterar o endereço IP nas configurações do bind cada vez que seu servidor receber um novo IP, falarei disso nas configurações do BIND (é apenas um arquivo nada d+).

Instalação do Debian 8 Jessie Limpa passo-a-passo

Após instalação do Debina, instalaremos o SSH para acessamos remotamente via Terminal ou com Putty (Windows). Vou ainda instalar o editor vim, que é meu preferido, mas você pode usar nano, pico entre outros.

# apt install ssh vim

Lembre-se que no processo da criação da maquina virtual nossa placa de rede ficou em modo bridge, ou seja isso faz com que a comunicação existente em sua rede seja de ponto-a-ponto entre todos que nela estão conectados.

Sempre que iniciar sua máquina virtual será necessário verificar qual IP recebeu.

# ifconfig 

No meu caso minha maquina está com o IP 10.0.0.109. Agora vamos acessar nosso servidor por SSH, se você já utiliza linux abra em seu terminal e digite $ ssh seuusuario@ip-do-seu-servidor ou abra o Putty e informe o IP do seu servidor.
Entre com sua senha, e após vire administrador (root) com o comando #su

Tem duas coisar que sempre faço após instalar um debian, faça se desejar.
A primeira é colorir o bash.

# vim /root/.bashrc

Descomente

export LS_OPTIONS='--color=auto'
eval "`dircolors`"
alias ls='ls $LS_OPTIONS'
alias ll='ls $LS_OPTIONS -l'
alias l='ls $LS_OPTIONS -lha'

Insira ao final:

PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u\[\033[00m\]@\[\033[01;36m\]\h\[\033[00m\]:\[\033[01;37m\]\w\[\033[01;32m\]\$\[\033[00m\] '

Deslogue do root (# exit), e logue novamente (# su)
Pronto nosso bash está com “mais vida”

Você encontra mais detalhes em: Colorindo seu Bash

A segunda é melhorar o autocomplete:
Bash com autocomplete “turbinado” no Debian

Precisamos instalar nosso servidor web, para isso siga o tutorial abaixo.

Passo-a-passo como criar um servidor web Apache2, PHP5, MySQL, PHPMyAdmin “LAMP” no Debian 8

Agora vem a parte legal!! Configurar nosso servidor para resolver nomes (Sevidor DNS) e nele configurar alguns domínios “fake” quais poderemos acessar.

Vale lembrar que você não deve fazer isso em uma máquina com IP válido, caso fizer isso vai estar deixando consultas recursivas aberta para o mundo “escravizar-lo”, não vou entrar em detalhes das configurações avançadas do bind, o intuito aqui é ensinar pessoas a ter um cenário para programação web, em um ambiente local. Se deseja saber como configurar um servidor DNS acesse: Servidor DNS Recursivo, Autoritativo e Reverso com Bind9 (IPv4+IPv6).

No exemplo vou inventar dois domínios fake:
dominio1.com.br
dominio2.com.br

Instalaremos o BIND

# apt install bind9

Altere o DNS do seus servidor para ele mesmo

# echo 'nameserver 127.0.0.1' > /etc/resolv.conf

Para prevenir que o DHCP não mude novamente seu DNS vamos alterar um configuração no arquivo de configuração do DHCP Cliente. Assim sempre vamos receber o 127.0.0.1

# sed -i "s/#prepend domain-name-servers/prepend domain-name-servers/g" /etc/dhcp/dhclient.conf

Se quiser garantia que irá receber o 127.0.0.1 de um reboot em sua VM, e após reiniciar de um cat /etc/resolv.conf e veja se nameserver 127.0.0.1 se encontra no arquivo.

# reboot

Vamos criar nossa zona fake, que fará com que todos os domínios que adicionaremos nela o servidor faça responder que o domínios é o seu próprio servidor.

# echo 'include "/etc/bind/fakes.zone";' >> /etc/bind/named.conf.local

# echo 'zone "web.local" IN { type master; file "/etc/bind/db.web.local"; };' >> /etc/bind/named.conf.local

# vim /etc/bind/db.web.local 

Lembrando que 10.0.0.109 é o IP que estou recebendo via DHCP, SEMPRE que sua interface receber um novo IP será necessário altera-lo, e restartar o serviço bind9.

$ORIGIN .
$TTL 86400
web.local         IN SOA  ns1.web.local. ns2.web.local. (
                        2017021901 ; serial
                        28800      ; refresh (8 hours)
                        1800       ; retry (30 minutes)
                        2419200    ; expire (4 weeks)
                        10800      ; minimum (3 hours)
                        )
                        NS web.local
                        A 10.0.0.109

Vou ensinar como fazer script (shell script) que fará com que sempre fique o IP recebido via DHCP.
Insira no final do arquivo /etc/rc.local as linhas abaixo, o rc.local é carregado na inicialização.

# vim /etc/rc.local

Insira antes de exit 0

pegaip=$(ifconfig eth0 | grep "inet end" | awk '{print $3}')
sed -i "s/ A .*/ A $pegaip/g" /etc/bind/db.web.local
/etc/init.d/bind9  restart

Criaremos nosso arquivo fakes.zone quais adicionaremos os domínios fake.

# vim /etc/bind/fakes.zone

zone "fakes.zone" {
        type master;
        file "/etc/bind/db.fakes.zone";
        allow-query {none;};
};

# vim /etc/bind/db.fakes.zone

$TTL 1H
@       IN      SOA LOCALHOST. NS.LOCALHOST (
                        2017021900      ; Serial  
                        1h              ; Refresh
                        15m             ; Retry
                        30d             ; Expire 
                        2h              ; Negative Cache TTL
                )
                NS  LOCALHOST.

*.dominio1.com.br       IN CNAME .
dominio1.com.br         IN CNAME .

*.dominio2.com.br       IN CNAME .
dominio2.com.br         IN CNAME .

# vim /etc/bind/named.conf.options

Insira no arquivo antes de fechar a chave options.

response-policy {
	zone "fakes.zone" policy CNAME web.local;
};

Ficando assim:

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0 s placeholder.

        // forwarders {
        //      0.0.0.0;
        // };


        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };

        response-policy {
                zone "fakes.zone" policy CNAME web.local;
        };
};

Restarte o bind toda vez que fizer alguma alteração (ex adicionar um novo domínio)

# /etc/init.d/bind9  restart

Ping para seus domínios e veja se responde o IP do seu servidor.

Altere os DNS de seu computador para o IP do seu servidor “no meu caso 10.0.0.109”. Seu computador vai fazer as consultas DNS em seu servidor, qual responde como autoritativo pelos domínios fakes. Agora Acesse seus domínios em seu navegador.

Recebemos a tela padrão, que esta é o arquivo que está em /var/www/html/index.html
Como padrão então já sabemos que o diretório padrão do apaches (www-data) é /var/www/html/. Bom precisamos fazer nosso apache interpretar que cada site fique em um diretório diferente. Então vamos criar esses diretórios.

# mkdir -p /var/www/dom_fakes/dominio1.com.br
# mkdir /var/www/dom_fakes/dominio2.com.br

Agora criamos nossos 2 arquivos de configurações em /etc/apache2/sites-enabled/ para cada domínio.

dominio1.com.br

# vim /etc/apache2/sites-enabled/dominio1.com.br.conf

<VirtualHost *:80>
	ServerName dominio1.com.br
	ServerAlias www.dominio1.com.br

        ServerAdmin seu@email.com.br
        DocumentRoot /var/www/dom_fakes/dominio1.com.br
	<Directory /var/www/dom_fakes/dominio1.com.br/>
    		Options Indexes FollowSymLinks
    		AllowOverride All
	</Directory>

	LogLevel warn

        ErrorLog ${APACHE_LOG_DIR}/dominio1.com.br_error.log
        CustomLog ${APACHE_LOG_DIR}/dominio1.com.br_access.log combined

</VirtualHost>

dominio2.com.br

# vim /etc/apache2/sites-enabled/dominio2.com.br.conf

<VirtualHost *:80>
	ServerName dominio2.com.br
	ServerAlias www.dominio2.com.br
        ServerAdmin seu@email.com.br
        DocumentRoot /var/www/dom_fakes/dominio2.com.br

	<Directory /var/www/dom_fakes/dominio2.com.br/>
    		Options Indexes FollowSymLinks
    		AllowOverride All
	</Directory>

	LogLevel warn

        ErrorLog ${APACHE_LOG_DIR}/dominio2.com.br_error.log
        CustomLog ${APACHE_LOG_DIR}/dominio2.com.br_access.log combined

</VirtualHost>

Criamos um arquivo em cada diretório para que possamos visualizar que estamos acessando o domínio corretamente.

# echo > /var/www/dom_fakes/dominio1.com.br/d1.html
# echo > /var/www/dom_fakes/dominio2.com.br/d2.html

Agora restart o apache.

# /etc/init.d/apache2 restart

Bingo!

Vamos remover o /var/www/html/index.html e criar um link dos domínios fakes em /var/www/html/ assim quando você não quiser trocar o IP para resolver nomes, você pode acessar o http://IP/dominiofake….

# rm /var/www/html/index.html 
# ln -s /var/www/dom_fakes/ /var/www/html/

Para enviarmos os arquivos podemos usar um cliente SFTP como o FileZilla, Winscp entre outros. Mas para logar no nosso cliente SFTP vamos ter que fazer alguns ajustes no usuário www-data (usuário do apache), primeiramente ele não vem com permissão para logar, vale lembrar que eu não recomendo faze isso em servidores convencionais, este é um ambiente de “local” para estudos…

# usermod -s /bin/bash www-data

Sete uma senha para o usuário www-data com o comando. (Vamos usar ela para logar posteriormente no FileZilla)

# passwd www-data

Altere as permissões do diretório/subdir em /var/www para seu usuário www-data

# chown  www-data. /var/www/ -R

Agora basta você conectar-se para enviar os arquivos: (ex. FileZilla)

Se você deseja arriscar e elevar o nível e criar um servidor FTP você pode seguir o tutorial: Servidor FTP com usuários no banco de dados MySQL

Como está criando um ambiente para programar é interessante receber os erros do PHP, então edite as configurações do php.ini ele fica em /etc/php5/apache2/php.ini
Procure por display_errors e altere para On

display_errors = On

O padrão para upload de arquivos no PHP é de 2M. Você este valor procurando por upload_max_filesize e colocando o valor que achar melhor.

upload_max_filesize = 20M

A cada alteração feita no php.ini deve ser restartado o apache.

# /etc/init.d/apache2 restart

Se precisar ver os logs você encontra em /var/log/apache2/. Se você reparar vai ver que la na configuração do domínio no apache temos o valor [ErrorLog ${APACHE_LOG_DIR}/dominio2.com.br_error.log].
Ex de comando para visualizar:

# tail -f /var/log/apache2/dominio1.com.br_error.log 

Agora cada vez que deseja criar um domínio fake:
1 – Crie um arquivo/etc/apache2/sites-enabled/dominiofake.com.conf (sempre terminando em .conf)

Conforme modelos acima.

2 – Insira no /etc/bind/db.fakes.zone seu dominofake.com

*.dominiofake.com       IN CNAME .
dominiofake.com         IN CNAME .

3 – Restart o apcache e o Bind

/etc/init.d/bind9  restart
/etc/init.d/apache2 restart

Você pode criar também um usuário MySQL para cada aplicação sua, para separar as bases de dados, segue um ex. onde criamos a base de dados dominio1 com o usuario dominio1 e SENHA:

# mysql -u root -p

Você pode usar o phpmyadmin também.

CREATE DATABASE dominio1;
GRANT ALL PRIVILEGES ON dominio1.* TO 'dominio1'@'localhost' IDENTIFIED BY 'SUA-SENHA-DOM1';
FLUSH PRIVILEGES;
quit;

Pensando em facilitar sua vida, vou criar dois shell script. Uma para adicionar um domínio com apenas um comando, e outro para remover.

vim /bin/adddominio

#!/bin/bash

DOMINIO=$1

if [ -z $DOMINIO ];then
        echo
        echo "Comando imcompleto!"
        echo " Use ex.: adddominio dominio.tld"
        echo
else
        EXITE=`ls -lh /etc/apache2/sites-enabled/ |grep ${DOMINIO} |wc -l`
        echo
        if [ $EXITE = 1 ]; then
                        printf "\033[1;31m ${DOMINIO} \033[0m já cadastrado! \n"
        else

                mkdir /var/www/dom_fakes/${DOMINIO}

                cat <<< "
                <VirtualHost *:80>
                        ServerName ${DOMINIO}
                        ServerAlias www.${DOMINIO}

                        ServerAdmin seu@email.com.br
                        DocumentRoot /var/www/dom_fakes/${DOMINIO}
                        <Directory /var/www/dom_fakes/${DOMINIO}/>
                                Options Indexes FollowSymLinks
                                AllowOverride All
                        </Directory>

                        LogLevel warn

                        ErrorLog ${APACHE_LOG_DIR}/${DOMINIO}_error.log
                        CustomLog ${APACHE_LOG_DIR}/${DOMINIO}_access.log combined
                </VirtualHost>
                " > /etc/apache2/sites-enabled/${DOMINIO}.conf

                echo "*.${DOMINIO}       IN CNAME ." >> /etc/bind/db.fakes.zone
                echo "${DOMINIO}         IN CNAME ." >> /etc/bind/db.fakes.zone

                chown  www-data. /var/www/dom_fakes/${DOMINIO}

                /etc/init.d/bind9 restart
                /etc/init.d/apache2 restart

                echo

                printf "\033[1;32m$DOMINIO \033[0m configurado com sucesso! \n"
        fi
        echo
fi

vim /bin/deldominio

#!/bin/bash

DOMINIO=$1

if [ -z $DOMINIO ];then
        echo
        echo "Comando imcompleto!"
        echo " Use ex.: deldominio dominio.tld"
        echo
else
        EXITE=`ls -lh /etc/apache2/sites-enabled/ |grep ${DOMINIO} |wc -l`
        echo
        if [ $EXITE = 0 ]; then
                        printf "\033[1;31m ${DOMINIO} \033[0m não encontrado! \n"
        else
                rm -rf /var/www/dom_fakes/${DOMINIO}

                rm -f /etc/apache2/sites-enabled/${DOMINIO}.conf

                sed -i "/${DOMINIO}/d" /etc/bind/db.fakes.zone

                /etc/init.d/bind9 restart
                /etc/init.d/apache2 restart
                echo
                printf "\033[1;32m$DOMINIO \033[0m removido com sucesso! \n"
        fi
        echo
fi

Altere as permissões.

# chmod +x /bin/adddominio
# chmod +x /bin/deldominio

Pronto agora bastar você usar o comando adddominio para adicionar todas as configurações automaticamente e deldominio para remove-las.
Adicionando:

adddominio dominio3.com

Removendo:

deldominio dominio3.com

Parabéns! Você montou um servidor próprio!

Agora se você quer dar uma de preguiçoso vou deixar aqui o link para você importar a VM em seu virtual box.
Dev Web Server.ova 765MB (64bits)
Abra seu Virtual Box vá em: Arquivo –> Importar Amppliance e selecione o arquivo.

Usuários / Senhas
SSH:
webdev / remontti
root / remontti
www-data / remontti (SFTP)

MySQL
root / remontti
phpmyadmin / remontti

Se gostou, ficou com dúvida deixe seu comentário.

Abraço!

O post Criando uma maquina virtual com linux (Debian) para Desenvolvedores Web (LDAMPS) apareceu primeiro em Remontti.

Antes de começar é necessário fazer o tutorial onde explico como ter um Cliente Telegram!

Agora que você já terminou o tutorial vamos lá!

Primeiramente vamos deixar de dono do /opt/telegram nosso usuário zabbix.

# chown zabbix. -R /opt/telegram

Vamos informar nosso diretório /opt/telegram para nosso servidor zabbix.

# vim /etc/zabbix/zabbix_server.conf

Procure por AlertScriptsPath

Comente:

#AlertScriptsPath=/usr/lib/zabbix/alertscripts

Adicione:

AlertScriptsPath=/opt/telegram

Salve o arquivo e restarte o servidor zabbix.

# /etc/init.d/zabbix-server restart

Agora vamos a interface web do Zabbix:

Menu:
Administração -> Tipos de mídia

Na lateral direita, clique no botão [Criar tipo de mídia] e preencha conforme a imagem.
Nome: Telegram
Tipo: Script
Nome script: telegram-cmd
Parâmetros do script (Adicione 2)
{ALERT.SENDTO}
{ALERT.SUBJECT}

Menu:
Administração -> Usuários
Edite um de seus usuários (no meu caso sera o Admin) e clique na aba Mídia

Clique em Adicionar, uma nova janela se abrirá conforme imagem a baixo:

Tipo: Telgram
Enviar para: user#201149282 OU chat#123456789
Escolha quando ele estará funcionando: 1-7,00:00-24:00 (Sempre)
Maquer as classificações de alertas que queira receber e e marque p box Ativo.

Agora Atualize seu usuário

Menu:
Configurações -> Ações
Clique no botão do lado direito Criar ação

Nome: Relatar um problema
Assunto padrão:

[{TRIGGER.STATUS}] • {HOST.NAME} • {TRIGGER.NAME} = {ITEM.NAME1} {ITEM.VALUE1}

Mensagem padrão:

Trigger: {TRIGGER.NAME}
Status: {TRIGGER.STATUS}
Severidade: {TRIGGER.SEVERITY}

Item values:
1. {ITEM.NAME1} ({HOST.NAME1}:{ITEM.KEY1}): {ITEM.VALUE1}

ID: {EVENT.ID}

Agora na aba Condições vamos adicionar também a condição de OK, assim receberemos uma alerta de quando o problema foi resolvido.
Para isso va em:
Nova condição e selecione Valor da trigger = OK e clique em Adiconar

Agora na aba Operações vamos criar uma nova Operações da ação
Clique em nova:
Em -> Enviar para usuários: Adicione o usuário que você c configurou a mídia.
Em -> Enviar apenas para: Selecione Telegram
Agora clique no botão Adicionar (O botão texto. o Adicionar da Operações)

Agora sim clique no botão Adicionar

Pronto! Agora para testar você pode criar um host, um IP da sua rede e depois alterar para algum endereço IP que não responda.

Gostou? Deixe seu comentário ficarei feliz em saber que lhe ajudei, e se tiver qualquer pergunta deixe-a também, se preferir acesse o menu Contato lá você encontra meios de falar comigo!

Valeu!

O post Zabbix 3.0.x com notificações via Telegram apareceu primeiro em Remontti.

Distribuição: Debian 8 (Jessie)

Primeiramente instale o bash-completion

# apt install bash-completion

Agora vamos editar o /etc/bash.bashrc estou usando o editor vim, use seu favorito.

# vim /etc/bash.bashrc 

Procure pelas linhas

#if ! shopt -oq posix; then
#  if [ -f /usr/share/bash-completion/bash_completion ]; then
#    . /usr/share/bash-completion/bash_completion
#  elif [ -f /etc/bash_completion ]; then
#    . /etc/bash_completion
#  fi
#fi

E descomente-as (remova o # do inicio da linha) deixando

if ! shopt -oq posix; then
  if [ -f /usr/share/bash-completion/bash_completion ]; then
    . /usr/share/bash-completion/bash_completion
  elif [ -f /etc/bash_completion ]; then
    . /etc/bash_completion
  fi
fi

Para ter efeito você precisa deslogar logar novamente.

Agora por exemplo quando você digitar apt-get inst[tab] vai auto completar, bem como o nome do pacote, entre outros comandos como na imagem a baxio:

O post Bash com autocomplete “turbinado” no Debian apareceu primeiro em Remontti.

Requisitos SSH intalado

# apt install ssh

Primeiramente vamos mudar a porta do SSH  de preferencia para uma porta bem alta (são mais difíceis serem escaneadas) e após definir apenas um único usuário para conexão

# vim /etc/ssh/sshd_config

Aletere as seguintes linhas:

# Aqui vai da porta
Port 60321 
# Tempo que o usuario tem para fazer login
LoginGraceTime 10 
# Não permita que o usuário root se conecte
PermitRootLogin prohibit-password 

Adicione a linha:

# Apenas este usuário chamado "seu_usuario" irá conseguir 
# conectar-se via ssh por mais que exita outros usuários que 
# teriam permissões de acessa o bash.
AllowUsers seu_usuario 

Salve e reinicie o serviço:

# /etc/init.d/ssh restart

Pronto!

# ssh usuariodossh@seuip -p 60321

Agora sua porta de conexão SSH é a 60321, e só loga pleo “seu_usuario” terminou? Não!!!

Que tal enganar um pouco!
Vamos criar uma regra de firewall com iptables, caso você já tenha um script de firewall adicione a ele. A regra será um DROP na porta 22 assim vai dar uma falsa impressão que sua porta está protegia quando alguém usar algum scanner, vai passar aquele impressão: “- iii tem firewall na 22, vamos procurar outro….”

Drop falso na porta 22

# iptables -A INPUT -p tcp --dport 22 -j DROP

Se desejar filtrar sua porta de SSH (60321) e deixar apenas IP X ou Y conectarem-se, no meu exemplo deixo apenas os IP 200.1.2.3 e toda a classe 10.0.0.0-10.0.0.255.

# iptables -A INPUT -s 200.1.2.3 -p tcp --dport 60321 -j ACCEPT # IP Especifico 
# iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 60321 -j ACCEPT # Uma Classe
# ip6tables -A INPUT -s 3001:1234::/32 -p tcp --dport 60321 -j ACCEPT # Uma Classe v6
# iptables -A INPUT -p tcp --dport 60321 -j DROP
# ip6tables -A INPUT -p tcp --dport 60321 -j DROP v6

Como dito no momento que seu servidor for scanear seu servidor a porta 22 ira aparecer como filtrada.
Para verificar os filtros

iptables -nL
ip6tables -nL

Mas você ira precisar criar um script e colocar ele para iniciarlizar, e é por isso q eu recomendo você usar o nftables o nftables em vez do iptables, já que provavelmente vamos ver ele próximas distribuições no lugar do iptables. (Mas quis explicar o iptables também)

# apt install nftables
# systemctl enable nftables
# nft list ruleset
# vim /etc/nftables.conf 

#!/usr/sbin/nft -f
  
flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;
                ip saddr 200.1.2.3 tcp dport 60123 counter accept
                ip saddr 10.0.0.0/24 tcp dport 60123 counter accept
                ip6 saddr 3001:1234::/32 tcp dport 60123 counter accept
                tcp dport 60123 counter drop
                tcp dport 22 counter drop
        }
        chain forward {
                type filter hook forward priority 0;
        }
        chain output {
                type filter hook output priority 0;
        }
}

Reinicie o serviço, verifique as regras

# systemctl restart nftables
# nft list ruleset

Instale o nmpa e faça um scanner

# apt install nmap
# nmap localhost

Resultado:

Not shown: 1674 closed ports
PORT STATE SERVICE
22/tcp filtered ssh

Assim já estou “protegido”! Legal!!!
Suficiente? Eu sou mais paranoico, então se desejar prossiga
O que vamos fazer, é meio que redundante como que fizemos no firewall, porém se por alguma “zica” seu firewall não tiver rodando/ou foi quebrado o próximo passo vai salvar! Vamos configurar nos hosts para bloquear o serviço SSH e liberar apenas para seu IP ou classe.

# vim /etc/hosts.allow

Adicione:

sshd: 200.1.2.3 # Ip Especifico
sshd: 10.0.0.0/24 # Uma Classe de IP

# vim /etc/hosts.deny

Adicione:

sshd: ALL

Agora sim né! Humm.. Sei não que tal instalar o fail2ban?

 # apt install fail2ban

Por padrão o modulo de proteção do SSH vem ativo (true) no Debian, no parâmetro maxretry você define o número de tentativas que poderá errar a senha para conexão a partir de um determinado IP.

Para alterar as configurações do fail2ban edite o arquivo /etc/fail2ban/jail.conf

vim /etc/fail2ban/jail.conf

Por padrão os tempos de banimento é de 10m e numero de tentativas é 5

bantime = 10m # Duração para um IP ficar banido
findtime = 10m # Se nenhuma correspondência nos logs é encontrada dentro de X tempo
maxretry = 5 # Tentativas ate o banimento

Adicione também a porta 60123 já que alteramos a mesma

[sshd]
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode   = normal
port    = ssh,60123
logpath = %(sshd_log)s
backend = %(sshd_backend)s

O filtro fica ativo em /etc/fail2ban/jail.d/defaults-debian.conf, você pode incluir maxretry so para ele bem como bantime, personalizando somente o filtro SSH. Ex.:

# vim /etc/fail2ban/jail.d/defaults-debian.conf

[sshd]
enabled = true
maxretry = 2
bantime  = 12h

Estamos 100% seguro? Nada é 100% seguro, mas certamente você levou seu nível de segurança a um nível “hard core”!

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento! (Esse deu trabalho!)

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Abraço!

O post Aumentando o nível de seguraça na conexão SSH apareceu primeiro em Remontti.

Algumas distribuição linux não vem com o bash colorido, as pastas e arquivos não tem cores, para deixar tudo bonitinho basta editar o .bashrc que fica dentro do pasta do usuário /home/usuario/.bashrc ou /root/.bashrc

Se sua distribuição não tem essas linhas então crie o arquivo .bashrc no Debian basta descomentar.

# vim /root/.bashrc

 export LS_OPTIONS='--color=auto'
 eval "`dircolors`"
 alias ls='ls $LS_OPTIONS'
 alias ll='ls $LS_OPTIONS -l'
 alias l='ls $LS_OPTIONS -lA'

# Extra colorindo o ==> root@debian:~# 
PS1='${debian_chroot:+($debian_chroot)}\[\033[01;32m\]\u\[\033[01;34m\]@\[\033[01;31m\]\h\[\033[00m\]:\[\033[01;37m\]\w\[\033[01;32m\]\$\[\033[00m\] '

Só para entender melhor:

\u O nome do usuário atual
\h Nome da máquina
\W Nome do diretório atual
\$ Caractere que diferencia um usuário comum do super-usuário
\t A hora atual no formato de 24 horas hh:mm:ss
\d A data atual no formato “Dia_da_semana Mês Dia”

Você pode personalizar… exemplo abaixo coloca a hora na frente do comando. (\[\033[01;37m\]\t \)

12:24:18 – root@dns:~#

PS1='${debian_chroot:+($debian_chroot)}\[\033[01;37m\]\t \[\033[01;33m\]\u\[\033[01;31m\]@\[\033[01;36m\]\h\[\033[00m\]:\[\033[01;37m\]\w\[\033[01;32m\]\$\[\033[00m\] '

\[\033[Z;YY;XXm\]
Onde Z é o estilo dos caracteres, YY é a cor de fundo e XX a cor dos caracteres.

Estilo dos Caracteres
Normal 0
Bold 1 Dá brilho as cores
Undescore 4
Blink 5 Pisca-pisca
Inverse 7 Inverte cor de fundo
Concealed 8

Abraço!

O post Colorindo seu Bash apareceu primeiro em Remontti.

Distribuição usada: Debian 8, tenha o pacote mrtg já instalado.

Instalando
# apt-get install mrtg-ping-probe

Para usar o mrtg-ping-probe você precisa configurar o MRTG para chamá-lo, isto é feito no arquivo de configuração do MRTG, que é geralmente /etc/mrtg.conf

Adicione o seguinte em seu /etc/mrtg.cfg, onde farei o teste para o host www.google.com.br porém pode ser um IP.

Title[www.google.com.br.latencia]: Latencia www.google.com.br
PageTop[www.google.com.br.latencia]:
MaxBytes[www.google.com.br.latencia]: 200
WithPeak[www.google.com.br.latencia]: ymwd
Options[www.google.com.br.latencia]: gauge,nobanner,transparent
Target[www.google.com.br.latencia]: `mrtg-ping-probe <strong>www.google.com.br</strong>`
YLegend[www.google.com.br.latencia]: ms
ShortLegend[www.google.com.br.latencia]: ms
LegendI[www.google.com.br.latencia]:  Max:
LegendO[www.google.com.br.latencia]:  Min:

Title[www.google.com.br.perda]: Pacotes Perdidos para www.google.com.br
PageTop[www.google.com.br.perda]:
Target[www.google.com.br.perda]: `mrtg-ping-probe -t 42 -p loss/loss <strong>www.google.com.br</strong>`
MaxBytes[www.google.com.br.perda]: 100
#AbsMax[www.google.com.br.perda]: 101
WithPeak[www.google.com.br.perda]: ymwd
Options[www.google.com.br.perda]: gauge,nobanner,transparent
Unscaled[www.google.com.br.perda]: dwmy
YLegend[www.google.com.br.perda]: % Pacotes Perdidos
ShortLegend[www.google.com.br.perda]: %
LegendI[www.google.com.br.perda]:  % perda:
LegendO[www.google.com.br.perda]:  % perda:

O post Gerando gráfico ICMP(ms) MRTG apareceu primeiro em Remontti.

export HISTIGNORE="&:ssh *"

O post Dica de segurança (.bashrc) apareceu primeiro em Remontti.

Debian + (baseadas)

# apt-get install htop

Arch +(baseadas)

# pacman -S htop

Agora para iniciar basta digitar o seguinte comando a partir do seu terminal:

# htop

 
Comandos são suportados:

Arrows, PgUP, PgDn, Home, End ⇒ Percorra a lista de processos.
Espaço ⇒ “Marca”: marca de um processo. Comandos que podem operar para “matar” um processo.
U ⇒ “desmarcar” todos os processos (remover todas as tags adicionadas com a tecla Espaço).
F1, h ⇒ Ajuda
F2, S ⇒ Configuração. Lá você pode configurar metros exibido no topo lado da tela, bem como definir várias opções de tela, escolha entre os esquemas de cores e escolha o layout do exibido colunas.
F3, / ⇒ Processo de pesquisa: digite parte de uma linha de comando do processo
e destaque da seleção será transferida para ele. Enquanto na pesquisa
modo, pressionar esta tecla irá percorrer as ocorrências correspondentes.
F4, I ⇒ Inverter a ordem de classificação
F5, t ⇒ Organize os processos de paternidade, e o layout mostrado como uma árvore.
F7,], – ⇒ Aumentar a prioridade do processo selecionado. Isso pode ser feito apenas para o superusuário.
F8, [+ ⇒ Diminua a prioridade do processo selecionado.
F9, k ⇒ “Matar o processo”: envia um sinal que é selecionado em um menu, para um
ou um grupo de processos. Se os processos foram marcados.
F10, q ⇒ Sair
u ⇒ mostra os processos pertencentes a um usuário especificado.
M ⇒ Ordenar por uso de memória.
P ⇒ Ordenar por uso de processador.
T ⇒ Ordenar por hora.

O post Processos com Htop apareceu primeiro em Remontti.

Vamos lá, primeiro passo instalar o snmpd na máquina a ser monitorada.

Distribuição testada: Debian 8

# apt-get install snmp snmpd

Próximo passo é reconfigurar nosso snmpd.conf

# vim /etc/snmp/snmpd.conf

Primeiramente você dese saber se essas consulta SNMP serão feita apenas local (127.0.0.1) ou externamente:

Caso você deseje fazer as consultas externamente comente a linha abaixo:
#agentAddress udp:127.0.0.1:161
e descomente
agentAddress udp:161,udp6:[::1]:161

Para alterar sua community procure por “rocommunity public  default”  e altere public para o valor desejado.

Reincie o serviço snmpd:
# /etc/init.d/snmpd restart

Verifique se o servidor está rodando:
# netstat -l|grep snmp

# netstat -l|grep snmp
udp        0      0 *:snmp                  *:*                                
udp6       0      0 localhost:snmp          [::]:*

IPv4 # snmpwalk -v1 -c public localhost
IPv6 # snmpwalk -v2c -c public udp6:[::1]

Se retornar algo como abaixo tudo esta ok!

# snmpwalk -v2c -c public udp6:[::1]
iso.3.6.1.2.1.1.1.0 = STRING: "Linux debian 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt25-2+deb8u3 (2016-07-02) x86_64"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.8072.3.2.10
iso.3.6.1.2.1.1.3.0 = Timeticks: (230) 0:00:02.30
iso.3.6.1.2.1.1.4.0 = STRING: "Rudimar Remontti <rudimar[a]remontti.com.br>"
iso.3.6.1.2.1.1.5.0 = STRING: "debian"
iso.3.6.1.2.1.1.6.0 = STRING: "Sitting on the Dock of the Bay"
iso.3.6.1.2.1.1.7.0 = INTEGER: 72
iso.3.6.1.2.1.1.8.0 = Timeticks: (0) 0:00:00.00
iso.3.6.1.2.1.1.9.1.2.1 = OID: iso.3.6.1.6.3.11.3.1.1
iso.3.6.1.2.1.1.9.1.2.2 = OID: iso.3.6.1.6.3.15.2.1.1
iso.3.6.1.2.1.1.9.1.2.3 = OID: iso.3.6.1.6.3.10.3.1.1
iso.3.6.1.2.1.1.9.1.2.4 = OID: iso.3.6.1.6.3.1
iso.3.6.1.2.1.1.9.1.2.5 = OID: iso.3.6.1.2.1.49
iso.3.6.1.2.1.1.9.1.2.6 = OID: iso.3.6.1.2.1.4
iso.3.6.1.2.1.1.9.1.2.7 = OID: iso.3.6.1.2.1.50
iso.3.6.1.2.1.1.9.1.2.8 = OID: iso.3.6.1.6.3.16.2.2.1
iso.3.6.1.2.1.1.9.1.2.9 = OID: iso.3.6.1.6.3.13.3.1.3
iso.3.6.1.2.1.1.9.1.2.10 = OID: iso.3.6.1.2.1.92
iso.3.6.1.2.1.1.9.1.3.1 = STRING: "The MIB for Message Processing and Dispatching."
iso.3.6.1.2.1.1.9.1.3.2 = STRING: "The management information definitions for the SNMP User-based Security Model."
iso.3.6.1.2.1.1.9.1.3.3 = STRING: "The SNMP Management Architecture MIB."
iso.3.6.1.2.1.1.9.1.3.4 = STRING: "The MIB module for SNMPv2 entities"
iso.3.6.1.2.1.1.9.1.3.5 = STRING: "The MIB module for managing TCP implementations"
iso.3.6.1.2.1.1.9.1.3.6 = STRING: "The MIB module for managing IP and ICMP implementations"
iso.3.6.1.2.1.1.9.1.3.7 = STRING: "The MIB module for managing UDP implementations"
iso.3.6.1.2.1.1.9.1.3.8 = STRING: "View-based Access Control Model for SNMP."
iso.3.6.1.2.1.1.9.1.3.9 = STRING: "The MIB modules for managing SNMP Notification, plus filtering."
iso.3.6.1.2.1.1.9.1.3.10 = STRING: "The MIB module for logging SNMP Notifications."
iso.3.6.1.2.1.1.9.1.4.1 = Timeticks: (0) 0:00:00.00
iso.3.6.1.2.1.1.9.1.4.2 = Timeticks: (0) 0:00:00.00
iso.3.6.1.2.1.1.9.1.4.3 = Timeticks: (0) 0:00:00.00
iso.3.6.1.2.1.1.9.1.4.4 = Timeticks: (0) 0:00:00.00
...

ARTIGOS RECOMENDADOS:
Gráfico MRTG + SNMP rapidinho 
Gerando gráfico ICMP(ms) MRTG 

O post Configurando servidor SNMP apareceu primeiro em Remontti.

Com o SNMP configurado, vamos fazer nosso servidor se conectar a outros servidores ou então somente local para coletar as informações e gerar nosso arquivo mrtg.conf, bacana não?
Tenha instalado em seu server, apache2 snmp snmpd mrtg.

# apt-get install apache2 snmp snmpd mrtg

Na tela abaixo responda sim.

Baseado no tutorial [Configurando servidor SNMP] por padrão a view exportada trás apenas informações básicas.  Neste caso vou querer coletar dados da minha interface de rede então vou criar uma community para uma view que irá me exportar todas as informações.

# vim /etc/snmp/snmpd.conf

view all included .1
rocommunity <span style="color: #ff0000;"><strong>publicall</strong></span>  default    -V all

Execute o seguinte comandos:
Crie o diretório qual seu mrtg irá ficar.
# mkdir /var/www/mrtg
Criamos um bkp do arquivo original
# mv /etc/mrtg.cfg  /etc/mrtg.cfg.bkp

Vamos a mágina!

<strong><span style="color: #000080;"># cfgmaker  \
--global 'Options[_]: bits,growright,nobanner' \
--output /etc/mrtg.cfg \</span>
<span style="color: #ff0000;">publicall</span><span style="color: #000080;">@localhost</span>
</strong>

Caso você quer coletar de outros servidor ou roteadores, basta adicionar public@ip public@10.0.0.1 …

Ficou com dúvida sobre, as opções do cfgmaker: http://oss.oetiker.ch/mrtg/doc/cfgmaker.en.html

Bom se tudo estiver certinho não irá retornar:

# cfgmaker  \
> --global 'Options[_]: bits,growright,nobanner' \
> --output /etc/mrtg.cfg \
> publicall@localhost
--base: Get Device Info on publicall@localhost:
--base: Vendor Id: Unknown Vendor - 1.3.6.1.4.1.8072.3.2.10
--base: Populating confcache
--base: Get Interface Info
--base: Walking ifIndex
--snpd:   publicall@localhost: -> 1 -> ifIndex = 1
--snpd:   publicall@localhost: -> 2 -> ifIndex = 2
--base: Walking ifType
--snpd:   publicall@localhost: -> 1 -> ifType = 24
--snpd:   publicall@localhost: -> 2 -> ifType = 6
--base: Walking ifAdminStatus
--snpd:   publicall@localhost: -> 1 -> ifAdminStatus = 1
--snpd:   publicall@localhost: -> 2 -> ifAdminStatus = 1
--base: Walking ifOperStatus
--snpd:   publicall@localhost: -> 1 -> ifOperStatus = 1
--snpd:   publicall@localhost: -> 2 -> ifOperStatus = 1
--base: Walking ifMtu
--snpd:   publicall@localhost: -> 1 -> ifMtu = 65536
--snpd:   publicall@localhost: -> 2 -> ifMtu = 1500
--base: Walking ifSpeed
--snpd:   publicall@localhost: -> 1 -> ifSpeed = 10000000
--snpd:   publicall@localhost: -> 2 -> ifSpeed = 1000000000
--base: Writing /tmp/x.cfg

E um novo arquivo /etc/mrtg.cfg será criado! De uma verificada nele, quem sabe tenha alguns ajustes que você pode querer alterar, ex nomes etc.

Rodamos então o MRTG:
# env LANG=C /usr/bin/mrtg /etc/mrtg.cfg

Se você não possui o diretório /var/www/mrtg irá dar erro!

Será criado um arquivo: /etc/cron.d/mrtg qual irá executar a cada 5 min, caso deseje desativar edite e comente a linha.

*/5 *	* * *	root	if [ -x /usr/bin/mrtg ] && [ -r /etc/mrtg.cfg ] && [ -d "$(grep '^[[:space:]]*[^#]*[[:space:]]*WorkDir' /etc/mrtg.cfg | awk '{ print $NF }')" ]; then mkdir -p /var/log/mrtg ; env LANG=C /usr/bin/mrtg /etc/mrtg.cfg 2>&1 | tee -a /var/log/mrtg/mrtg.log ; fi

Se está pensando em proteger o acesso com senha esse tuto por ser útil para você Protegendo diretórios com Apache.

Qualquer dúvida comente!

ARTIGOS RECOMENDADOS:
Gráfico MRTG + SNMP rapidinho 
Gerando gráfico ICMP(ms) MRTG 

O post Gráfico MRTG + SNMP Autoconfiguração com cfgmaker apareceu primeiro em Remontti.