Arquivos MySQL - Remontti

Instalação FreeRadius no Debian 12 Bookworm (Extra sqlippool)

Rudimar Remontti — Tue, 30 Jan 2024 02:22:57 +0000

Este tutorial é especialmente útil para provedores de serviços que desejam estabelecer seu próprio sistema de autenticação usando o FreeRADIUS. Ele abrange uma ampla gama de autenticação, incluindo PPPoE, hotspot, e autenticação sem fio (PSK/EAP), entre outras opções.

REQUISITOS
1 – Debian 12 Bookworm – Instalação limpa

Acesse seu bash e vire root com o comando su – para evitar comandos “que não existem”, e antes de mais nada tenha seu repositório atualizado.

# su -
# apt update
# apt upgrade

Se o seu sistema Debian acabou de ser instalado e está em sua configuração inicial, aqui está o meu comando secreto que eu uso em todos os servidores após a instalação. Esse comando tem o objetivo de aprimorar a produtividade do shell (bash) no Debian e instalar alguns pacotes essenciais. É basicamente um script que inclui a maior parte das etapas descritas no tutorial: Como melhorar a produtividade no seu Debian após instalação

# apt install wget -y; wget remontti.com.br/debian; bash debian
# su -

O serviço web não é necessário, mas normalmente juntamente do Freeradius acabo instalando um phpmyadmin por exemplo para poder fazer uma administração fácil do banco de dados entre outros. Se desejar pular esta etapa ela é opcional.

Instalação do Serviço Web+PHP

Vamos instalar os pacotes necessários

# apt install apache2 apache2-utils libapache2-mod-php\
  php php-mysql php-cli php-pear php-gmp php-gd php-bcmath\
  php-mbstring php-curl php-xml php-zip -y

Ajuste fino, quiser saber mais clique aqui.

# a2enmod rewrite ; a2enmod headers
# sed -i 's/ServerTokens OS/ServerTokens Prod/' /etc/apache2/conf-available/security.conf
# sed -i 's/ServerSignature On/ServerSignature Off/' /etc/apache2/conf-available/security.conf
# systemctl restart apache2

Instalação do MariaDB & phpMyAdmin

# apt install mariadb-server mariadb-client phpmyadmin

Por padrão o pacote MaraiDB no Debian usa unix_socket para autenticar o login do usuário, o que basicamente significa que você pode usar o nome de usuário e a senha do sistema operacional para efetuar login no console do MariaDB. Assim, você pode logar diretamente sem fornecer a senha root do MariaDB. Mais a frente vou ensinar como definir uma senha, não farei agora pois se você alterar nesse momento ao instalar o phpMyAdmin terá um erro.

Selecione Apache2

Responda Sim

Informe a senha para o banco de dados do phpmyadmin. http://senhasegura.remontti.com.br/

Repita a senha

Para acessar o phpmyadmin:http://[SERVER_IP]/phpmyadmin/

Para aumentar a seguraça vamos definir uma senha para o usuário root do MariDB, não esqueça de alterar ALTERE_3ST4_SENHA pela sua senha.

# mariadb -u root

USE mysql;
ALTER USER 'root'@'localhost' IDENTIFIED BY 'ALTERE_3ST4_SENHA';
FLUSH PRIVILEGES;
EXIT;

Apague seus rastros, em /root/.mysql_history temos um histórico com todos os comandos dado no terminal do MariaDB, então não é legal deixar lá em texto puro a senha que setamos!

# > /root/.mysql_history

Instalação do FreeRadius

Abra o terminal de comando do MariaDB e crie a base e o usuário chamados de radius e defina a senha para este usuário.

# mariadb -u root -p

Altere SENHA_USER_RADIUS. Você pode gerar uma senha forte e segura em https://senhasegura.remontti.com.br

CREATE DATABASE radius;
GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'SENHA_USER_RADIUS';
FLUSH PRIVILEGES;
quit;

Instale os pacotes do freeradius

# apt install freeradius freeradius-mysql freeradius-utils

Com o banco de dados radius criado iremos importar as tabelas padrões do freeradius:

# mariadb -u radius -p radius < /etc/freeradius/3.0/mods-config/sql/main/mysql/schema.sql

Após comando será solicitado a senha do usuario radius (SENHA_USER_RADIUS).

Vamos fazer backups primeiramente dos arquivos que iremos alterar.

# cp /etc/freeradius/3.0/radiusd.conf /etc/freeradius/3.0/radiusd.conf.orig
# cp /etc/freeradius/3.0/mods-available/sql /etc/freeradius/3.0/mods-available/sql.orig
# cp /etc/freeradius/3.0/mods-available/eap /etc/freeradius/3.0/mods-available/eap.orig
# cp /etc/freeradius/3.0/sites-available/default  /etc/freeradius/3.0/sites-available/default.org
# cp /etc/freeradius/3.0/mods-available/sqlippool /etc/freeradius/3.0/mods-available/sqlippool.orig

Irei abusar do comando sed de agora em diante com o intuito de entrar nos arquivos para editar, se não souber o que cada comando representa recomendo utilizar o chat GPT, cola lá e pergunta que ele explica rsrs (estou ficando velho)

# sed -i '/^\s*stripped_names = no/s/^\(\s*stripped_names =\) no/\1 yes/g' /etc/freeradius/3.0/radiusd.conf
# sed -i '/^\s*auth = no/s/^\(\s*auth =\) no/\1 yes/g' /etc/freeradius/3.0/radiusd.conf
# sed -i '/^\s*auth_badpass = no/s/^\(\s*auth_badpass =\) no/\1 yes/g' /etc/freeradius/3.0/radiusd.conf
# sed -i '/^\s*auth_goodpass = no/s/^\(\s*auth_goodpass =\) no/\1 yes/g' /etc/freeradius/3.0/radiusd.conf

Ajustaremos o mod SQL para trabalhar com conexão do tipo mysql, e informamos os dados para conexão com o banco de dados. Arquivo /etc/freeradius/3.0/mods-available/sql.orig

# sed -i 's/driver = "rlm_sql_null"/driver = "rlm_sql_mysql"/' /etc/freeradius/3.0/mods-available/sql
# sed -i 's/dialect = "sqlite"/dialect = "mysql"/' /etc/freeradius/3.0/mods-available/sql
# sed -i '/server = "localhost"/s/^#//g' /etc/freeradius/3.0/mods-available/sql
# sed -i '/port = 3306/s/^#//g' /etc/freeradius/3.0/mods-available/sql
# sed -i '/login = "radius"/s/^#//g' /etc/freeradius/3.0/mods-available/sql
# sed -i '/password = "radpass"/s/^#//g' /etc/freeradius/3.0/mods-available/sql
# sed -i '/read_clients = yes/s/^#//g' /etc/freeradius/3.0/mods-available/sql

No próximo comando altere SENHA_USER_RADIUS para a senha de conexão do usuário radius.

# sed -i 's/radpass/SENHA_USER_RADIUS/' /etc/freeradius/3.0/mods-available/sql

Habilite os mods sql e sqlippool:

# ln -s /etc/freeradius/3.0/mods-available/sql /etc/freeradius/3.0/mods-enabled/sql
# ln -s /etc/freeradius/3.0/mods-available/sqlippool /etc/freeradius/3.0/mods-enabled/sqlippool

Desativando o TLS do Mysql

# sed -i '84,102 {s/^/##/}' /etc/freeradius/3.0/mods-available/sql
# sed -i 's/disable_tlsv1_2 = yes/disable_tlsv1_2 = no/' /etc/freeradius/3.0/mods-available/eap 
# sed -i 's/disable_tlsv1_1 = yes/disable_tlsv1_1 = no/' /etc/freeradius/3.0/mods-available/eap 
# sed -i 's/disable_tlsv1 = yes/disable_tlsv1 = no/' /etc/freeradius/3.0/mods-available/eap
# sed -i '/disable_tlsv1/s/^#//g' /etc/freeradius/3.0/mods-available/eap
# sed -i 's/tls_min_version = "1.2"/tls_min_version = "1.0"/' /etc/freeradius/3.0/mods-available/eap

Agora no arquivo /etc/freeradius/3.0/sites-enabled/default vamos comentar alguns componentes que não nos interessa (Se você entrar no arquivo e editar manualmente ele está todo comentado, auto explicativo.) e incluir alguns componentes como o SQL.

# sed -i '/^[[:space:]]*digest/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*suffix/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*files/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*-ldap/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*exec/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*detail/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*unix/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*attr_filter.accounting_response/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i '/^[[:space:]]*-ldap/s/^/## /' /etc/freeradius/3.0/sites-available/default
# sed -i 's/-sql/sql/' /etc/freeradius/3.0/sites-available/default
# sed -i '741 s/# *//' /etc/freeradius/3.0/sites-available/default
# sed -i '958,970 {s/^/##/}' /etc/freeradius/3.0/sites-available/default
# sed -i '76 {s/^/#/}' /etc/freeradius/3.0/mods-available/sqlippool
# sed -i '77 s/# *//' /etc/freeradius/3.0/mods-available/sqlippool
# sed -i '66 s/# *//' /etc/freeradius/3.0/mods-available/sqlippool
# sed -i '/^[[:space:]]*#.*sqlippool/s/^#//' /etc/freeradius/3.0/sites-available/default

Faremos os ajustes no arquivo inner-tunnel

# cp /etc/freeradius/3.0/sites-available/inner-tunnel /etc/freeradius/3.0/sites-available/inner-tunnel.org

# sed -i '/^[[:space:]]*suffix/s/^/## /' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '/^[[:space:]]*files/s/^/## /' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '/^[[:space:]]*-ldap/s/^/## /' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i 's/-sql/sql/' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '/^[[:space:]]*radutmp/s/^/## /' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '266 s/# *//' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '336,361 {s/^/##/}' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '370,381 {s/^/##/}' /etc/freeradius/3.0/sites-available/inner-tunnel

Verifique com o comando abaixo se a saída dos seus arquivos ficou assim:

# cat /etc/freeradius/3.0/sites-enabled/default |grep -v "#" |awk 'NF>0'

server default {
listen {
	type = auth
	ipaddr = *
	port = 0
	limit {
	      max_connections = 16
	      lifetime = 0
	      idle_timeout = 30
	}
}
listen {
	ipaddr = *
	port = 0
	type = acct
	limit {
	}
}
listen {
	type = auth
	port = 0
	limit {
	      max_connections = 16
	      lifetime = 0
	      idle_timeout = 30
	}
}
listen {
	ipv6addr = ::
	port = 0
	type = acct
	limit {
	}
}
authorize {
	filter_username
	preprocess
	chap
	mschap
	eap {
		ok = return
	}
	sql
	expiration
	logintime
	pap
	Autz-Type New-TLS-Connection {
		  ok
	}
}
authenticate {
	Auth-Type PAP {
		pap
	}
	Auth-Type CHAP {
		chap
	}
	Auth-Type MS-CHAP {
		mschap
	}
	mschap
	eap
}
preacct {
	preprocess
	acct_unique
}
accounting {
	sqlippool
	sql
}
session {
	sql
}
post-auth {
	if (session-state:User-Name && reply:User-Name && request:User-Name && (reply:User-Name == request:User-Name)) {
		update reply {
			&User-Name !* ANY
		}
	}
	update {
		&reply: += &session-state:
	}
	sqlippool
	sql
	remove_reply_message_if_eap
	Post-Auth-Type Challenge {
	}
	Post-Auth-Type Client-Lost {
	}
	if (EAP-Key-Name && &reply:EAP-Session-Id) {
		update reply {
			&EAP-Key-Name := &reply:EAP-Session-Id
		}
	}
}
pre-proxy {
}
post-proxy {
	eap
}
}

# cat /etc/freeradius/3.0/sites-enabled/inner-tunnel |grep -v "#" |awk 'NF>0'

server inner-tunnel {
listen {
       ipaddr = 127.0.0.1
       port = 18120
       type = auth
}
authorize {
	filter_username
	chap
	mschap
	update control {
		&Proxy-To-Realm := LOCAL
	}
	eap {
		ok = return
	}
	sql
	expiration
	logintime
	pap
}
authenticate {
	Auth-Type PAP {
		pap
	}
	Auth-Type CHAP {
		chap
	}
	Auth-Type MS-CHAP {
		mschap
	}
	mschap
	eap
}
session {
	sql
}
post-auth {
	sql
}
pre-proxy {
}
post-proxy {
	eap
}

SQLIPPOOL

Para muitos o o maior pesadelo DUPLICIDADE DE IPs
No Debian 12 temos a versão 3.2.1 do freeradius sendo rodada, nessa versão alguma melhorias já foram aplicadas, mas eu ainda acho falha para maioria dos IPs, então vou deixar aqui algumas alterações que tenho aplicado para uma realidade provedores que acredito que irá atender sem dores de cabeça.

Importe o banco de dados e aplique as regras de procedure.

# mariadb -u radius -p radius < /etc/freeradius/3.0/mods-config/sql/ippool/mysql/schema.sql
# mariadb -u radius -p radius < /etc/freeradius/3.0/mods-config/sql/ippool/mysql/procedure.sql

Crie uma cópia do arquivo original, nunca se saber quando iremos precisar.

# cp /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf.orig

Para debugs e até mesmo algum script que visa buscar por falhas ou entendimento irei criar a coluna action na tabela radippool, nela estarei gravando qual a ação/query que ele executou do queries.conf.

# mysql -u radius -p -D radius -e 'ALTER TABLE radippool ADD COLUMN \`action\` VARCHAR(20) NULL AFTER pool_key;'

Vamos pagar tudo que tem em queries.conf e criar todas as entradas.

# > /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf
# vim /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf

Deixei nos comentários o macimo de explicação

#
# TODOS OS IPS NA RADIPPOOL. AS POLÍTICAS SERÃO AS SEGUINTES:
# 
#  1 - Quando um novo login tentar selecionar um endereço IP pela primeira vez na "radippool", o sistema verificará 
#      se esse login já utilizou um endereço com Pool-Name que esta solicitado.
#  2 - Se o login não tiver usado nenhum endereço da Pool-Name solicitada, será atribuído aleatoriamente um novo endereço, 
#      desde que o "expiry_time" seja menor que a data e hora atual.
#  3 - Se todos os endereços IPs dentro da Pool-Name solicitada já sendo utilizado ou estiverem em estado aguardando ("waiting"), 
#      a query "allocate_find" irá verificando se o "expiry_time" é menor que a data e hora atual e assim utilizando um dos IPs 
#      em "waiting" com o "expiry_time" mais antigo. Isso é comum por exemplo quando um cliente cancela sua assinatura.
#  3 - Se todos os endereços IPs dentro da Pool-Name solicitada já estiverem sendo utilizados ou estiverem em estado de espera ("waiting"), 
#      nossa query "allocate_find" irá verificar se o "expiry_time" é menor que a data e hora atual e, assim, utilizará um dos IPs
#      em estado de espera com o "expiry_time" mais antigo. Isso é comum, por exemplo, quando um cliente cancela sua assinatura.
#  4 - Se todos os IPs da Pool-Name estiverem em uso e o "expiry_time" for maior que a data atual informada pelo lease_duration, 
#      significa que essa pool-name acabou, nesse a query "allocate_find" buscará na Pool-Name definida na variável "pool_next". 
#      Por exemplo, ao esgotar os IPs da Pool-Name "publicos", serão entregues IPs da Pool-Name "cgant".
#  5 - Se a Pool-Name solicitada e a Pool-Name definida em "pool_next" não tiverem mais endereços disponíveis, 
#      ou não forem encontradas, a responsabilidade de entregar os IPs ficará a cargo do roteador.
#
#  OBS: Escolher um IP randomicamente é mais interessante para balanceamento de carga.
#
#  Autor: Rudimar Remontti 
#


#  Usar SKIP LOCKED acelera as consultas de seleção
#  No entanto, requer MySQL >= 8.0.1 ou MariaDB >= 10.6.
#
#skip_locked = ""
skip_locked = "SKIP LOCKED"


#
#  Por padrão, ao utilizar todos os endereços IPs de uma pool, 
#  o módulo sqlippool do FreeRADIUS permite que seu roteador (NAS) 
#  distribua a pool configurada por ele.
#  Porém estarei aqui fazendo uma alteração na função "allocate_find"
#
pool_next = "cgnat"


#
#  Alocar um endereço IP já utilizado.
#
#  Se um usuário já utilizou um determinado IP, entregue 
#  para ele o mesmo endereco com "expiry_time" mais recente.
#
allocate_existing = "\
	SELECT framedipaddress FROM ${ippool_table} \
	WHERE pool_name = '%{control:${pool_name}}' \
	AND username = '%{User-Name}' \
	ORDER BY expiry_time DESC \
	LIMIT 1 \
	FOR UPDATE ${skip_locked}"


#
# Encontre um endereço IP livre no Pool-Name solicitado 
# ou no Pool-Name especificado na variável pool_next. 
# A explicação está no início deste arquivo.
#
#  Nota: Isso pode se tonar lento se você tiver mais de 30 mil IPs livres, 
#        é rerecomendo fazer um tuning no seu MariaDB/MySQL.
#
allocate_find = "\
	SELECT framedipaddress \
	FROM ${ippool_table} \
	WHERE ( \
	    CASE \
	        WHEN ( \
	            SELECT COUNT(framedipaddress) \
	            FROM radippool \
	            WHERE pool_name = '%{control:Pool-Name}' AND expiry_time < NOW() \
	            LIMIT 1 \
	        ) > 0 THEN \
	            (pool_name = '%{control:Pool-Name}' AND expiry_time < NOW()) \
	        ELSE \
	            CASE \
	                WHEN ( \
	                    SELECT COUNT(framedipaddress) \
	                    FROM radippool \
	                    WHERE pool_name = '${pool_next}' AND username = '%{User-Name}' \
	                    LIMIT 1 \
	                ) > 0 THEN \
	                    (pool_name = '${pool_next}' AND username = '%{User-Name}') \
	                ELSE \
	                    (pool_name = '${pool_next}' AND expiry_time < NOW()) \
	            END \
	    END \
	) \
	ORDER BY expiry_time ASC, RAND() \
	LIMIT 1 \
	FOR UPDATE ${skip_locked}"

#
#  Se um IP não puder ser alocado, verifique se o pool existe ou não. 
#  Isso permite que o módulo diferencie entre um pool cheio e nenhum pool.
#  Nota: Se você não estiver executando módulos de pool redundantes, esta consulta pode 
#  ser comentada para evitar executar esta consulta toda vez que um IP não for alocado.
#
pool_check = "\
	SELECT id \
	FROM ${ippool_table} \
	WHERE pool_name='%{control:${pool_name}}' \
	LIMIT 1"

#
#  Atualização dos IPs já alocado.
#
allocate_update = "\
	UPDATE ${ippool_table} \
	SET \
		nasipaddress = '%{NAS-IP-Address}', pool_key = '${pool_key}', \
		callingstationid = '%{Calling-Station-Id}', \
		username = '%{User-Name}', expiry_time = NOW() + INTERVAL ${lease_duration} SECOND, \
		action = 'allocate_update' \
	WHERE framedipaddress = '%I'"

#
#  Esta série de consultas libera um número de IP quando um registro de INÍCIO de contabilidade chega.
#
start_update = "\
	UPDATE ${ippool_table} \
	SET \
		expiry_time = NOW() + INTERVAL ${lease_duration} SECOND, \
		action = 'start_update' \
	WHERE nasipaddress = '%{NAS-IP-Address}' \
	AND pool_key = '${pool_key}' \
	AND username = '%{User-Name}' \
	AND callingstationid = '%{Calling-Station-Id}' \
	AND framedipaddress = '%{${attribute_name}}'"

#
#  Essa consulta expira um número de IP quando um registro de PARADA de contabilidade chega.
#
stop_clear = "\
	UPDATE ${ippool_table} \
	SET \
	    nasipaddress = '', \
	    pool_key = 'waiting', \
	    callingstationid = '', \
		expiry_time = NOW() - INTERVAL 2 SECOND, \
		action = 'stop_clear' \
	WHERE nasipaddress = '%{%{Nas-IP-Address}:-%{Nas-IPv6-Address}}' \
	AND pool_key = '${pool_key}' \
	AND username = '%{User-Name}' \
	AND callingstationid = '%{Calling-Station-Id}' \
	AND framedipaddress = '%{${attribute_name}}'"

#
#  Atualização do IP quando está em utilização, a atualização é feita 
#  a cada x tempo (interim-update/Acct-Interim-Interval) aumenta o tempo definido em "lease_duration"
#
alive_update = "\
	UPDATE ${ippool_table} \
	SET \
		expiry_time = NOW() + INTERVAL ${lease_duration} SECOND, \
		action = 'alive_update' \
	WHERE nasipaddress = '%{%{Nas-IP-Address}:-%{Nas-IPv6-Address}}' \
	AND pool_key = '${pool_key}' \
	AND username = '%{User-Name}' \
	AND callingstationid = '%{Calling-Station-Id}' \
	AND framedipaddress = '%{${attribute_name}}'"


#
#  Libera todos os endereços IP alocados a um NAS quando este é ligado ou reiniciado. 
#  Exemplo que uma falha de energia.
#  
on_clear = "\
	UPDATE ${ippool_table} \
	SET \
		expiry_time = NOW() + INTERVAL ${lease_duration} SECOND, \
		action = 'on_clear' \
	WHERE nasipaddress = '%{%{Nas-IP-Address}:-%{Nas-IPv6-Address}}'"


#
#  Libera todos os endereços IP alocados a um NAS quando este é desligado ou fica offline.
#
off_clear = "\
	UPDATE ${ippool_table} \
	SET \
		expiry_time = NOW(), \
		action = 'off_clear' \
	WHERE nasipaddress = '%{%{Nas-IP-Address}:-%{Nas-IPv6-Address}}'"

É interessante você ajustar o tempo lease_duration = 3600 que por padrão é de 1h no arquivo /etc/freeradius/3.0/mods-available/sqlippool, para mim obtive resultados melhores com 30min, porém sempre respeitando o tempo de Acct-Interim-Interval que deve ser um tempo menor, entre 5 a 10 minutos, para evitar duplicidades de IPs.
Falo sobre isso no tutorial https://blog.remontti.com.br/4085 recomendo a leitura!

# sed -i 's/lease_duration = 3600/lease_duration = 1200/' /etc/freeradius/3.0/mods-available/sqlippool
# systemctl  restart freeradius

Caso você tenha uma alta demanda de requisições você deve fazer algumas alterações no radiusd.conf.
Altere conforme sua necessidade, e hardware de seu servidor. Vale lembrar que fazendo essas alterações pode ser necessário alterar o limite de conexões ao MariaDB. Não abuse nessas configurações recomendo ler a documentação.

# vim /etc/freeradius/3.0/radiusd.conf

Você pode começar dobrando os valores, ex.:

[...]
thread pool {
        start_servers = 10
        max_servers = 64
        min_spare_servers = 6
        max_spare_servers = 20
        max_queue_size = 131072
        max_requests_per_server = 0
        auto_limit_acct = no
}
[...]

Em grande escalas é importante que você também realize um tuning no MariaDB. Recomendo:
- https://github.com/major/MySQLTuner-perl
- https://github.com/BMDan/tuning-primer.sh

Finalizando

Habilite o freeradius para começar junto com a inicialização do sistema

# systemctl enable freeradius

Pare o serviço e inicie em modo debug

# systemctl stop freeradius
# freeradius -X

Se nenhum erro acontecer uma mensagem com: Ready to process requests aparecer parabéns seu freeradius está funcionando. Através do comando debug você consegue acompanhar as ações que o freeradius irá fazer, ótimo para estudos e entendimento. Para encerrar o modo debig use Crtl+c, e então inicie o serviço de forma normal.

# systemctl start freeradius

Para integrar seu servidor freeradius para fazer autenticações PPPoE, Hotspot, Wireless PSK/EAP entre outras, você precisa aprender mais sobre as tabelas do banco de dados e quais atributos usar em cada situação sempre pensando na segurança. Você pode acessar https://blog.remontti.com.br/4085 onde irá encontra alguns modelos de autenticação que atente praticamente todos os cenários de provedores.

Gostou? Quer me ajudar?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Abraço!

Resolução de problema:

Se seu login conter @ no entanto não terminar como domínio padrão exemplo user@dom.xxx.yy user@dom.xxx, e sim apenas user@dom edite:

# vim /etc/freeradius/3.0/policy.d/filter

Altere para accept o seguinte filtro:

        if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
            update request {
                &Module-Failure-Message += 'Rejected: Realm does not have at least one dot separator'
            }
            #reject
            accept
        }

Fonte:
https://wiki.freeradius.org/guide/SQL-HOWTO
https://wiki.freeradius.org/modules/Rlm_sql
https://wiki.freeradius.org/modules/Rlm_sqlippool

O post Instalação FreeRadius no Debian 12 Bookworm (Extra sqlippool) apareceu primeiro em Remontti.

Guia passo a passo para instalação do phpIPAM, um Software de Gerenciamento de Endereços IP

Rudimar Remontti — Mon, 12 Jun 2023 15:40:55 +0000

O phpIPAM é um aplicação de gerenciamento de endereço IPs de código aberto (IPAM). Seu objetivo é fornecer gerenciamento de endereços IP leve, moderno e útil. É uma aplicação baseada em php com backend de banco de dados MySQL/MariaDB, usando bibliotecas jQuery, ajax e recursos HTML5 / CSS3.

Recomendado Debian 12 Bookworm:
1 – Debian 12 Bookworm / Instalação Limpa
2.a – Servidor WEB NGINX + PHP 8.2 + MariaDB + phpMyAdmin
2.b – Servidor WEB Apache2 + PHP 8.2 + MariaDB + phpMyAdmin
phpMyAdmin é opcional

Recomendado Debian 11 Bullseye:
1- Debian 11 Bullseye / Instalação Limpa
2- Servidor WEB Apache2 + PHP7.4 + MariaDB + phpMyAdmin
phpMyAdmin é opcional

Recomendado Debian 10 Stretch:
1- Debian 10 Stretch / Instalação Limpa
2.a – Servidor WEB Apache2 + PHP7.3 + MariaDB + phpMyAdmin
2.b – Servidor WEB NGINX + PHP7.3 + MariaDB + phpMyAdmin
phpMyAdmin é opcional

Recomendado Debian 9 Buster:
Instalação Limpa Debian 9 Buster
Servidor web Apache2, PHP 7.0, MariaDB, PHPMyAdmin
phpMyAdmin é opcional

Após instalação do servidor WEB+MariaDB, vamos criar nossa base de dados para o phpipam

# mariadb -p

CREATE DATABASE phpipam;
GRANT ALL PRIVILEGES ON phpipam.* TO 'phpipam'@'localhost' IDENTIFIED BY 'SUA_SENHA';
FLUSH PRIVILEGES;
quit;

Download phpIPAM
Instalação estável: (Nesta data é 1.5.2) https://github.com/phpipam/phpipam/releases

# cd /tmp # wget https://github.com/phpipam/phpipam/releases/download/v1.5.2/phpipam-v1.5.2.tgz # tar vxf phpipam-v1.5.2.tgz # mv phpipam /var/www/html/phpipam

# cd /var/www/html/phpipam

Agora precisamos inserir os dados para o phpipam conectar ao banco de dados. Primeiro copie config.dist.php para config.php e insira os detalhes necessários.

# cp config.dist.php config.php
# vim config.php

Encontre a linha $db['pass'] = 'phpipamadmin'; e altere para sua senha, caso tenha utilizado outro usuário e nome de base altere também.

...
$db['host'] = "localhost";
$db['user'] = "phpipam";
$db['pass'] = "SUA_SENHA";
$db['name'] = "phpipam";
...

Se estas utilizando debian 12, sua versão do php é a 8.2 que na versão atual 1.5.2 ainda parece não ter sido testado, para resolver entre no diretório do phpipam e adicione $allow_untested_php_versions=true; ao final do arquivo:

# cd /var/www/html/phpipam
# echo '$allow_untested_php_versions=true;' >> config.php

Além disso, nós extraímos o diretório do phpipam fora pasta raiz (/var/www/html), será necessário definir isso (define('BASE', "/");) em config.php, se você colocou no diretório raiz ou configurou um domínio virtual (recomendo) para o phpipam não é necessário :

# vim config.php

Altere :

define('BASE', "/");

para:

define('BASE', "/phpipam/");

Instale a extensão gmp do php que é necessária para o funcionamento do phpipam e restarte o apache ou nginx de acordo com seu servidor.

# apt install php-gmp -y
# systemctl restart apache2
ou
# systemctl restart nginx

Agora acesse seu servidor em seu navegado: http://ip-server.ou.dominio/phpipam/

Clique em [New phpipam installation]

Clique em [Automatic database installation]

Entre com seu usuario: phpipam e senha senha de conexão do banco de dados (SUA_SENHA), clique em [Show advanced options], e DESMARQUE as opções: Create new database e Set permissions to tables e após em [Install phpipam database]

Uma mensagem "Database installed successfully!" será exibida, informado que o banco de dados foi criado com sucesso. Clique em [Continue]

Defina a senha do usuário admin, e clique em [Save settings]

Uma mensagem "Settings updated, installation complete!" informado que a instalação foi completada! Clique em [Procced to login]

Entre com o usuário admin e sua senha:

Prontinho para seu uso!

Gostou?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Guia passo a passo para instalação do phpIPAM, um Software de Gerenciamento de Endereços IP apareceu primeiro em Remontti.

Como criar um servidor FTP (Pure-FTPd) com usuário no banco de dados MariaDB/MySQL com Debian 11 Bullseye

Rudimar Remontti — Wed, 07 Dec 2022 18:47:28 +0000

Neste tutorial vamos montar um servidor FTP utilizando o PureFTPd com usuários no banco de dados Mysql ao invés de usar usuários do sistema, vamos ainda poder configurar quotas e limites de upload e download.

Requisito:
Debian 11 Instalação Limpa

Vire root de maneira correta no Debian 11!

# su -

Instalação do banco de dados MariaDB

# apt install mariadb-server mariadb-client

Definindo senha para o root do mariaDB
Para aumentar a seguraçã vamos definir uma senha para o usuário root do MariDB, não esqueça de alterar ALTERE_3ST4_SENHA pela sua senha.

# mariadb -u root

USE mysql;
ALTER USER 'root'@'localhost' IDENTIFIED BY 'ALTERE_3ST4_SENHA';
FLUSH PRIVILEGES;
EXIT;

Apague seus rastros, em /root/.mysql_history temos um histórico com todos os comandos dado no terminal do MariaDB, então não é legal deixar lá em texto puro a senha que setamos!

# > /root/.mysql_history

Instalação do Pure FTP

# apt install pure-ftpd-mysql

Agora criaremos nosso grupo FTP (grupoftp) e usuário (pureftpd) para que nosso usuários virtuais sejam mapeados.

# groupadd -g 2001 ftpgroup
# useradd -u 2001 -s /bin/false -d /bin/null -c "pureftpd user" -g ftpgroup ftpuser

# vim /etc/default/pure-ftpd-common

altere

UPLOADUID=
UPLOADGID=

para

UPLOADUID=2001
UPLOADGID=2001

Próximo passo criar a nossa base de dados, onde ficaram armazenado as informações dos nossos usuários.

# mariadb -u root -p

Entre com a senha de root criada anteriormente. Não esqueça de alterar senha (SENHA_FTP_USER).

CREATE DATABASE pureftpd;
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON pureftpd.* TO 'pureftpd'@'localhost' IDENTIFIED BY 'SENHA_FTP_USER';
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON pureftpd.* TO 'pureftpd'@'localhost.localdomain' IDENTIFIED BY 'SENHA_FTP_USER';
FLUSH PRIVILEGES;

Crie a tabela

USE pureftpd;

CREATE TABLE ftpd (
User varchar(16) NOT NULL default '',
status enum('0','1') NOT NULL default '0',
Password varchar(64) NOT NULL default '',
Uid varchar(11) NOT NULL default '-1',
Gid varchar(11) NOT NULL default '-1',
Dir varchar(128) NOT NULL default '',
ULBandwidth smallint(5) NOT NULL default '0',
DLBandwidth smallint(5) NOT NULL default '0',
comment tinytext NOT NULL,
ipaccess varchar(15) NOT NULL default '*',
QuotaSize smallint(5) NOT NULL default '0',
QuotaFiles int(11) NOT NULL default 0,
PRIMARY KEY (User),
UNIQUE KEY User (User)
);

EXIT;

Salve o arquivo original /etc/pure-ftpd/db/mysql.conf e crie um novo com novas configurações, mais uma vez preste atenção a senha [SENHA_FTP_USER].

# mv /etc/pure-ftpd/db/mysql.conf /etc/pure-ftpd/db/mysql.conf_orig
# vim /etc/pure-ftpd/db/mysql.conf

Adicione:

MYSQLSocket /var/run/mysqld/mysqld.sock
MYSQLUser pureftpd
MYSQLPassword SENHA_FTP_USER
MYSQLDatabase pureftpd
MYSQLCrypt md5
MYSQLGetPW SELECT Password FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetUID SELECT Uid FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetGID SELECT Gid FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetDir SELECT Dir FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthUL SELECT ULBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthDL SELECT DLBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTASZ SELECT QuotaSize FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTAFS SELECT QuotaFiles FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")

Esteja certo que você mudou o campo MYSQLPassword ‘SENHA_FTP_USER’

A configuração ChrootEveryone fará com que o PureFTPd faça chroot em todos os usuários virtuais em seu diretório pessoal, para que ele não consiga procurar diretórios e arquivos fora do diretório pessoal. A linha CreateHomeDir fará com que o PureFTPd crie o diretório inicial de um usuário quando o usuário efetuar login e o diretório inicial ainda não existir.

# echo yes > /etc/pure-ftpd/conf/ChrootEveryone
# echo yes > /etc/pure-ftpd/conf/CreateHomeDir
# echo 1 > /etc/pure-ftpd/conf/TLS
# echo HIGH > /etc/pure-ftpd/conf/TLSCipherSuite

Gere os certificados.

# openssl dhparam -out /etc/ssl/private/pure-ftpd-dhparams.pem 2048
# openssl req -x509 -nodes -newkey rsa:2048 -sha256 -keyout \
  /etc/ssl/private/pure-ftpd.pem \
  -out /etc/ssl/private/pure-ftpd.pem
# chmod 600 /etc/ssl/private/*.pem

Vamos criar agora um usuário, Qual ficará dentro do diretório /var/pure-ftpd/ onde vou deixar todos meus usuários criado, porém você pode escolher qualquer diretório, usarei a pasta /var/ pois seria o “lugar correto”.

Entre no mariadb com seu usuario pureftpd e senha para fazer a criação do usuário ftp, no meu ex vou criar o usuário chamado remontti.

# mysql -u pureftpd -p

USE pureftpd;

INSERT INTO `ftpd` (`User`, `status`, `Password`, `Uid`, `Gid`, `Dir`, `ULBandwidth`, `DLBandwidth`, `comment`, `ipaccess`, `QuotaSize`, `QuotaFiles`) 
VALUES ('remontti', '1', MD5('SUA_SENHA'), '2001', '2001', '/var/pure-ftpd/remontti', '100', '100', '', '*', '50', '0');

SELECT * FROM ftpd;
EXIT;

Limpe o histórico do mariadb. Não queremos ninguém vendo o q digitamos lá

# > /root/.mysql_history

Ao fazer login o diretório /var/pure-ftpd/USUARIO será criado automaticamente.

Restarte o serviço e verifique o status do mesmo

# systemctl restart pure-ftpd-mysql
# systemctl status pure-ftpd-mysql

Sempre que você queira criar um novo usuário, você tem que criar uma entrada na tabela ftpd.
Explicando a estrutura da tabela:

User: Seu usuário (ex. como no nosso usuário acima: teste).
Status: 0 ou 1. 0 deixará sua conta inativa, e o usuário não pode logar.
Password: A senha do usuário. A senha está encriptada com MD5.
UID: O userid do usuário ftp que você criou (ex: 2001)
GID: O groupid do grupo ftp que você criou (ex: 2001).
Dir: Diretório home do usuário (ex: /home/teste). Se não existir será criado quando logar pela primeira vez via FTP. O usuário será preso neste diretório home.
ULBandwidth: Controle de Upload em KB/Sec. Use 0 para que seja ilimitado.
DLBandwidth: Controle de Download em KB/sec. Use 0 para que seja ilimitado.
Comment: Você pode inserir qualquer comentário (ex: Usuário da administração). Você deixa este campo limpo.
Ipaccess: Você pode definir o ip que serão permitidos para conectar nesta conta FTP. Ou ‘*’ para qualquer endereço IP.
QuotaSize: Espaço de armazenamento em MB (não KB, como em ULBandwidth eDLBandwidth) Defina 0 como ilimitado.
QuotaFiles: Número total de arquivos que este usuário poderá salvar. Defina 0 para ilimitado.

Protegendo com Fail2ban

# apt install fail2ban
# echo yes > /etc/pure-ftpd/conf/DontResolve
# vim /etc/fail2ban/jail.d/defaults-debian.conf

Adicione o filtro pure-ftpd.

[sshd]
enabled = true
[pure-ftpd]
enabled = true

Restarte o fail2ban

# systemctl restart fail2ban

Se você tiver interesse em ter uma interface web para gerenciamento recomendo:
Passo-a-passo como criar um servidor WEB Apache + PHP + MariaDB + phpMyAdmin + Let’s Encrypt no Debian 11 bullseye “LAMP”

Gostou?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fonte: http://download.pureftpd.org/pub/pure-ftpd/doc/README.MySQL

O post Como criar um servidor FTP (Pure-FTPd) com usuário no banco de dados MariaDB/MySQL com Debian 11 Bullseye apareceu primeiro em Remontti.

Instalação FreeRadius no Debian 11 Bullseye (Extra sqlippool)

Rudimar Remontti — Fri, 26 Nov 2021 20:11:30 +0000

Esse tutorial é ideal para provedores que desejam criar seu próprio sistema de autenticação com freeradius, fazendo autenticação do tipo PPPoE, hotspot, Wireless (PSK/EAP) entre outras.

Neste tutorial iremos instalar e configurar o FreeRadius 3.0.x.

REQUISITOS
1 – Debian 11 Bullseye – Instalação limpa
2 – WEB Apache + PHP + MariaDB + phpMyAdmin “LAMP” (Opcional)

Instalação do FreeRadius 3.0.`>21`
Tenha primeiramente o MariaDB instalado (Tutorial LAMP), então crie o banco de dados e usuário quais iremos utilizar para a integração com o Freeradius.

Abra o terminal de comando do MariaDB e crie a base e o usuario chamados de radius e defina a senha para este usuário.

# mariadb -u root -p

Altere SENHA_USER_RADIUS. Você pode gerar uma senha forte e segura em https://senhasegura.remontti.com.br

CREATE DATABASE radius;
GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'SENHA_USER_RADIUS';
FLUSH PRIVILEGES;
quit;

Instale os pacotes do freeradius

# apt install freeradius freeradius-mysql freeradius-utils

Com o o banco de dados radius criado iremos importar as tabelas padrões do freeradius:

# mariadb -u radius -p radius < /etc/freeradius/3.0/mods-config/sql/main/mysql/schema.sql
# mariadb -u radius -p radius < /etc/freeradius/3.0/mods-config/sql/ippool/mysql/schema.sql

Após comando será solicitado a senha do usuario radius (SENHA_USER_RADIUS).

Caso deseje logs mais detalhados (recomendo) edite o arquivo /etc/freeradius/3.0/radiusd.conf, mas antes faça um backup do mesmo.

# cp /etc/freeradius/3.0/radiusd.conf /etc/freeradius/3.0/radiusd.conf.orig
# vim /etc/freeradius/3.0/radiusd.conf

Localize as variáveis e altere para yes

[...]
log {
    [...]
        stripped_names = yes
        auth = yes
        auth_badpass = yes
        auth_goodpass = yes
    [...]
}
[...]

Ajustaremos o mod SQL para trabalhar com conexão do tipo mysql, e informamos os dados para conexão com o banco de dados. Arquivo /etc/freeradius/3.0/mods-available/sql.orig

# cp /etc/freeradius/3.0/mods-available/sql /etc/freeradius/3.0/mods-available/sql.orig

Usarei o comando sed para facilitar sua vida mas preste atenção nos comandos, se desejar pode editar o arquivo manualmente e alterar as entradas.

# sed -i 's/driver = "rlm_sql_null"/driver = "rlm_sql_mysql"/' /etc/freeradius/3.0/mods-available/sql
# sed -i 's/dialect = "sqlite"/dialect = "mysql"/' /etc/freeradius/3.0/mods-available/sql
# sed -i '/server = "localhost"/s/^#//g' /etc/freeradius/3.0/mods-available/sql
# sed -i '/port = 3306/s/^#//g' /etc/freeradius/3.0/mods-available/sql
# sed -i '/login = "radius"/s/^#//g' /etc/freeradius/3.0/mods-available/sql
# sed -i '/password = "radpass"/s/^#//g' /etc/freeradius/3.0/mods-available/sql
# sed -i '/read_clients = yes/s/^#//g' /etc/freeradius/3.0/mods-available/sql

No próximo comando altere SENHA_USER_RADIUS para a senha de conexão do usuário radius.

# sed -i 's/radpass/SENHA_USER_RADIUS/' /etc/freeradius/3.0/mods-available/sql

Habilite o mod:

# ln -s /etc/freeradius/3.0/mods-available/sql /etc/freeradius/3.0/mods-enabled/sql

Desativando o TLS do Mysql

# sed -i '84,102 {s/^/##/}' /etc/freeradius/3.0/mods-available/sql
# sed -i 's/disable_tlsv1_1 = yes/disable_tlsv1_1 = no/' /etc/freeradius/3.0/mods-available/eap 
# sed -i 's/disable_tlsv1 = yes/disable_tlsv1 = no/' /etc/freeradius/3.0/mods-available/eap
# sed -i 's/tls_min_version = "1.2"/tls_min_version = "1.0"/' /etc/freeradius/3.0/mods-available/eap

# cp /etc/freeradius/3.0/sites-available/default  /etc/freeradius/3.0/sites-available/default.org

# sed -i '/digest/s/^/#/g' /etc/freeradius/3.0/sites-available/default
# sed -i '/suffix/s/^/#/g' /etc/freeradius/3.0/sites-available/default
# sed -i '/files/s/^/#/g' /etc/freeradius/3.0/sites-available/default
# sed -i '/ldap/s/^/#/g' /etc/freeradius/3.0/sites-available/default
# sed -i '/exec/s/^/#/g' /etc/freeradius/3.0/sites-available/default
# sed -i '/detail/s/^/#/g' /etc/freeradius/3.0/sites-available/default
# sed -i '/unix/s/^/#/g' /etc/freeradius/3.0/sites-available/default
# sed -i '/attr_filter.accounting_response/s/^/#/g' /etc/freeradius/3.0/sites-available/default
# sed -i 's/-sql/sql/' /etc/freeradius/3.0/sites-available/default
# sed -i '689 s/# *//' /etc/freeradius/3.0/sites-available/default
# sed -i '854,874 {s/^/##/}' /etc/freeradius/3.0/sites-available/default

Habilitando o mod sqlippool
Como o mod sqlippool você poderá ter sua pool de IPs direto no banco de dados.

# ln -s /etc/freeradius/3.0/mods-available/sqlippool /etc/freeradius/3.0/mods-enabled/sqlippool

Vou alterar (Descomentando e comentado) a chave pool_key = "%{NAS-Port}" por "%{Calling-Station-Id}", desta forma a chave será o MAC, e "allow_duplicates = no" para não termos duplicidades de IPs. Mais adiante iremos também ajustar o allocate_clear.

# sed -i '74 {s/^/#/}' /etc/freeradius/3.0/mods-available/sqlippool
# sed -i '75 s/# *//' /etc/freeradius/3.0/mods-available/sqlippool
# sed -i '67 s/# *//' /etc/freeradius/3.0/mods-available/sqlippool

Precisamos adicionar o mod sqlippool no nosso arquivo default, você acrescentará sqlippool em accounting {...} e post-auth {...} logo abaixo de sql:

# sed -i '642i\    sqlippool' /etc/freeradius/3.0/sites-available/default
# sed -i '734i\    sqlippool' /etc/freeradius/3.0/sites-available/default

Verifique com o comando abaixo se a saída do seu arquivo ficou assim:

# cat /etc/freeradius/3.0/sites-enabled/default |grep -v "#" |awk 'NF>0'

server default {
listen {
        type = auth
        ipaddr = *
        port = 0
        limit {
              max_connections = 16
              lifetime = 0
              idle_timeout = 30
        }
}
listen {
        ipaddr = *
        port = 0
        type = acct
        limit {
        }
}
listen {
        type = auth
        port = 0
        limit {
              max_connections = 16
              lifetime = 0
              idle_timeout = 30
        }
}
listen {
        ipv6addr = ::
        port = 0
        type = acct
        limit {
        }
}
authorize {
        filter_username
        preprocess
        chap
        mschap
        eap {
                ok = return
        }
        sql
        expiration
        logintime
        pap
}
authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        eap
}
preacct {
        preprocess
        acct_unique
}
accounting {
    sqlippool
        sql
}
session {
        sql
}
post-auth {
        if (session-state:User-Name && reply:User-Name && request:User-Name && (reply:User-Name == request:User-Name)) {
                update reply {
                        &User-Name !* ANY
                }
        }
        update {
                &reply: += &session-state:
        }
    sqlippool
        sql
        remove_reply_message_if_eap
}
pre-proxy {
}
post-proxy {
        eap
}
}

Faremos os ajustes no arquivo inner-tunnel

# cp /etc/freeradius/3.0/sites-available/inner-tunnel /etc/freeradius/3.0/sites-available/inner-tunnel.org

# sed -i '/suffix/s/^/#/g' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '/files/s/^/#/g' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '/-ldap/s/^/#/g' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i 's/-sql/sql/' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i 's/radutmp/#radutmp/' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '266 s/# *//' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '336,361 {s/^/##/}' /etc/freeradius/3.0/sites-available/inner-tunnel
# sed -i '370,381 {s/^/##/}' /etc/freeradius/3.0/sites-available/inner-tunnel

Verifique com o comando abaixo se a saída do seu arquivo ficou assim:

# cat /etc/freeradius/3.0/sites-enabled/inner-tunnel |grep -v "#" |awk 'NF>0'

server inner-tunnel {
listen {
       ipaddr = 127.0.0.1
       port = 18120
       type = auth
}
authorize {
        filter_username
        chap
        mschap
        update control {
                &Proxy-To-Realm := LOCAL
        }
        eap {
                ok = return
        }
        sql
        expiration
        logintime
        pap
}
authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        eap
}
session {
        sql
}
post-auth {
        sql
}
pre-proxy {
}
post-proxy {
        eap
}

Uma alteração que acho válida é para que para cada alocação de IP ela seja randômica, isso pode solucionar alguns problemas como o balanceamento dos prefixo no seu BGP, ou daqueles clientes que jogam online, fazem download e até mesmo que estão sofrendo algum ataque. Assim ao reiniciar seu equipamento o mesmo irá receber um novo endereço IP. Para que funcione desta forma iremos apenas comentar algumas linhas e descomentar outras, pois em /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf variável allocate_find já vem com o modelo pronto

Comentar:

# sed -i '41,53 {s/^/##/}' /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf

##allocate_find = "\
##  SELECT framedipaddress FROM ${ippool_table} \
##  WHERE pool_name = '%{control:${pool_name}}' \
##  AND ( \
##      expiry_time < NOW() OR expiry_time IS NULL OR expiry_time = 0 \
##      OR ( nasipaddress = '%{NAS-IP-Address}' AND pool_key = '${pool_key}' ) \
##  ) \
##  ORDER BY \
##      (username <> '%{User-Name}'), \
##      (callingstationid <> '%{Calling-Station-Id}'), \
##      expiry_time \
##  LIMIT 1 \
##  FOR UPDATE"

Descomentar:

# sed -i '74,81 s/# *//' /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf

allocate_find = "\
    SELECT framedipaddress FROM ${ippool_table} \
    WHERE pool_name = '%{control:${pool_name}}' \
    AND expiry_time IS NULL \
    ORDER BY \
        RAND() \
    LIMIT 1 \
    FOR UPDATE"

Como alteramos a pool_key para Calling-Station-Id em /etc/freeradius/3.0/mods-enabled/sqlippool vamos ajustar o allocate_clear para quando for liberar um IP use a chave pool_key e não a NAS, caso contrário ira liberar IPs indevidos que estão sendo utilizado por usuários ativos e assim evitamos que surjam IPs duplicados, para isso:

Comentar:

# sed -i '26,35 {s/^/##/}' /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf

##allocate_clear = "\
##      UPDATE ${ippool_table} \
##      SET \
##              nasipaddress = '', \
##              pool_key = 0, \
##              callingstationid = '', \
##              username = '', \
##              expiry_time = NULL \
##      WHERE expiry_time <= NOW() - INTERVAL 1 SECOND \
##      AND nasipaddress = '%{%{Nas-IP-Address}:-%{Nas-IPv6-Address}}'"

Descomentar

# sed -i '10,18 s/# *//' /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf

allocate_clear = "\
        UPDATE ${ippool_table} \
        SET \
                nasipaddress = '', \
                pool_key = 0, \
                callingstationid = '', \
                username = '', \
                expiry_time = NULL \
        WHERE pool_key = '${pool_key}'"

É interessante você ajustar o tempo lease_duration = 1200 no arquivo /etc/freeradius/3.0/mods-available/sqlippool talvez para um menor intervalo,porém sempre respeitando que o Acct-Interim-Interval seja um tempo menor, para não ter duplicidades de ips. Falo sobre isso no tutorial https://blog.remontti.com.br/4085 recomendo a leitura!

Caso você tenha uma alta demanda de requisições você pode fazer algumas alterações no radiusd.conf.
Altere conforme sua necessidade, e hardware de seu servidor. Vale lembrar que fazendo essas alterações pode ser necessário alterar o limite de conexões ao MariaDB. Não abuse nessas configurações recomendo ler a documentação.

# vim /etc/freeradius/3.0/radiusd.conf

Você pode começar dobrando os valores, ex.:

[...]
thread pool {
        start_servers = 10
        max_servers = 64
        min_spare_servers = 6
        max_spare_servers = 20
        max_queue_size = 131072
        max_requests_per_server = 0
        auto_limit_acct = no
}
[...]

Finalizando

Habilite o freeradius para começar junto com a inicialização do sistema

# systemctl enable freeradius

Pare o serviço e inicie em modo debug

# systemctl stop freeradius
# freeradius -X

# systemctl start freeradius

Gostou? Quer me ajudar?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Abraço!

Resolução de problema:

Se seu login conter @ no entanto não terminar como domínio padrão exemplo user@dom.xxx.yy user@dom.xxx, e sim apenas user@dom edite:

# vim /etc/freeradius/3.0/policy.d/filter

Altere para accept o seguinte filtro:

        if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
            update request {
                &Module-Failure-Message += 'Rejected: Realm does not have at least one dot separator'
            }
            #reject
            accept
        }

Fonte:
https://wiki.freeradius.org/guide/SQL-HOWTO
https://wiki.freeradius.org/modules/Rlm_sql
https://wiki.freeradius.org/modules/Rlm_sqlippool

O post Instalação FreeRadius no Debian 11 Bullseye (Extra sqlippool) apareceu primeiro em Remontti.

Solução de backup completa Open Source: Bacula Community 9.6.x e Baculum 9.6.x

Lenon Correa — Wed, 10 Jun 2020 19:38:02 +0000

O Bacula é um software que permite você (ou o administrador de sistema) administrar backup, restauração e verificação dos dados de computadores em uma rede de sistemas mistos.
Por ser tão flexível o Bacula é considerado um framework de backup, podendo ser implementado nas mais diferentes estruturas corporativas.

Funcionalidades:

Geração de formato aberto (não proprietário) de gravação (pode ser lido pelo tar e dump do Unix) – adeus ao aprisionamento tecnológico;
Armazenamento do seu catálogo em banco de dados padrão SQL: SQLite,PostgreSQL ou MySQL;
Suporte a compressão dos backups nos algorítimos livres GZIP e LZO;
GPL – sem custos com licenças, conhecimento e possibilidade de customização da ferramenta na versão community.

E de quebra, ainda vamos instalar o Baculum, que é a Web Gui (interface gráfica) Oficial do Bacula Community, permitindo que o administrador de backup altere configurações de backup sem precisar editar arquivos texto. Além disso uma API é disponibilizada, facilitando a integração com outros softwares, interfaces e consoles.

Primeiramente me chamo Lenon Corrêa, trabalho em uma empresa de Cloud Computing, a Staybox, fornecemos serviços de hospedagem, máquinas virtuais, backup em nuvem, licenciamento de software e outros do nível (se precisar de algo, me chame kkkk). Já trabalhei com o Rudimar, assim veio a oportunidade deste post. Antes de mais nada, é o 1º post, então deem seus feedbacks sobre o conteúdo e tirem suas dúvidas, criticas construtivas sempre serão aceitas. Sem mais delongas, vamos ao que realmente interessa!

Requisitos:
* Debian 10 (Buster) -> Instalação Limpa

* Tunning Bash -> Bash colorido (Este tique aprendi com o Rudimar kkk)

Instalação

Na primeira etapa, instalamos pacotes necessários para a compilação do Bacula, estas bibliotecas são indispensáveis para o bom funcionamento do software e andamento da instalação.

# su -
# apt install vim make gcc build-essential perl unp mc mtx libreadline7 \
  libreadline5-dbg libreadline-gplv2-dev zlib1g-dev lzop liblzo2-dev python-lzo sudo \
  gawk gdb libacl1 libacl1-dev libssl-dev lsscsi apt-transport-https qt4-dev-tools \
  qt4-qtconfig libqt4-dev libqwt5-qt4 libqwt5-qt4-dev pkg-config wget -y

:: Instalação do banco de dados ::

Os banco de dados homologados pelo Bacula são: PostgreSQL, SQLite e MySQL. Então sinta-se livre para usar qualquer um deles, os passos que se alteram desta instalação são minímos.
Já vi pessoas também instalando com o MariaDB, em suma ele é praticamente igual ao MySQL, então não deve acarretar inconsistências. Mas vamos seguir a risca as recomendações da comunidade e vamos instalar a versão 5.7 Community do MySQL (Também já fui orientado a usar PostgreSQL, pois o desempenho é superior, mas como meu conhecimento é relativamente baixo, prefiro ir de MySQL mesmo, que sei tratar erros, se acontecerem).

Primeiro, adicionamos a chave GPG do MySQL Community, em seguida adicionamos em nossa máquina para reconhecer o reposítório.

# wget -qO - https://repo.mysql.com/RPM-GPG-KEY-mysql --no-check-certificate | apt-key add -

Agora, adicionamos os repositórios, em seguida update.

# cat </etc/apt/sources.list.d/mysql.list 
deb http://repo.mysql.com/apt/debian/ buster mysql-apt-config
deb http://repo.mysql.com/apt/debian/ buster mysql-5.7
deb http://repo.mysql.com/apt/debian/ buster mysql-tools
deb http://repo.mysql.com/apt/debian/ buster mysql-tools-preview
deb-src http://repo.mysql.com/apt/debian/ buster mysql-5.7
EOF

Atualize os repositórios.

# apt update

Se tudo correu bem até aqui, vamos finalmente aos pacotes do MySQL:

# apt install mysql-community-server libmysqlclient-dev -y

Durante a instalação, o MySQL oferta se você deseja adicionar uma senha ao root para acessar o banco, se sim, insira a senha, caso contrário apenas tecle enter e prossiga.

Agora vamos criar um usuário para o Bacula no banco de dados, entre no banco com o comando a seguir:

# mysql

Ou, caso você tenha inserido uma senha de root no banco:

# mysql -u root -p

Os comandos abaixo são executados dentro do banco de dados, por tanto cuidado. Gere uma hash de senha e faça a alteração na linha 3.
O que estas linhas fazem são, simplesmente adicionar um usuário ao banco e dar os devidos privilégios para que ele possa inserir, deletar e alterar registros das tabelas que criaremos no futuro deste tutorial.

CREATE USER bacula;
GRANT ALL ON *.* TO 'bacula'@'localhost' IDENTIFIED BY 'SUA_SENHA_AQUI' WITH GRANT OPTION;
GRANT SELECT ON mysql.proc TO 'bacula';
FLUSH PRIVILEGES;
QUIT

Para as alterações terem eficácia, restarte o serviço SQL.

# /etc/init.d/mysql restart

Nos comandos seguintes, vamos entrar no diretório onde serão compilados os pacotes do Bacula. Na data de hoje 05/06 se encontra na versão 9.6.4, você pode conferir atualizar neste link. Vamos baixar o fonte, descompactá-lo e entrar na pasta seguinte.

# cd /usr/src
# wget --no-check-certificate https://sourceforge.net/projects/bacula/files/bacula/9.6.4/bacula-9.6.4.tar.gz
# tar xvzf bacula-9.6.4.tar.gz
# cd bacula-9.6.4

Dentro da pasta ‘bacula-9.6.4’, execute o comando abaixo, ele vai configurar algumas diretivas que interferem diretamente na compilação do Bacula, portanto altere usuário e senha do banco de dados, conforme criou anteriormente, em:
–with-db-user=’usuario_do_banco’
–with-db-password=’SENHA_DO_BANCO_AQUI’
–with-hostname=’ip_da_sua_maquina’
Qualquer outra alteração faça com cuidado.

# ./configure \
 --enable-smartalloc \
 --with-mysql \
 --with-db-user=bacula \
 --with-db-password='SENHA_DO_BANCO_AQUI' \
 --with-db-port=3306 \
 --with-openssl \
 --with-readline=/usr/include/readline \
 --sysconfdir=/etc/bacula \
 --bindir=/usr/bin \
 --sbindir=/usr/sbin \
 --with-scriptdir=/etc/bacula/scripts \
 --with-plugindir=/etc/bacula/plugins \
 --with-pid-dir=/var/run \
 --with-subsys-dir=/etc/bacula/working \
 --with-working-dir=/etc/bacula/working \
 --with-bsrdir=/etc/bacula/bootstrap \
 --with-basename=bacula \
 --with-hostname=10.246.247.90 \
 --with-systemd \
 --disable-conio \
 --disable-nls \
 --with-logdir=/var/log/bacula

O retorno será conforme na imagem:

Chegamos na compilação dos pacotes, até aqui tudo certo, né?
A seguir, temos os comandos que compilam o Bacula. Rode-os e aguarde!

# make -j 8
# make install
# make install-autostart

Os próximos comandos alteram permissão de escrita e leitura da pasta onde fica o Bacula, e após entra na pasta.

# chmod -R 775 /etc/bacula
# cd /etc/bacula/scripts

Agora vamos criar o banco de dados, tabelas e dar privilégios ao usuário do bacula. (Dependendo como você instalou o banco você usa o ‘-u root -p’ ou não).

# /etc/bacula/scripts/create_mysql_database -u root -p
# /etc/bacula/scripts/make_mysql_tables -u root -p
# /etc/bacula/scripts/grant_mysql_privileges -u root -p

Para fazer atualização do bacula você repete o mesmo procedimento da instalação, porém execute:

# /etc/bacula/scripts/update_bacula_tables -u root -p
# /etc/bacula/scripts/update_mysql_tables -u root -p
# /etc/bacula/scripts/grant_mysql_privileges -u root -p

Feito isso com sucesso, vamos restartar o bacula e checar o status com os comandos.

# bacula restart
# bacula status

O retorno dos comandos deverá ser o seguinte:

Agora vamos entrar no console do bacula com o comando:

# bconsole

Se tudo correu bem, receberá o retorno de acordo com a imagem abaixo:

Para sair do console:

* exit

:: Instalação do Baculum 9.6.x ::

Antes de instalarmos o baculum, precisamos do Apache e do PHP, usaremos a versão 7.3. A versão recomendada é a 7.2, mas em meus testes a 7.3 funcionou bem, não apresentando falhas, (aqui saí das recomendações kkk), use a versão que desejar.
Entre com os comandos abaixo pra instalar os pacotes citados anteriormente.

# apt install php7.3-{common,bcmath,bz2,intl,gd,mbstring,mysql,zip,curl} -y
# apt install apache2 libapache2-mod-php7.3 -y

Vamos a instalação do Baculum, baixamos a chave e ativamos em nossa máquina.

# wget -qO - http://bacula.org/downloads/baculum/baculum.pub | apt-key add -

Agora, adicionamos os repositórios, em seguida update.

# cat </etc/apt/sources.list.d/baculum.list
deb [ arch=amd64 ] http://bacula.org/downloads/baculum/stable/debian buster main
deb-src http://bacula.org/downloads/baculum/stable/debian buster main
EOF

# apt update

Após, vamos verificar uma coisa, se o repositório encontrado foi da versão 9.6.”4″. O retorno deve ser como na imagem na sequência.

# apt info baculum-web

Agora sim, finalmente vamos instalar os pacotes do Baculum.

# apt install baculum-api baculum-api-apache2 baculum-common bacula-console baculum-web baculum-web-apache2 -y

Durante a instalação, vamos receber o questionamento como na imagem abaixo. Selecione “manter a versão local atualmente instalada”.

Aqui damos algumas permissões necessárias para que o Baculum consiga rodar comando em nosso bconsole.

# cat </etc/sudoers.d/baculum
www-data ALL=NOPASSWD: /usr/sbin/bconsole
www-data ALL=NOPASSWD: /etc/bacula/confapi
www-data ALL=NOPASSWD: /usr/sbin/bdirjson
www-data ALL=NOPASSWD: /usr/sbin/bbconsjson
www-data ALL=NOPASSWD: /usr/sbin/bfdjson
www-data ALL=NOPASSWD: /usr/sbin/bsdjson
www-data ALL=NOPASSWD: /usr/bin/systemctl
EOF

Adicionamos o bacula ao grupo do apache e mudamos as permissões da pasta onde fica.
Necessário para que o baculum consiga editar arquivos da pasta.

# usermod -aG bacula www-data 
# chown -R www-data:bacula /etc/bacula

Aqui ativamos o modo rewrite do apache, as interfaces do baculum e da api. Em seguida restartamos o apache.

# a2enmod rewrite ldap
# a2ensite baculum-web baculum-api
# systemctl restart apache2

Agora vamos a parte Web, acesse o ip da máquina e a porta 9096, no meu caso 10.246.247.90:9096, faça login com usuário: admin. Senha: admin. E chegará na tela a seguir, selecione o idioma e avance, aqui nesta parte é tudo muito intuítivo.

Selecione Sim, e insira a senha do dados do banco de dados (usuário bacula), Endereço IP informe 127.0.0.1, Teste e Prossiga.

Selecione sim e marque a opção “Obter configuração do sudo” teste e avance.

Selecione sim. Em “Diretório de trabalho do Baculum para a configuração do Bacula” insira “/etc/bacula/working“, marque “Obter configuração do sudo” teste as configurações e avance para a etapa seguinte.

Selecione Sim, marque a opção “Obter configuração do sudo” e prossiga.

Crie um usuário para acessar a interface da API, avance.

Aqui você vera uma revisão das configurações criadas anteriomente, ao avançar esta etapa o login será solicitado. Realize-o com as credenciais criadas.

Eu optei por criar um usuário específico para usar a API. Clique em “Listar usuários HTTP Básico” e em “Novo usuário HTTP Básico”, informe os dados e clique em adicionar, conforme abaixo.

Acesse seus IP na na porta 9095, para finalmente configurarmos o Baculum. (Entre com admin/admin).

Selecione o idioma e avance.

Insira as credenciais criadas antes (no meu ex eu criei um usuário api), para que o baculum acesse a API, clique em testar e avance.

Ajuste o usuário para acessar o Baculum nesta etapa e prossiga.

Novamente uma revisão das informações, clique em “Salvar”.

E pronto, chegamos ao fim. Bacula com interface gráfica prontinho para uso.

Vamos conferir se o endereço IP (Address) está o IP de localhost, a alteraremos para o IP da interface do servidor.

# vim /etc/bacula/bacula-dir.conf

Localize Storage {} e confira o parâmetro ‘Address’, altere o IP de localhost 127.0.0.1 para o IP da interface de rede da sua maquina. Se esses endereços ficarem incorretos, o bacula até consegue conversar com nosso cliente, porém nosso cliente não sabe para onde deve enviar os backup’s (a explicação é um pouco mais longa que isso, mas brevemente é o que acontece).

#...
Storage {
  Name = "File1"
  SdPort = 9103
  Address = "SEU_IP_AQUI" 
  Password = "xxxxxxxxxxxxxxxxxx"
  Device = "FileChgr1"
  MediaType = "File1"
  Autochanger = "File1"
  MaximumConcurrentJobs = 10
}
Storage {
  Name = "File2"
  SdPort = 9103
  Address = "SEU_IP_AQUI"
  Password = "xxxxxxxxxxxxxxxxxxxxxxxx"
  Device = "FileChgr2"
  MediaType = "File2"
  Autochanger = "File2"
  MaximumConcurrentJobs = 10
}
#...

Feito essa alteração, vamos conferir, não é mesmo?

# bacula restart
# bconsole

Dentro do console, você pode verificar um cliente (deixarei o exemplo já já):

* status network client=deb10-fd

Agora você pode gerar seus backups de máquinas Linux, Windows, Banco de dados… As possibilidades são infinitas. Crie suas rotinas, escolha do que fazer backup e faça seus testes. PS: Ainda pode ser necessário atualizar algumas diretivas direto no terminal, nos arquivos de configuração, portanto recomendo que leia a documentação, neste link.

:: Extras – Add um cliente::

Aqui vou deixar ainda, um exemplo de configuração de um cliente Linux, para que você não fique tão perdido assim em meio a tanta informação.

:: No lado do cliente ::

Para isso instale bacula-fd

# apt install bacula-fd -y

Ajuste as configurações em /etc/bacula/bacula-fd.conf

# vim /etc/bacula/bacula-fd.conf

Director {
  Name = bacula-dir
  Password = "4nyrNNFD1IyWlQNgjXorr4bdWx8_kgHCP"
}
#Director {
#  Name = deb10-mon
#  Password = "GjRiOZ1KxjAXw2_LVe2H4ruZShoZIdnCQ"
#  Monitor = yes
#}
FileDaemon {                    
  Name = deb10-fd
  FDport = 9102                 
  WorkingDirectory = /var/lib/bacula
  Pid Directory = /run/bacula
  Maximum Concurrent Jobs = 20
  Plugin Directory = /usr/lib/bacula
  #FDAddress = 127.0.0.1
}
Messages {
  Name = Standard
  director = deb10-dir = all, !skipped, !restored
}

O campo ‘Name’, em Director é o nome do nosso servidor, por padrão ele vem com ‘bacula-dir‘, e em nosso servidor criamos assim então não precisamos alterar, o campo ‘Password’ é a senha que o Bacula usará para se conectar em nossa máquina (precisaremos dela adiante). Em ‘FileDaemon’ vamos pegar o ‘Name’, que vamos usar para criar nosso cliente na interface gráfica. Basicamente isso, existem outros parâmetros que podem ser usados, para ver quais são consulte a documentação, mas com essas informações básicas já faremos um backup funcionar!

Restarte o bacula-fd

# systemctl restart bacula-fd

:: No lado do servidor ::

Agora voltamos ao Baculum, IP:9095.
Na sidebar da esquerda clique em ‘Clientes”, em seguida na tela que vai aparecer, clique em ‘Adicionar cliente’.

Agora vamos adicionar nosso 1º cliente de backup. Entre com as informações, ‘Name’ insira o nome que estava na aba ‘FileDaemon’ de nosso cliente, ‘Address’ é o IP da máquina do cliente, ‘Password’ é a senha, que também estava no cliente (como falei antes). Em ‘Catalog’ selecione ‘MyCatalog’, clique em ‘Criar’, um pop-up se abrirá indicando sucesso na adição do cliente, clique em ‘Ok’.

Agora, clique na flecha azul, ao lado do cliente que adicionamos e em seguida clique em ‘Detalhar’.

Nesta aba, clique ‘Status do cliente’, e rapidamente será feita uma captura de informações sobre nosso cliente de backup. Tudo pronto para o backup.

Confira também o GitHub do Wanderlei Huttel, a base deste tuto veio de lá, e também tem muito material complementar lá, como scripts de envio de dados para o Telegram e muito mais. Não trataremos aqui pra não ficar muito extenso.

Acompanhe a comunidade do Bacula no Telegram neste link, boa parte das suas dúvidas outras pessoas já tiveram, então é só pesquisar no grupo.

Se tiver qualquer pergunta deixe nos comentários. Espero que tenha ajudado você, qualquer dúvida você me encontra la no grupo https://t.me/remontticombr
Abraço!

Autor: Lenon Correa https://t.me/lenon_correa

Fontes:

http://softwarelivre.org/heitorfaria/blog/baculum-9-configuracao-grafica-do-bacula-administracao-e-api
https://github.com/wanderleihuttel/bacula-utils/blob/master/tutorial/bacula_install_debian10.txt
https://github.com/wanderleihuttel/bacula-utils/blob/master/tutorial/baculum_install_debian9.sh

O que é o Bacula?

Página Inicial

O post Solução de backup completa Open Source: Bacula Community 9.6.x e Baculum 9.6.x apareceu primeiro em Remontti.

Instalação do Zabbix 4.4 no Debian 10 Buster

Rudimar Remontti — Sat, 08 Feb 2020 18:30:27 +0000

O Zabbix é uma solução de nível enterprise, de código aberto. O Zabbix é um software que monitora vários parâmetros da rede, dos servidores e da saúde dos serviços. Utiliza-se de um mecanismo flexível de notificação que permite configurar alertas por e-mail entre outros como Telegram, para praticamente qualquer evento. As notificações permitem que se reaja rapidamente à problemas no ambiente. O Zabbix oferece excelentes recursos de relatórios e visualização de dados armazenados. Isso faz com que o Zabbix seja a ferramenta ideal para planejamento de capacidade.

Requisitos:
* Debian 10 (Buster) -> Instalação Limpa
* Passo-a-passo como criar um servidor WEB Apache + PHP + MariaDB + phpMyAdmin no Debian 10 Buster “LAMP”

Para instalação do Zabbix vamos incluir o repositório do oficial do Zabbix.

# su -
# cd /tmp

Versão 4.4

# wget https://repo.zabbix.com/zabbix/4.4/debian/pool/main/z/zabbix-release/zabbix-release_4.4-1+buster_all.deb
# dpkg -i zabbix-release_4.4-1+buster_all.deb

Atualize o repositório e realize a instalação

# apt update ; apt upgrade
# apt install zabbix-server-mysql zabbix-frontend-php zabbix-agent

Vamos criar uma base de dados chamada zabbix e um usuário também chamado de zabbix no MariaDB.
Não esqueça de alterar a senha: Use o gerador de senha: https://senhasegura.remontti.com.br/

# mariadb -u root -p

CREATE DATABASE zabbix CHARACTER SET utf8 collate utf8_bin;
GRANT ALL PRIVILEGES ON zabbix.* TO zabbix@localhost IDENTIFIED BY 'SUA_SENHA';
FLUSH PRIVILEGES;
EXIT;

Importe o esquema de tabelas e dados padrões. (Demora um pouco!)

# zcat /usr/share/doc/zabbix-server-mysql/create.sql.gz | mysql -uzabbix -p zabbix

Digite a senha de seu usuário zabbix criada no passo anterior para importar as tabelas.

Edite o arquivo zabbix_server.conf para informar os dados para conexão com o MySQL.

# vim /etc/zabbix/zabbix_server.conf

Procure por # DBPassword= descomente e sete sua senha.

#...
DBPassword=SUA_SENHA
#...

Parece que na versão 4.4 esqueceram do arquivo do apache (pelo menos até hj) então será necessário cria-lo.

# vim /etc/zabbix/apache.conf

Ajuste o timezone pela sua região.


    Alias /zabbix /usr/share/zabbix



    Options FollowSymLinks
    AllowOverride None
   # Se quiser limitar apenas o acesso a alguns ips da rede
   # AllowOverride all
   # Require ip 127.0.0.1 ::1 200.200.200.192/29 2001:db8:bebe::/48

    
        php_value max_execution_time 300
        php_value memory_limit 512M
        php_value post_max_size 100M
        php_value upload_max_filesize 80M
        php_value max_input_time 300
        php_value max_input_vars 10000
        php_value always_populate_raw_post_data -1
        php_value date.timezone America/Sao_Paulo
    



    Order deny,allow
    Deny from all
    
        Order deny,allow
        Deny from all
    



    Order deny,allow
    Deny from all
    
        Order deny,allow
        Deny from all
    



    Order deny,allow
    Deny from all
    
        Order deny,allow
        Deny from all
    



    Order deny,allow
    Deny from all
    
        Order deny,allow
        Deny from all

Por segurança recomendo remover a assinatura do servidor, evitando os “espertinhos”

# sed -i 's/ServerTokens OS/ServerTokens Prod/' /etc/apache2/conf-available/security.conf
# sed -i 's/ServerSignature On/ServerSignature Off/' /etc/apache2/conf-available/security.conf

Lincamos as configurações e restartamos o apache.

# ln -s /etc/zabbix/apache.conf /etc/apache2/conf-available/zabbix.conf
# a2enconf zabbix 
# systemctl restart apache2

Iniciando o Zabbix Server e Agente junto com a inicialização do sistema.

# systemctl enable zabbix-server zabbix-agent
# systemctl restart zabbix-server zabbix-agent

Acesse em seu navegador http://seu_ip/zabbix

Next Step

Se tudo estiver ok: Next step

Informe a senha do banco de dados criada anteriormente para o zabbix, e clique em Next step.

Next step

Entre com Usuário Admin e senha zabbix

Entre com Usuário Admin e senha zabbix

Para trocar o idioma para português, clique no ícone no canto direito superior no “bonequinho”

Selecione Português

Seu Zabbix agora está em PT-BR

Você pode gostar de integra-lo com o telegram:
Zabbix 4 + Alertas no Telegram via Bot
Instalação do Grafana e integrando com Zabbix 4

Script de Backup

https://github.com/remontti/zabbix-backup

Este script backup script tem suporte ao (MariadB/MySQL/PostgreSQL) e não salva o históricos, tornado um backup rápido e salvando somente o necessário.

Baixe o script (em um diretório de sua escolha)

# wget https://raw.githubusercontent.com/remontti/zabbix-backup/master/zabbix-dump

De permissão de execução:

# chmod +x zabbix-dump

Execute

# ./zabbix-dump

Ele irá gerar um arquivo zabbix_cfg_localhost_202XXXXX-XXXX_db-mysql-4.x.x.sql.gz basta você copia-lo ou criar uma rotina que rode o script e envie para seu servidor de backup… (seja criativo)

Gostou?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fontes:
https://www.zabbix.com/documentation/

O post Instalação do Zabbix 4.4 no Debian 10 Buster apareceu primeiro em Remontti.

Como criar um servidor FTP (Pure-FTPd) com usuário no banco de dados (MariaDB) usando Debian 10

Rudimar Remontti — Wed, 18 Dec 2019 00:50:02 +0000

Requisito:
Debian 10 Stretch / Instalação Limpa

Vire root de maneira correta no Debian 10!

# su -

Instalação do banco de dados MariaDB

# apt install mariadb-server mariadb-client

Por padrão o pacote MaraiDB no Debian usa unix_socket para autenticar o login do usuário, o que basicamente significa que você pode usar o nome de usuário e a senha do sistema operacional para efetuar login no console do MariaDB.
Assim, você pode logar diretamente sem fornecer a senha root do MariaDB. Mas isso é estranho, pois minha senha do root do MariaDB é diferente do meu usuário unix.
Bom se você é meio paranoico com segurança, para alterar a senha do usuário root do MariaDB de forma bruta faça o seguinte:

# mariadb -u root

USE mysql;
UPDATE user SET password=PASSWORD('SENHA_DB_ROOT') WHERE User='root';
UPDATE user SET plugin="mysql_native_password";
FLUSH PRIVILEGES;
quit;

Instalação do Pure FTP

# apt install pure-ftpd-mysql

Agora criaremos nosso grupo FTP (grupoftp) e usuário (pureftpd) para que nosso usuários virtuais sejam mapeados.

# groupadd -g 2001 ftpgroup
# useradd -u 2001 -s /bin/false -d /bin/null -c "pureftpd user" -g ftpgroup ftpuser

# vim /etc/default/pure-ftpd-common

altere

UPLOADUID=
UPLOADGID=

para

UPLOADUID=2001
UPLOADGID=2001

Próximo passo criar a nossa base de dados, onde ficaram armazenado as informações dos nossos usuários.

# mariadb -u root -p

Entre com a senha de root criada anteriormente. Não esqueça de alterar senha (SENHA_FTP_USER).

CREATE DATABASE pureftpd;
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON pureftpd.* TO 'pureftpd'@'localhost' IDENTIFIED BY 'SENHA_FTP_USER';
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON pureftpd.* TO 'pureftpd'@'localhost.localdomain' IDENTIFIED BY 'SENHA_FTP_USER';
FLUSH PRIVILEGES;

Crie a tabela

USE pureftpd;

CREATE TABLE ftpd (
User varchar(16) NOT NULL default '',
status enum('0','1') NOT NULL default '0',
Password varchar(64) NOT NULL default '',
Uid varchar(11) NOT NULL default '-1',
Gid varchar(11) NOT NULL default '-1',
Dir varchar(128) NOT NULL default '',
ULBandwidth smallint(5) NOT NULL default '0',
DLBandwidth smallint(5) NOT NULL default '0',
comment tinytext NOT NULL,
ipaccess varchar(15) NOT NULL default '*',
QuotaSize smallint(5) NOT NULL default '0',
QuotaFiles int(11) NOT NULL default 0,
PRIMARY KEY (User),
UNIQUE KEY User (User)
);

quit;

Salve o arquivo original /etc/pure-ftpd/db/mysql.conf e crie um novo com novas configurações, mais uma vez preste atenção a senha [SENHA_FTP_USER].

# mv /etc/pure-ftpd/db/mysql.conf /etc/pure-ftpd/db/mysql.conf_orig
# vim /etc/pure-ftpd/db/mysql.conf

Adicione:

MYSQLSocket /var/run/mysqld/mysqld.sock
MYSQLUser pureftpd
MYSQLPassword SENHA_FTP_USER
MYSQLDatabase pureftpd
MYSQLCrypt md5
MYSQLGetPW SELECT Password FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetUID SELECT Uid FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetGID SELECT Gid FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetDir SELECT Dir FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthUL SELECT ULBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthDL SELECT DLBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTASZ SELECT QuotaSize FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTAFS SELECT QuotaFiles FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")

Esteja certo que você mudou o campo MYSQLPassword ‘SENHA_FTP_USER’

# echo yes > /etc/pure-ftpd/conf/ChrootEveryone
# echo yes > /etc/pure-ftpd/conf/CreateHomeDir
# echo 1 > /etc/pure-ftpd/conf/TLS
# echo HIGH > /etc/pure-ftpd/conf/TLSCipherSuite

Gere os certificados.

# openssl dhparam -out /etc/ssl/private/pure-ftpd-dhparams.pem 2048
# openssl req -x509 -nodes -newkey rsa:2048 -sha256 -keyout \
  /etc/ssl/private/pure-ftpd.pem \
  -out /etc/ssl/private/pure-ftpd.pem
# chmod 600 /etc/ssl/private/*.pem

Entre no mariadb com seu usuario pureftpd e senha para fazer a criação do usuário ftp, no meu ex vou criar o usuário chamado remontti.

# mysql -u pureftpd -p

USE pureftpd;

INSERT INTO `ftpd` (`User`, `status`, `Password`, `Uid`, `Gid`, `Dir`, `ULBandwidth`, `DLBandwidth`, `comment`, `ipaccess`, `QuotaSize`, `QuotaFiles`) 
VALUES ('remontti', '1', MD5('SUA_SENHA'), '2001', '2001', '/var/pure-ftpd/remontti', '100', '100', '', '*', '50', '0');

quit;

Limpe o histórico do mariadb. Não queremos ninguém vendo o q digitamos lá

# echo > /root/.mysql_history

Ao fazer login o diretório /var/pure-ftpd/USUARIO será criado automaticamente.

Restarte o serviço e verifique o status do mesmo

# systemctl restart pure-ftpd-mysql
# systemctl status pure-ftpd-mysql

Sempre que você queira criar um novo usuário, você tem que criar uma entrada na tabela ftpd.
Explicando a estrutura da tabela:

Protegendo com Fail2ban

# apt install fail2ban
# echo yes > /etc/pure-ftpd/conf/DontResolve
# vim /etc/fail2ban/jail.d/defaults-debian.conf

Adicione o filtro pure-ftpd.

[sshd]
enabled = true
[pure-ftpd]
enabled = true

Restarte o fail2ban

# systemctl restart fail2ban

Se você tiver interesse em ter uma interface web para gerenciamento recomendo:
Passo-a-passo como criar um servidor WEB Apache + PHP + MariaDB + phpMyAdmin no Debian 10 Buster “LAMP”

Gostou?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fonte: http://download.pureftpd.org/pub/pure-ftpd/doc/README.MySQL

O post Como criar um servidor FTP (Pure-FTPd) com usuário no banco de dados (MariaDB) usando Debian 10 apareceu primeiro em Remontti.

Como instalar o MySQL 8 Server (Oracle) no Debian 10 Buster

Rudimar Remontti — Tue, 30 Jul 2019 20:28:32 +0000

Desde o lançamento do Debian o mysql foi substituído mariadb. Neste tutorial vamos aprender a fazer a instalação do MySQL

A equipe do MySQL Release Engineering fornece repositórios para o Debian 10 Buster incluindo o servidor MySQL 8.0.

Requisitos:
– Debian 10 (Instalação limpa)

# apt install wget gnupg vim apt-transport-https

Adicione o Repositórios da Oracle.

# echo -e "deb http://repo.mysql.com/apt/debian/ buster mysql-8.0\ndeb-src http://repo.mysql.com/apt/debian/ buster mysql-8.0" > /etc/apt/sources.list.d/mysql.list

Antes de atualizar o repositório você deve adicionar a chave pública.

# wget -O /tmp/RPM-GPG-KEY-mysql https://repo.mysql.com/RPM-GPG-KEY-mysql
# apt-key add /tmp/RPM-GPG-KEY-mysql

Atualizamos o repositório e instalamos o mysql-sever da Oracle

# apt update
# apt install mysql-server

Defina a senha de root do MySQL

No MySQL 8 a autenticação é diferente de seus antecessores, e até o momento não é reconhecido pelo PHP 7, o que gera o erro “The server requested authentication method unknown to the client” ao tentar conectar-se.

A não ser que você realmente saiba o que esta fazendo selecione : Use Legacy Authentication Method (Retain MySQL 5.x Compatibility)

Aumentando a segurança do Mysql

# mysql_secure_installation

Defina o nível de segurança de acordo com suas necessidades.

Securing the MySQL server deployment.

Enter password for user root:

VALIDATE PASSWORD COMPONENT can be used to test passwords
and improve security. It checks the strength of password
and allows the users to set only those passwords which are
secure enough. Would you like to setup VALIDATE PASSWORD component?

Press y|Y for Yes, any other key for No: Y

There are three levels of password validation policy:

LOW Length >= 8
MEDIUM Length >= 8, numeric, mixed case, and special characters
STRONG Length >= 8, numeric, mixed case, special characters and dictionary file

Please enter 0 = LOW, 1 = MEDIUM and 2 = STRONG: 2
Using existing password for root.

Estimated strength of the password: 50
Change the password for root ? ((Press y|Y for Yes, any other key for No) :

... skipping.
By default, a MySQL installation has an anonymous user,
allowing anyone to log into MySQL without having to have
a user account created for them. This is intended only for
testing, and to make the installation go a bit smoother.
You should remove them before moving into a production
environment.

Remove anonymous users? (Press y|Y for Yes, any other key for No) : Y
Success.

Normally, root should only be allowed to connect from
'localhost'. This ensures that someone cannot guess at
the root password from the network.

Disallow root login remotely? (Press y|Y for Yes, any other key for No) : Y
Success.

By default, MySQL comes with a database named 'test' that
anyone can access. This is also intended only for testing,
and should be removed before moving into a production
environment.

Remove test database and access to it? (Press y|Y for Yes, any other key for No) : Y
- Dropping test database...
Success.

- Removing privileges on test database...
Success.

Reloading the privilege tables will ensure that all changes
made so far will take effect immediately.

Reload privilege tables now? (Press y|Y for Yes, any other key for No) : Y
Success.

All done!

Dica.
Se você for fazer a instalação do phpMyAdmin crie o usuario da seguinte forma:

CREATE DATABASE phpmyadmin CHARACTER SET utf8 collate utf8_bin;
CREATE USER 'pma'@'localhost' IDENTIFIED BY 'SUA_SENHA';
GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' WITH GRANT OPTION;
FLUSH PRIVILEGES;
EXIT;

Parabéns! Você concluiu! Gostou?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Como instalar o MySQL 8 Server (Oracle) no Debian 10 Buster apareceu primeiro em Remontti.

Passo-a-passo como criar um servidor WEB Apache + PHP + MariaDB + phpMyAdmin no Debian 10 Buster “LAMP”

Rudimar Remontti — Tue, 16 Jul 2019 19:05:12 +0000

Distribuição utilizada: Debian 10 Stretch / Instalação Limpa
Vale lembrar que desde o Debian 9 o PHP foi atualizado para a versão 7 e agora para 7.3, e o MySQL foi substituído pelo seu fork MariaBD
Antes de mais nada tenha seu repositório atualizado

# su -
# apt update
# apt upgrade

:: Instalação do Apache 2.4 ::

# apt install apache2 apache2-utils

Vamos habilitar o mod_rewrite do Apache que é muito utilizado.
Este é um módulo do Apache que utiliza um mecanismo baseado em regras de reescrita.
Vamos ao comando para habilita-lo:

# a2enmod rewrite

A página que vimos ao abri o ip do nosso servidor no navegador fica no diretório /var/www/html, isso está sendo informado no arquivo default do apache que fica em /etc/apache2/sites-enabled/000-default.conf, e para que nosso mod_rewrite funcione corretamente será necessário adicionar alguma linhas.

# vim /etc/apache2/sites-enabled/000-default.conf

Adicione abaixo de “DocumentRoot /var/www/html” o seguinte:

	
    		Options FollowSymLinks
    		AllowOverride All

Agora precisamos restartar o apache2 para que tenha efeito as alterações.

# systemctl restart apache2

http://[SERVER_IP]/

Por segurança remova a assinatura do apache.

# sed -i 's/ServerTokens OS/ServerTokens Prod/' /etc/apache2/conf-available/security.conf
# sed -i 's/ServerSignature On/ServerSignature Off/' /etc/apache2/conf-available/security.conf

:: Instalação do MariaDB 10.3 ::

# apt install mariadb-server mariadb-client

Por padrão o pacote MaraiDB no Debian usa unix_socket para autenticar o login do usuário, o que basicamente significa que você pode usar o nome de usuário e a senha do sistema operacional para efetuar login no console do MariaDB.
Assim, você pode logar diretamente sem fornecer a senha root do MariaDB. Mas isso é estranho, pois minha senha do root do MariaDB é diferente do meu usuário unix.
Bom se você é meio paranoico com segurança, para alterar a senha do usuário root do MariaDB de forma bruta faça o seguinte:

# mariadb -u root

USE mysql;
UPDATE user SET password=PASSWORD('SENHA.db.ROOT') WHERE User='root';
UPDATE user SET plugin="mysql_native_password";
FLUSH PRIVILEGES;
quit;

:: Instalação do PHP 7.3 ::

Vou incluir algumas extensões do PHP que são normalmente utilizada

# apt install libapache2-mod-php php php-mysql php-cli php-pear php-gmp php-gd php-bcmath php-mbstring php-curl php-xml php-zip

É necessário reiniciar o apache para que o php tenha efeito.

# systemctl restart apache2

Consultado informações de versão:

# php --version

PHP 7.3.4-2 (cli) (built: Apr 13 2019 19:05:48) ( NTS )
Copyright (c) 1997-2018 The PHP Group
Zend Engine v3.3.4, Copyright (c) 1998-2018 Zend Technologies
    with Zend OPcache v7.3.4-2, Copyright (c) 1999-2018, by Zend Technologies

Você pode criar um arquivo php com a função phpinfo() para mostrar todas as informações.

# echo '' > /var/www/html/phpinfo.php

http://[SERVER_IP]/phpinfo.php

:: phpMyAdmin ::

Cade ele do repositório?
O PHPMyAdmin não está mais disponível como pacote .deb no Debian 10. Fazendo um pesquisa o motivo é que o “pessoal” que faz empacotamento não tem uma versão estável. https://security-tracker.debian.org/tracker/CVE-2018-19968
Desta forma debian “obriga” com que o usuário instale-o a partir da fonte. https://www.phpmyadmin.net/downloads/

# apt install wget

Escolha qual versão do irá utilizar phpMyAdmin 5.x.x ou 4.x.x

# cd /tmp/

Para phpMyAdmin 5 (06/04/2020)

# wget https://files.phpmyadmin.net/phpMyAdmin/5.0.4/phpMyAdmin-5.0.4-all-languages.tar.gz
# tar -vxzf phpMyAdmin-5.0.4-all-languages.tar.gz -C /usr/share/
# mv /usr/share/phpMyAdmin-5.0.4-all-languages /usr/share/phpmyadmin

Para phpMyAdmin 4 (06/04/2020)

# wget https://files.phpmyadmin.net/phpMyAdmin/4.9.5/phpMyAdmin-4.9.5-all-languages.tar.gz
# tar -vxzf phpMyAdmin-4.9.5-all-languages.tar.gz -C /usr/share/
# mv /usr/share/phpMyAdmin-4.9.5-all-languages /usr/share/phpmyadmin

Seguimos para phpMyAdmin 5 ou 4

# mkdir /etc/phpmyadmin
# touch /etc/phpmyadmin/htpasswd.setup
# mkdir -p /var/lib/phpmyadmin/tmp
# chown www-data. /var/lib/phpmyadmin/ -R

Criaremos o arquivo de configuração do Apache.

# vim /etc/apache2/conf-available/phpmyadmin.conf

# phpMyAdmin default Apache configuration

Alias /phpmyadmin /usr/share/phpmyadmin


 Options FollowSymLinks
 DirectoryIndex index.php

 
 AddType application/x-httpd-php .php

 php_flag magic_quotes_gpc Off
 php_flag track_vars On
 php_flag register_globals Off
 php_value include_path .
 



# Authorize for setup

 
 AuthType Basic
 AuthName "phpMyAdmin Setup"
 AuthUserFile /etc/phpmyadmin/htpasswd.setup
 
 Require valid-user


# Disallow web access to directories that don't need it

 Order Deny,Allow
 Deny from All


 Order Deny,Allow
 Deny from All

Se deseja deixar o atalho para o phpmyadmin restrito apenas aos seus IP de gerencia faça da seguinte forma. Lembre-se de alterar os IPs 200.200.200.0/26 2001:db8:cafe:d0ce::/64 para os seus.

# phpMyAdmin default Apache configuration
 
Alias /phpmyadmin /usr/share/phpmyadmin
 

 Options FollowSymLinks
 DirectoryIndex index.php

 AllowOverride All
 Require ip 127.0.0.1 ::1 200.200.200.0/26 2001:db8:cafe:d0ce::/64

 
 AddType application/x-httpd-php .php
 
 php_flag magic_quotes_gpc Off
 php_flag track_vars On
 php_flag register_globals Off
 php_value include_path .
 
 

 
# Authorize for setup

 AllowOverride All
 Require ip 127.0.0.1 ::1 200.200.200.0/26 2001:db8:cafe:d0ce::/64
 
 AuthType Basic
 AuthName "phpMyAdmin Setup"
 AuthUserFile /etc/phpmyadmin/htpasswd.setup
 
 Require valid-user

 
# Disallow web access to directories that don't need it

 AllowOverride All
 Require ip 127.0.0.1 ::1 200.200.200.0/26 2001:db8:cafe:d0ce::/64
 Order Deny,Allow
 Deny from All


 AllowOverride All
 Require ip 127.0.0.1 ::1 200.200.200.0/26 2001:db8:cafe:d0ce::/64
 Order Deny,Allow
 Deny from All

Ative a configuração e reinicie o Apache.

# a2enconf phpmyadmin
# systemctl restart apache2
# systemctl status apache2

Na próxima etapa, vamos configurar o armazenamento de configuração do phpMyadmin (banco de dados).
Faça o login no MariaDB como usuário root:

# mariadb -p

Criamos um novo banco de dados para o chamado phpmyadmin e um usuario pma (altere para sua senha). Em seguida, concedemos as permissões do banco de dados.
Você pode gerar uma senha acessando https://senhasegura.remontti.com.br/

CREATE DATABASE phpmyadmin;
CREATE USER 'pma'@'localhost' IDENTIFIED BY 'SUA_SENHA';
GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' IDENTIFIED BY 'SUA_SENHA' WITH GRANT OPTION;
FLUSH PRIVILEGES;
EXIT;

Carregue as tabelas do banco de dados: (Informe a senha do root do MariaDB)

# mariadb -u root -p phpmyadmin < /usr/share/phpmyadmin/sql/create_tables.sql

Agora é necessário ajustar o arquivo de configuração do phpmyadmin.
Definir:
* senha segura (blowfish secret) que deve ter 32 caracteres. Não use o meu exemplo blowfish secreto, defina o seu próprio! Use o gerador https://senhasegura.remontti.com.br
* diretório que o PHPMyAdmin deve usar para armazenar arquivos temporários.
* Descomentar as linhas $cfg['Servers']
- controlhost : localhost
- controlpass : SUA_SENHA

# cp /usr/share/phpmyadmin/config.sample.inc.php /usr/share/phpmyadmin/config.inc.php
# vim /usr/share/phpmyadmin/config.inc.php

$cfg['blowfish_secret'] = 'dkJhGx83XR3JjuFrDn8kPp9NtXnkLptl';
/* Adicione esta linha */
$cfg['TempDir'] = '/var/lib/phpmyadmin/tmp';

/* User used to manipulate with storage */
$cfg['Servers'][$i]['controlhost'] = 'localhost';
$cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = 'SUA_SENHA';

/* Storage database and tables */
$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';
$cfg['Servers'][$i]['bookmarktable'] = 'pma__bookmark';
$cfg['Servers'][$i]['relation'] = 'pma__relation';
$cfg['Servers'][$i]['table_info'] = 'pma__table_info';
$cfg['Servers'][$i]['table_coords'] = 'pma__table_coords';
$cfg['Servers'][$i]['pdf_pages'] = 'pma__pdf_pages';
$cfg['Servers'][$i]['column_info'] = 'pma__column_info';
$cfg['Servers'][$i]['history'] = 'pma__history';
$cfg['Servers'][$i]['table_uiprefs'] = 'pma__table_uiprefs';
$cfg['Servers'][$i]['tracking'] = 'pma__tracking';
$cfg['Servers'][$i]['userconfig'] = 'pma__userconfig';
$cfg['Servers'][$i]['recent'] = 'pma__recent';
$cfg['Servers'][$i]['favorite'] = 'pma__favorite';
$cfg['Servers'][$i]['users'] = 'pma__users';
$cfg['Servers'][$i]['usergroups'] = 'pma__usergroups';
$cfg['Servers'][$i]['navigationhiding'] = 'pma__navigationhiding';
$cfg['Servers'][$i]['savedsearches'] = 'pma__savedsearches';
$cfg['Servers'][$i]['central_columns'] = 'pma__central_columns';
$cfg['Servers'][$i]['designer_settings'] = 'pma__designer_settings';
$cfg['Servers'][$i]['export_templates'] = 'pma__export_templates';

http://[SERVER_IP]/phpmyadmin/

Gostou?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Passo-a-passo como criar um servidor WEB Apache + PHP + MariaDB + phpMyAdmin no Debian 10 Buster “LAMP” apareceu primeiro em Remontti.

Acessando logs do rsyslog via web com Log Analyzer

Rudimar Remontti — Wed, 12 Sep 2018 09:05:47 +0000

O projeto LogAnalyzer já é antigo, não tem um interface muito bonita mas fornece um frontend fácil de usar e poderoso, permite pesquisar, revisar e analisar dados de eventos de rede, incluindo syslog. É um aplicativo gratuito de código aberto GPL escrito principalmente em php. Os dados podem ser obtidos de bancos de dados, mas também de arquivos de texto simples, por exemplo, aqueles que são escritos pelo rsyslog.

Para dar inicio vamos precisar ter um serviço Web rodado em nosso servidor
Requisitos: Passo-a-passo como criar um servidor web Apache2, PHP 7.0, MariaDB, PHPMyAdmin “LAMP” no Debian 9 Stretch

Sugerido: Servidor de log para registros remoto do RouterOS/Mikrotik

Agora já com nosso servidor LAMP pronto vamos criar nossa base de dados chamada Syslog (sim com S maiúsculo) e criar o usuario rsyslog para acessar esse banco.

# mysql -p

CREATE DATABASE Syslog;
GRANT ALL PRIVILEGES ON Syslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'SUA-SENHA';
FLUSH PRIVILEGES;
quit;

Instalaremos o modulo rsyslog-mysql para fazer a integração

# apt install rsyslog-mysql

Responda Sim

Informe a senha criada para o usuário rsyslog (‘rsyslog’@’localhost’ IDENTIFIED BY ‘SUA-SENHA’)

Repita a senha

Verifique se o arquivo /etc/rsyslog.d/mysql.conf foi criado

cat /etc/rsyslog.d/mysql.conf

Vai retornar:

	$ModLoad ommysql
	*.* :ommysql:localhost,Syslog,rsyslog,SUA-SENHA

Agora reinicie o serviço do rsyslog para atualizar as configurações

# /etc/init.d/rsyslog restart

Pronto seu rsyslog já esta guardado todos os logs no seu banco de dados, agora vamos a instalação e configuração do LogAnalyzer

Na data de hoje o projeto encontra-se na versão 4.1.6
Acesse https://loganalyzer.adiscon.com/download/ e verifique se já não existe uma nova versão.

Nos comandos a seguir vamos fazer o download do projeto, em seguida extrair o mesmo, e mover o projeto para dentro da pasta padrão do servidor web (/var/www/html/) faça de acordo com sua realidade, e ultimo estaremos dando permissões ao usuário apache (www-data) a escrever nos arquviso .

# cd /tmp/
# wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.6.tar.gz
# tar -vxzf loganalyzer-4.1.6.tar.gz
# cd loganalyzer-4.1.6/
# mv src/ /var/www/html/logs
# chown www-data. /var/www/html/logs -R

Existe um pacote de tradução, porém o mesmo não foi traduzido, caso tenha interesse em baixar, e fazer a tradução:

# cd /tmp/
# wget https://loganalyzer.adiscon.com/plugins/files/translations/loganalyzer_lang_pt_BR_3.2.3.zip
# apt install  unzip
# unzip loganalyzer_lang_pt_BR_3
# unzip loganalyzer_lang_pt_BR_3.2.3.zip
# mv pt_BR /var/www/html/logs/lang/
# chown www-data. /var/www/html/logs -R

Agora acesse: http://SEU-IP_OU-DOMINIO/logs/

Vamos ser avisados que o sistema precisa ser instalado/configurado. Clique em “here”.

Next

Next

Selecione YES em Enabled User Database, e configure em Database User o usuário rsyslog e sua senha.

Next

Se não tiver nenhum erro, clique em next.

Crie um usuário e senha para o administrador

Crie uma fonte de coleta, no nosso caso vamos usar os logs do mysql, siga de acordo com a imagem. Posteriormente você pode criar outras fontes.

Next

Parabéns você concluiu!

Gostou? Deixe seu comentário ficarei feliz em saber que lhe ajudei, e se tiver qualquer pergunta deixe-a também, se preferir acesse o menu Consultoria lá você encontra meios de falar comigo!

Abraço!

O post Acessando logs do rsyslog via web com Log Analyzer apareceu primeiro em Remontti.

Instalando FreeRadius 3.0.X com integração MySQL ou MariaDB no Debian 9 Stretch

Rudimar Remontti — Mon, 03 Jul 2017 14:32:32 +0000

Neste tutorial vamos configurar o FreeRadius 3 em nosso servidor Debina 9, com integração dos usuários/atributos de configurações em uma base de dados MySQL/MariaDB com o módulo SQL, e ainda o módulos SQLIPPOOL para armazenar nossa pool de IPs na base de dados.
Esse tutorial é ideal para provedores fazerem autenticação PPPoE, autenticação Wireless PSK e EAP.

Se você gostou do tutorial ou tem dúvidas deixe seu comentário. Se precisar de alguma ajuda ou trocar uma ideia pode me chamar lá no Telegram @remontti

REQUISITOS
1 – Debian 9 Stretch recomendo uma instalação limpa do Debian
2 – Servidor Atualizado:

# apt update

Mãos à obra!
Primeiramente escolha qual banco de dados você irá instalar:
MySQL ou MariaDB?
Com o lançamento do Debian 9 ao solicitar a instalação do mysql-server, você irá se deparar com a instalação do MariaDB automaticamente.
MariaDB é um banco de dados que surgiu como fork do MySQL, criado pelo próprio fundador do projeto após sua aquisição pela Oracle. Para saber mais acesse https://pt.wikipedia.org/wiki/MariaDB

Para MySQL
A equipe do MySQL Release Engineering fornece repositórios apt para usar com a maioria do software, incluindo o servidor e muitos de seus utilitários. Para instalação com o Mysql então será necessário adicionar em seus repositórios.

# echo -e "deb http://repo.mysql.com/apt/debian/ stretch mysql-5.7\ndeb-src http://repo.mysql.com/apt/debian/ stretch mysql-5.7" > /etc/apt/sources.list.d/mysql.list
# wget -O /tmp/RPM-GPG-KEY-mysql https://repo.mysql.com/RPM-GPG-KEY-mysql --no-check-certificate
# apt-key add /tmp/RPM-GPG-KEY-mysql
# apt update

# apt install mysql-server

Para MariaDB
Não será necessário alterar nada em seus repositórios.
Note que na instalação do MariaDB ele não irá pedir senha do usuário root como acontece no mysql, por padrão o mesmo vem sem senha com permissão de logar apenas via shell.

# apt install mariadb-client mariadb-server

Agora que já temos nosso bando de dados instalado MySQL ou MariaDB, vamos instalar uma servidor web junto com o PHPMyAdmin para facilitar nossa vida.

# apt install apache2 libapache2-mod-php7.0 php7.0 phpmyadmin

Após instalar acesse http://SEU-IP/phpmyadmin para ver se tudo esta ok!

Instalação do FreeRadius

# apt install freeradius freeradius-mysql freeradius-utils

Crie um banco de dados e usuário e conceda permissões para acessar sua base.

No MariaDB use o comando:

# mariadb -u root

* Vale lembrar que MariaDB seu usuário root vem sem senha, para setar uma senha faça:

USE mysql;
UPDATE user SET password=PASSWORD('SUA-SENHA-USER-ROOT') WHERE User='root';
UPDATE user SET plugin="mysql_native_password";
FLUSH PRIVILEGES;

Acesse via linha de comando seu banco de dados, e crie uma base chamada de radius e usuário também chamado de radius, para configurarmos nossa aplicação freeradius.

CREATE DATABASE radius;
GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'SENHA-DO-USER-RADIUS';
FLUSH PRIVILEGES;
quit;

Agora vamos criar nossas tableas

No MariaDB use o comando:

# mariadb -u radius -p radius < /etc/freeradius/3.0/mods-config/sql/main/mysql/schema.sql
# mariadb -u radius -p radius < /etc/freeradius/3.0/mods-config/sql/ippool/mysql/schema.sql

No MySQL use o comando:

# mysql -u radius -p radius < /etc/freeradius/3.0/mods-config/sql/main/mysql/schema.sql
# mysql -u radius -p radius < /etc/freeradius/3.0/mods-config/sql/ippool/mysql/schema.sql

Após cada comando será solicitado a senha (SENHA-DO-USER-RADIUS)

Caso deseje logs mais detalhados edite radiusd.conf

# cp /etc/freeradius/3.0/radiusd.conf /etc/freeradius/3.0/radiusd.conf.orig
# vim /etc/freeradius/3.0/radiusd.conf

Localize as variáveis e altere para yes

[...]
log {
    [...]
        stripped_names = yes
        auth = yes
        auth_badpass = yes
        auth_goodpass = yes
    [...]
}
[...]

Vamos habilitar nosso mod SQL, mas antes precisamos fazer algumas alterações no arquivo

# cp /etc/freeradius/3.0/mods-available/sql /etc/freeradius/3.0/mods-available/sql.orig
# vim /etc/freeradius/3.0/mods-available/sql

Altere:

driver = "rlm_sql_null" por driver = "rlm_sql_mysql"
dialect = "sqlite" por dialect = "mysql"

Descemente as linhas e altere a senha:

server = "localhost"
port = 3306
login = "radius"
password = "SENHA-DO-USER-RADIUS"

Descomente:
read_clients = yes

Habilite o mod:

# ln -s /etc/freeradius/3.0/mods-available/sql /etc/freeradius/3.0/mods-enabled/sql

Agora no arquivo /etc/freeradius/3.0/sites-enabled/default vamos comentar alguns valores e descomentar outros:

# cp /etc/freeradius/3.0/sites-available/default  /etc/freeradius/3.0/sites-available/default.org
# vim /etc/freeradius/3.0/sites-enabled/default

  authorize {
      #digest
      #suffix
      #files
      sql
      #-ldap
  }

  authenticate {
      #digest
  }

  preacct {
      #suffix
      #files
  }

  accounting {
      sql
      #exec
      #attr_filter.accounting_response
  }
  session {
    # Se você deseja usar o atributo Simultaneous-Use, descomente sql e comente radutmp 
    #radutmp
    sql
  }

  post-auth {
          sql
          #exec

#        Post-Auth-Type REJECT {
#                # log failed authentications in SQL, too.
#                -sql
#                attr_filter.access_reject
#                # Insert EAP-Failure message if the request was
#                # rejected by policy instead of because of an
#                # authentication failure
#                eap
#
#                #  Remove reply message if the response contains an EAP-Message
#                remove_reply_message_if_eap
#        }

Faça o mesmo com inner-tunnel

# cp /etc/freeradius/3.0/sites-available/inner-tunnel /etc/freeradius/3.0/sites-available/inner-tunnel.org
# vim /etc/freeradius/3.0/sites-enabled/inner-tunnel

authorize {
    #suffix
    #files
    sql
    #-ldap
}

authenticate {

}

session { 
    # Se você deseja usar o atributo Simultaneous-Use, descomente sql e comente radutmp
    #radutmp
    sql
}
post-auth {
    sql

#  Post-Auth-Type REJECT {
#      # log failed authentications in SQL, too.
#      -sql
#      attr_filter.access_reject
#
#      #
#      #  Let the outer session know which module failed, and why.
#      #
#      update outer.session-state {
#              &Module-Failure-Message := &request:Module-Failure-Message
#      }
#  }

}

Habilita mod sqlippool

# ln -s /etc/freeradius/3.0/mods-available/sqlippool /etc/freeradius/3.0/mods-enabled/sqlippool
# vim /etc/freeradius/3.0/mods-enabled/sqlippool

# Comente:
# pool_key = "%{NAS-Port}"
# Descomente
pool_key = "%{Calling-Station-Id}"

Precisamos adicionar o mod sqlippool no nosso arquivo default, você acrescentará sqlippool em accounting e post-auth logo abaixo de sql:

# vim /etc/freeradius/3.0/sites-enabled/default

accounting {
        sql
        sqlippool
}
session {
        sql
}
post-auth {
        sql
        sqlippool
}

Uma alteraçõe que acho interessante é para que a cada nova alocação de IP ela seja randômica, isso pode solucionar alguns problemas como o daqueles clientes que jogam online, que fazem download, que estão sendo atacados, que ao reiniciar seu equipamento o mesmo irá receber um novo IP. Para isso vamos editar /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf

# vim /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf

#
#  The ORDER BY clause of this query tries to allocate the same IP-address
#  which user had last session...
#COMENTE:
#allocate_find = "\
#        SELECT framedipaddress FROM ${ippool_table} \
#        WHERE pool_name = '%{control:Pool-Name}' \
#        AND (expiry_time < NOW() OR expiry_time IS NULL) \
#        ORDER BY \
#                (username <> '%{User-Name}'), \
#                (callingstationid <> '%{Calling-Station-Id}'), \
#                expiry_time \
#        LIMIT 1 \
#        FOR UPDATE"

#
#  If you prefer to allocate a random IP address every time, use this query instead.
#DESCOMENTE
allocate_find = "\
       SELECT framedipaddress FROM ${ippool_table} \
       WHERE pool_name = '%{control:Pool-Name}' \
       AND expiry_time IS NULL \
       ORDER BY \
               RAND() \
       LIMIT 1 \
       FOR UPDATE"

Opcional

Inicialmente eu particularmente não gosto da ideia da tabela radusergroup não ter um ID então para alterar isso faça. (Se desejar)

# mysql/mariadb -u radius -p

Entre com SUA-SENHA do radius no MySQL.

USE radius;
ALTER TABLE `radusergroup` ADD `id` INT(20) NOT NULL AUTO_INCREMENT FIRST, ADD PRIMARY KEY (`id`) ;
ALTER TABLE `radusergroup` ADD UNIQUE(`id`);

Caso você tenha uma alta demanda de requisições você pode fazer algumas alterações no radiusd.conf.
Altere conforme sua necessidade, e hardware de seu servidor. Vale lembrar que fazendo essas alterações será necessário alterar as configurações do MySQL/MariaDB para permitir uma maior número de conexões.
Ex carga de cerca de 1000 Access-Request por segundo:

# vim /etc/freeradius/3.0/radiusd.conf

#...
thread pool {
    start_servers = 256
    max_servers = 512
    min_spare_servers = 256
    max_spare_servers = 512
    max_queue_size = 1048576
    max_requests_per_server = 0
    auto_limit_acct = no
}
#...

Para conhecer os atributos que você pode usar em sua base recomendo a leitura do tutorial: "ALIMENTANDO NOSSA BASE DE DADOS" em diante.
Servidor FreeRadius com integração MySQL + Autenticação PPPoE & Hotspot VS Mikrotik + Ubiquiti EAP/PSK

Sugestões ou criticas envie para Telegram: @remontti

Espero ter ajudado!

ARQUIVOS EDITADOS:

# cat /etc/freeradius/3.0/sites-enabled/default |grep -v "#" |awk 'NF>0'

server default {
listen {
        type = auth
        ipaddr = *
        port = 0
        limit {
              max_connections = 16
              lifetime = 0
              idle_timeout = 30
        }
}
listen {
        ipaddr = *
        port = 0
        type = acct
        limit {
        }
}
listen {
        type = auth
        port = 0
        limit {
              max_connections = 16
              lifetime = 0
              idle_timeout = 30
        }
}
listen {
        ipv6addr = ::
        port = 0
        type = acct
        limit {
        }
}
authorize {
        filter_username
        preprocess
        chap
        mschap
        eap {
                ok = return
        }
        sql
        expiration
        logintime
        pap
}
authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        eap
}
preacct {
        preprocess
        acct_unique
}
accounting {
        detail
        sql
        sqlippool
}
session {
        sql
}
post-auth {
        update {
                &reply: += &session-state:
        }
        sql
        sqlippool
        remove_reply_message_if_eap
}
pre-proxy {
}
post-proxy {
        eap
}
}

# cat /etc/freeradius/3.0/sites-enabled/inner-tunnel |grep -v "#" |awk 'NF>0'

server inner-tunnel {
listen {
       ipaddr = 127.0.0.1
       port = 18120
       type = auth
}
authorize {
        filter_username
        chap
        mschap
        update control {
                &Proxy-To-Realm := LOCAL
        }
        eap {
                ok = return
        }
        sql
        expiration
        logintime
        pap
}
authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        eap
}
session {
        sql
}
post-auth {
        sql
}
pre-proxy {
}
post-proxy {
        eap
}

# cat /etc/freeradius/3.0/mods-enabled/sql |grep -v "#" |awk 'NF>0'

sql {
        driver = "rlm_sql_mysql"
        dialect = "mysql"
        server = "localhost"
        port = 3306
        login = "radius"
        password = "SENHA-USUARIO-RADIUS"
        radius_db = "radius"
        acct_table1 = "radacct"
        acct_table2 = "radacct"
        postauth_table = "radpostauth"
        authcheck_table = "radcheck"
        groupcheck_table = "radgroupcheck"
        authreply_table = "radreply"
        groupreply_table = "radgroupreply"
        usergroup_table = "radusergroup"
        delete_stale_sessions = yes
        pool {
                start = ${thread[pool].start_servers}
                min = ${thread[pool].min_spare_servers}
                max = ${thread[pool].max_servers}
                spare = ${thread[pool].max_spare_servers}
                uses = 0
                retry_delay = 30
                lifetime = 0
                idle_timeout = 60
        }
        read_clients = yes
        client_table = "nas"
        group_attribute = "SQL-Group"
        $INCLUDE ${modconfdir}/${.:name}/main/${dialect}/queries.conf
}

# cat /etc/freeradius/3.0/mods-enabled/sqlippool |grep -v "#" |awk 'NF>0'

sqlippool {
        sql_module_instance = "sql"
        dialect = "mysql"
        ippool_table = "radippool"
        lease_duration = 3600
        pool_key = "%{Calling-Station-Id}"
        messages {
                exists = "Existing IP: %{reply:Framed-IP-Address} (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name})"
                success = "Allocated IP: %{reply:Framed-IP-Address} from %{control:Pool-Name} (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name})"
                clear = "Released IP %{Framed-IP-Address} (did %{Called-Station-Id} cli %{Calling-Station-Id} user %{User-Name})"
                failed = "IP Allocation FAILED from %{control:Pool-Name} (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name})"
                nopool = "No Pool-Name defined (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name})"
        }
        $INCLUDE ${modconfdir}/sql/ippool/${dialect}/queries.conf
}

# cat /etc/freeradius/3.0/mods-config/sql/ippool/mysql/queries.conf |grep -v "#" |awk 'NF>0'

allocate_clear = "\
        UPDATE ${ippool_table} \
        SET \
                nasipaddress = '', \
                pool_key = 0, \
                callingstationid = '', \
                username = '', \
                expiry_time = NULL \
        WHERE expiry_time <= NOW() - INTERVAL 1 SECOND \
        AND nasipaddress = '%{Nas-IP-Address}'"
allocate_find = "\
        SELECT framedipaddress FROM ${ippool_table} \
        WHERE pool_name = '%{control:Pool-Name}' \
        AND expiry_time IS NULL \
        ORDER BY \
                RAND() \
        LIMIT 1 \
        FOR UPDATE"
pool_check = "\
        SELECT id \
        FROM ${ippool_table} \
        WHERE pool_name='%{control:Pool-Name}' \
        LIMIT 1"
allocate_update = "\
        UPDATE ${ippool_table} \
        SET \
                nasipaddress = '%{NAS-IP-Address}', pool_key = '${pool_key}', \
                callingstationid = '%{Calling-Station-Id}', \
                username = '%{User-Name}', expiry_time = NOW() + INTERVAL ${lease_duration} SECOND \
        WHERE framedipaddress = '%I' \
        AND expiry_time IS NULL"
start_update = "\
        UPDATE ${ippool_table} \
        SET \
                expiry_time = NOW() + INTERVAL ${lease_duration} SECOND \
        WHERE nasipaddress = '%{NAS-IP-Address}' \
        AND pool_key = '${pool_key}' \
        AND username = '%{User-Name}' \
        AND callingstationid = '%{Calling-Station-Id}' \
        AND framedipaddress = '%{Framed-IP-Address}'"
stop_clear = "\
        UPDATE ${ippool_table} \
        SET \
                nasipaddress = '', \
                pool_key = 0, \
                callingstationid = '', \
                username = '', \
                expiry_time = NULL \
        WHERE nasipaddress = '%{Nas-IP-Address}' \
        AND pool_key = '${pool_key}' \
        AND username = '%{User-Name}' \
        AND callingstationid = '%{Calling-Station-Id}' \
        AND framedipaddress = '%{Framed-IP-Address}'"
alive_update = "\
        UPDATE ${ippool_table} \
        SET \
                expiry_time = NOW() + INTERVAL ${lease_duration} SECOND \
        WHERE nasipaddress = '%{Nas-IP-Address}' \
        AND pool_key = '${pool_key}' \
        AND username = '%{User-Name}' \
        AND callingstationid = '%{Calling-Station-Id}' \
        AND framedipaddress = '%{Framed-IP-Address}'"
on_clear = "\
        UPDATE ${ippool_table} \
        SET \
                nasipaddress = '', \
                pool_key = 0, \
                callingstationid = '', \
                username = '', \
                expiry_time = NULL \
        WHERE nasipaddress = '%{Nas-IP-Address}'"
off_clear = "\
        UPDATE ${ippool_table} \
        SET \
                nasipaddress = '', \
                pool_key = 0, \
                callingstationid = '', \
                username = '', \
                expiry_time = NULL \
        WHERE nasipaddress = '%{Nas-IP-Address}'"

O post Instalando FreeRadius 3.0.X com integração MySQL ou MariaDB no Debian 9 Stretch apareceu primeiro em Remontti.

Como instalar o MySQL Server (Oracle) no Debian 9 Stretch

Rudimar Remontti — Thu, 29 Jun 2017 19:27:11 +0000

Recentemente tivemos o lançamento do Debian 9, e se você solicitar a instalação do mysql-server, você irá se deparar com a instalação do mariadb automaticamente, sem nenhuma maneira (fácil) de instalar o MySQL da Oracle. Qualquer migração importante de base de dados deve ser feita com cuidado, Migrar o MySQL 5.5 para o MariaDB 10.1 pode causar dores de cabeça.

Adicione o Repositórios da Oracle

A equipe do MySQL Release Engineering fornece repositórios apt para usar com a maioria do software, incluindo o servidor e muitos de seus utilitários. Vou optar por instalar o MySQL 5.7, porém 5.6 e 8.0 também estão disponíveis para o Debian stable. Vamos criar o arquivo /etc/apt/sources.list.d/mysql.list.

# echo -e "deb http://repo.mysql.com/apt/debian/ stretch mysql-5.7\ndeb-src http://repo.mysql.com/apt/debian/ stretch mysql-5.7" > /etc/apt/sources.list.d/mysql.list

Antes de atualizar nosso repositório você deve adicionar a chave pública como confiável:

# wget -O /tmp/RPM-GPG-KEY-mysql https://repo.mysql.com/RPM-GPG-KEY-mysql --no-check-certificate
# apt-key add /tmp/RPM-GPG-KEY-mysql

Já pode instale mysql-sever da Oracle

# apt update
# apt install mysql-server

Defina senha para o usuário root do MySQL.

Verifique se o mesmo esta rodando:

systemctl status mysql

Já pode fazer a conexão ao seu banco!

mysql -p

Sugestões ou criticas envie para Telegram: @remontti

Espero ter ajudado!

O post Como instalar o MySQL Server (Oracle) no Debian 9 Stretch apareceu primeiro em Remontti.

Passo-a-passo como criar um servidor web Apache2, PHP 7.0, MariaDB, PHPMyAdmin “LAMP” no Debian 9 Stretch

Rudimar Remontti — Mon, 19 Jun 2017 18:55:38 +0000

Distribuição utilizada: Debian 9 Stretch / Instalação Limpa

Com o lançamento do Debian 9 alguns pacotes foram substituído como:
PHP5 -> PHP7.0
Mysql -> MariaDB (MariaDB é um banco de dados que surgiu como fork do MySQL, criado pelo próprio fundador do projeto após sua aquisição pela Oracle.)

Vamos a instalação

# apt update
# apt upgrade
# apt install apache2 libapache2-mod-php7.0 php7.0 mariadb-client mariadb-server phpmyadmin

Instale todos os pacotes dependentes. (S)

OBS: Se você instalar o pacote mysql-server ele vai estar instalando o mariadb-client mariadb-server.

Na próxima tela selecione a opção apache2.

Configurando o banco do phpmyadmin:
Responda Sim.

Defina uma senha para a base do phpmyadmin:

Repita a senha:

Instalação concluída!
Acesse http://ip-do-seu-servidor/

Não sentiu que faltou algo nessa instalação?
Sim! No MySQL você definia uma senha para para o usuário root do mysql na instalação, com o MariaDB isso não acontece pois ele vem sem senha de root! Como usuário root não tem senha você não vai conseguir logar com ele no PHPMyAdmin.

Para alterar a senha do usuário root do MariaDB faça:

# mariadb -u root

USE mysql;
UPDATE user SET password=PASSWORD('SUA-SENHA') WHERE User='root';
UPDATE user SET plugin="mysql_native_password";
FLUSH PRIVILEGES;
quit;

Mas não se assuste! MariaDB é praticamente o seu velho MySQL. Para saber mais acesse: MariaDB versus MySQL – Compatibilidade. Veja pelo lado bom, não permitindo login com root temos mais segurança!
O que fazer então? Simples crie uma base de dados e um usuário para acessa-la. Eu sempre recomendei usar para cada aplicação um usuário com a sua base, assim numa falha você não deixa exposto o que não deveria!
Acesse via linha de comando nosso o mariadb (o comando mysql -p funciona também)

# mariadb -p

Por padrão vem sem senha.

CREATE DATABASE minhabase;
GRANT ALL PRIVILEGES ON minhabase.* TO 'meuusuario'@'localhost' IDENTIFIED BY 'minhasenha';
FLUSH PRIVILEGES;
quit;

Agora pode acessar seu PHPMyAdmin com seu seu usuário e senha. http://ip-do-seu-servidor/phpmyadmin

Agora vamos habilitar o mod_rewrite do Apache que é muito utilizado. Este é um módulo do Apache que utiliza um mecanismo baseado em regras de reescrita.

Diretório de configurações do Apache fica em /etc/apache2/

Vamos ao comando para habilita-lo:

# a2enmod rewrite

A página que vimos ao abri o ip do nosso servidor no navegador fica no diretório /var/www/html, isso está sendo informado no arquivo default do apache que fica em /etc/apache2/sites-enabled/000-default.conf, e para que nosso mod_rewrite funcione corretamente será necessário adicionar alguma linhas.

Edite o arquivo /etc/apache2/sites-enabled/000-default.conf (vou usar o editor vim, que não vem instalado por padrão no sistema, mas se você pode usar qualquer edito ex o nano)

# vim /etc/apache2/sites-enabled/000-default.conf

Adicione abaixo de “DocumentRoot /var/www/html“ o seguinte:

	
	
    		Options FollowSymLinks
    		AllowOverride All

Por segurança recomendo remover a assinatura do servidor, evitando os “espertinhos”

# sed -i 's/ServerTokens OS/ServerTokens Prod/' /etc/apache2/conf-available/security.conf
# sed -i 's/ServerSignature On/ServerSignature Off/' /etc/apache2/conf-available/security.conf

Agora precisamos restartar o apache para que tenha efeito nossas alterações.

# /etc/init.d/apache2 restart

# systemctl restart apache2

Parabéns seu servidor está “Pronto”!

O post Passo-a-passo como criar um servidor web Apache2, PHP 7.0, MariaDB, PHPMyAdmin “LAMP” no Debian 9 Stretch apareceu primeiro em Remontti.

Criando uma maquina virtual com linux (Debian) para Desenvolvedores Web (LDAMPS)

Rudimar Remontti — Mon, 20 Feb 2017 02:08:28 +0000

LDAMPS (Linux / DNS / Apache / MySQL / PHP / SFTP)

A ideia deste tutorial é criar um cenário mais legal que um simples “xampp/easyphp”, e sim criar nosso próprio “servidor de hospedagem” onde vamos criar domínios virtuais quais poderemos acessá-los para fazer simulações em cima de ambientes mais reais.

Para crianção da maquina virtual no VirtualBox e a Instalação do Debian siga os tutoriais abaixo.

Criando uma máquina virtual no Virtual Box

Na instalação, na parte da configuração não é necessário fixar um IP, pode recebe-lo automaticamente via DHCP, assim se você sair da sua rede pode levar a experiência para outras redes, porém será necessário alterar o endereço IP nas configurações do bind cada vez que seu servidor receber um novo IP, falarei disso nas configurações do BIND (é apenas um arquivo nada d+).

Instalação do Debian 8 Jessie Limpa passo-a-passo

Após instalação do Debina, instalaremos o SSH para acessamos remotamente via Terminal ou com Putty (Windows). Vou ainda instalar o editor vim, que é meu preferido, mas você pode usar nano, pico entre outros.

# apt install ssh vim

Lembre-se que no processo da criação da maquina virtual nossa placa de rede ficou em modo bridge, ou seja isso faz com que a comunicação existente em sua rede seja de ponto-a-ponto entre todos que nela estão conectados.

Sempre que iniciar sua máquina virtual será necessário verificar qual IP recebeu.

# ifconfig

No meu caso minha maquina está com o IP 10.0.0.109. Agora vamos acessar nosso servidor por SSH, se você já utiliza linux abra em seu terminal e digite $ ssh seuusuario@ip-do-seu-servidor ou abra o Putty e informe o IP do seu servidor.
Entre com sua senha, e após vire administrador (root) com o comando #su

Tem duas coisar que sempre faço após instalar um debian, faça se desejar.
A primeira é colorir o bash.

# vim /root/.bashrc

Descomente

export LS_OPTIONS='--color=auto'
eval "`dircolors`"
alias ls='ls $LS_OPTIONS'
alias ll='ls $LS_OPTIONS -l'
alias l='ls $LS_OPTIONS -lha'

Insira ao final:

PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u\[\033[00m\]@\[\033[01;36m\]\h\[\033[00m\]:\[\033[01;37m\]\w\[\033[01;32m\]\$\[\033[00m\] '

Deslogue do root (# exit), e logue novamente (# su)
Pronto nosso bash está com “mais vida”

Você encontra mais detalhes em: Colorindo seu Bash

A segunda é melhorar o autocomplete:
Bash com autocomplete “turbinado” no Debian

Precisamos instalar nosso servidor web, para isso siga o tutorial abaixo.

Passo-a-passo como criar um servidor web Apache2, PHP5, MySQL, PHPMyAdmin “LAMP” no Debian 8

Agora vem a parte legal!! Configurar nosso servidor para resolver nomes (Sevidor DNS) e nele configurar alguns domínios “fake” quais poderemos acessar.

Vale lembrar que você não deve fazer isso em uma máquina com IP válido, caso fizer isso vai estar deixando consultas recursivas aberta para o mundo “escravizar-lo”, não vou entrar em detalhes das configurações avançadas do bind, o intuito aqui é ensinar pessoas a ter um cenário para programação web, em um ambiente local. Se deseja saber como configurar um servidor DNS acesse: Servidor DNS Recursivo, Autoritativo e Reverso com Bind9 (IPv4+IPv6).

No exemplo vou inventar dois domínios fake:
dominio1.com.br
dominio2.com.br

Instalaremos o BIND

# apt install bind9

Altere o DNS do seus servidor para ele mesmo

# echo 'nameserver 127.0.0.1' > /etc/resolv.conf

Para prevenir que o DHCP não mude novamente seu DNS vamos alterar um configuração no arquivo de configuração do DHCP Cliente. Assim sempre vamos receber o 127.0.0.1

# sed -i "s/#prepend domain-name-servers/prepend domain-name-servers/g" /etc/dhcp/dhclient.conf

Se quiser garantia que irá receber o 127.0.0.1 de um reboot em sua VM, e após reiniciar de um cat /etc/resolv.conf e veja se nameserver 127.0.0.1 se encontra no arquivo.

# reboot

Vamos criar nossa zona fake, que fará com que todos os domínios que adicionaremos nela o servidor faça responder que o domínios é o seu próprio servidor.

# echo 'include "/etc/bind/fakes.zone";' >> /etc/bind/named.conf.local

# echo 'zone "web.local" IN { type master; file "/etc/bind/db.web.local"; };' >> /etc/bind/named.conf.local

# vim /etc/bind/db.web.local

Lembrando que 10.0.0.109 é o IP que estou recebendo via DHCP, SEMPRE que sua interface receber um novo IP será necessário altera-lo, e restartar o serviço bind9.

$ORIGIN .
$TTL 86400
web.local         IN SOA  ns1.web.local. ns2.web.local. (
                        2017021901 ; serial
                        28800      ; refresh (8 hours)
                        1800       ; retry (30 minutes)
                        2419200    ; expire (4 weeks)
                        10800      ; minimum (3 hours)
                        )
                        NS web.local
                        A 10.0.0.109

Vou ensinar como fazer script (shell script) que fará com que sempre fique o IP recebido via DHCP.
Insira no final do arquivo /etc/rc.local as linhas abaixo, o rc.local é carregado na inicialização.

# vim /etc/rc.local

Insira antes de exit 0

pegaip=$(ifconfig eth0 | grep "inet end" | awk '{print $3}')
sed -i "s/ A .*/ A $pegaip/g" /etc/bind/db.web.local
/etc/init.d/bind9  restart

Criaremos nosso arquivo fakes.zone quais adicionaremos os domínios fake.

# vim /etc/bind/fakes.zone

zone "fakes.zone" {
        type master;
        file "/etc/bind/db.fakes.zone";
        allow-query {none;};
};

# vim /etc/bind/db.fakes.zone

$TTL 1H
@       IN      SOA LOCALHOST. NS.LOCALHOST (
                        2017021900      ; Serial  
                        1h              ; Refresh
                        15m             ; Retry
                        30d             ; Expire 
                        2h              ; Negative Cache TTL
                )
                NS  LOCALHOST.

*.dominio1.com.br       IN CNAME .
dominio1.com.br         IN CNAME .

*.dominio2.com.br       IN CNAME .
dominio2.com.br         IN CNAME .

# vim /etc/bind/named.conf.options

Insira no arquivo antes de fechar a chave options.

response-policy {
	zone "fakes.zone" policy CNAME web.local;
};

Ficando assim:

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0 s placeholder.

        // forwarders {
        //      0.0.0.0;
        // };


        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };

        response-policy {
                zone "fakes.zone" policy CNAME web.local;
        };
};

Restarte o bind toda vez que fizer alguma alteração (ex adicionar um novo domínio)

# /etc/init.d/bind9  restart

Ping para seus domínios e veja se responde o IP do seu servidor.

Altere os DNS de seu computador para o IP do seu servidor “no meu caso 10.0.0.109”. Seu computador vai fazer as consultas DNS em seu servidor, qual responde como autoritativo pelos domínios fakes. Agora Acesse seus domínios em seu navegador.

Recebemos a tela padrão, que esta é o arquivo que está em /var/www/html/index.html
Como padrão então já sabemos que o diretório padrão do apaches (www-data) é /var/www/html/. Bom precisamos fazer nosso apache interpretar que cada site fique em um diretório diferente. Então vamos criar esses diretórios.

# mkdir -p /var/www/dom_fakes/dominio1.com.br
# mkdir /var/www/dom_fakes/dominio2.com.br

Agora criamos nossos 2 arquivos de configurações em /etc/apache2/sites-enabled/ para cada domínio.

dominio1.com.br

# vim /etc/apache2/sites-enabled/dominio1.com.br.conf


	ServerName dominio1.com.br
	ServerAlias www.dominio1.com.br

        ServerAdmin seu@email.com.br
        DocumentRoot /var/www/dom_fakes/dominio1.com.br
	
    		Options Indexes FollowSymLinks
    		AllowOverride All
	

	LogLevel warn

        ErrorLog ${APACHE_LOG_DIR}/dominio1.com.br_error.log
        CustomLog ${APACHE_LOG_DIR}/dominio1.com.br_access.log combined

dominio2.com.br

# vim /etc/apache2/sites-enabled/dominio2.com.br.conf


	ServerName dominio2.com.br
	ServerAlias www.dominio2.com.br
        ServerAdmin seu@email.com.br
        DocumentRoot /var/www/dom_fakes/dominio2.com.br

	
    		Options Indexes FollowSymLinks
    		AllowOverride All
	

	LogLevel warn

        ErrorLog ${APACHE_LOG_DIR}/dominio2.com.br_error.log
        CustomLog ${APACHE_LOG_DIR}/dominio2.com.br_access.log combined

Criamos um arquivo em cada diretório para que possamos visualizar que estamos acessando o domínio corretamente.

# echo > /var/www/dom_fakes/dominio1.com.br/d1.html
# echo > /var/www/dom_fakes/dominio2.com.br/d2.html

Agora restart o apache.

# /etc/init.d/apache2 restart

Bingo!

Vamos remover o /var/www/html/index.html e criar um link dos domínios fakes em /var/www/html/ assim quando você não quiser trocar o IP para resolver nomes, você pode acessar o http://IP/dominiofake….

# rm /var/www/html/index.html 
# ln -s /var/www/dom_fakes/ /var/www/html/

Para enviarmos os arquivos podemos usar um cliente SFTP como o FileZilla, Winscp entre outros. Mas para logar no nosso cliente SFTP vamos ter que fazer alguns ajustes no usuário www-data (usuário do apache), primeiramente ele não vem com permissão para logar, vale lembrar que eu não recomendo faze isso em servidores convencionais, este é um ambiente de “local” para estudos…

# usermod -s /bin/bash www-data

Sete uma senha para o usuário www-data com o comando. (Vamos usar ela para logar posteriormente no FileZilla)

# passwd www-data

Altere as permissões do diretório/subdir em /var/www para seu usuário www-data

# chown  www-data. /var/www/ -R

Agora basta você conectar-se para enviar os arquivos: (ex. FileZilla)

Se você deseja arriscar e elevar o nível e criar um servidor FTP você pode seguir o tutorial: Servidor FTP com usuários no banco de dados MySQL

Como está criando um ambiente para programar é interessante receber os erros do PHP, então edite as configurações do php.ini ele fica em /etc/php5/apache2/php.ini
Procure por display_errors e altere para On

display_errors = On

O padrão para upload de arquivos no PHP é de 2M. Você este valor procurando por upload_max_filesize e colocando o valor que achar melhor.

upload_max_filesize = 20M

A cada alteração feita no php.ini deve ser restartado o apache.

# /etc/init.d/apache2 restart

Se precisar ver os logs você encontra em /var/log/apache2/. Se você reparar vai ver que la na configuração do domínio no apache temos o valor [ErrorLog ${APACHE_LOG_DIR}/dominio2.com.br_error.log].
Ex de comando para visualizar:

# tail -f /var/log/apache2/dominio1.com.br_error.log

Agora cada vez que deseja criar um domínio fake:
1 – Crie um arquivo/etc/apache2/sites-enabled/dominiofake.com.conf (sempre terminando em .conf)

Conforme modelos acima.

2 – Insira no /etc/bind/db.fakes.zone seu dominofake.com

*.dominiofake.com       IN CNAME .
dominiofake.com         IN CNAME .

3 – Restart o apcache e o Bind

/etc/init.d/bind9  restart
/etc/init.d/apache2 restart

Você pode criar também um usuário MySQL para cada aplicação sua, para separar as bases de dados, segue um ex. onde criamos a base de dados dominio1 com o usuario dominio1 e SENHA:

# mysql -u root -p

Você pode usar o phpmyadmin também.

CREATE DATABASE dominio1;
GRANT ALL PRIVILEGES ON dominio1.* TO 'dominio1'@'localhost' IDENTIFIED BY 'SUA-SENHA-DOM1';
FLUSH PRIVILEGES;
quit;

Pensando em facilitar sua vida, vou criar dois shell script. Uma para adicionar um domínio com apenas um comando, e outro para remover.

vim /bin/adddominio

#!/bin/bash

DOMINIO=$1

if [ -z $DOMINIO ];then
        echo
        echo "Comando imcompleto!"
        echo " Use ex.: adddominio dominio.tld"
        echo
else
        EXITE=`ls -lh /etc/apache2/sites-enabled/ |grep ${DOMINIO} |wc -l`
        echo
        if [ $EXITE = 1 ]; then
                        printf "\033[1;31m ${DOMINIO} \033[0m já cadastrado! \n"
        else

                mkdir /var/www/dom_fakes/${DOMINIO}

                cat <<< "
                
                        ServerName ${DOMINIO}
                        ServerAlias www.${DOMINIO}

                        ServerAdmin seu@email.com.br
                        DocumentRoot /var/www/dom_fakes/${DOMINIO}
                        
                                Options Indexes FollowSymLinks
                                AllowOverride All
                        

                        LogLevel warn

                        ErrorLog ${APACHE_LOG_DIR}/${DOMINIO}_error.log
                        CustomLog ${APACHE_LOG_DIR}/${DOMINIO}_access.log combined
                
                " > /etc/apache2/sites-enabled/${DOMINIO}.conf

                echo "*.${DOMINIO}       IN CNAME ." >> /etc/bind/db.fakes.zone
                echo "${DOMINIO}         IN CNAME ." >> /etc/bind/db.fakes.zone

                chown  www-data. /var/www/dom_fakes/${DOMINIO}

                /etc/init.d/bind9 restart
                /etc/init.d/apache2 restart

                echo

                printf "\033[1;32m$DOMINIO \033[0m configurado com sucesso! \n"
        fi
        echo
fi

vim /bin/deldominio

#!/bin/bash

DOMINIO=$1

if [ -z $DOMINIO ];then
        echo
        echo "Comando imcompleto!"
        echo " Use ex.: deldominio dominio.tld"
        echo
else
        EXITE=`ls -lh /etc/apache2/sites-enabled/ |grep ${DOMINIO} |wc -l`
        echo
        if [ $EXITE = 0 ]; then
                        printf "\033[1;31m ${DOMINIO} \033[0m não encontrado! \n"
        else
                rm -rf /var/www/dom_fakes/${DOMINIO}

                rm -f /etc/apache2/sites-enabled/${DOMINIO}.conf

                sed -i "/${DOMINIO}/d" /etc/bind/db.fakes.zone

                /etc/init.d/bind9 restart
                /etc/init.d/apache2 restart
                echo
                printf "\033[1;32m$DOMINIO \033[0m removido com sucesso! \n"
        fi
        echo
fi

Altere as permissões.

# chmod +x /bin/adddominio
# chmod +x /bin/deldominio

Pronto agora bastar você usar o comando adddominio para adicionar todas as configurações automaticamente e deldominio para remove-las.
Adicionando:

adddominio dominio3.com

Removendo:

deldominio dominio3.com

Parabéns! Você montou um servidor próprio!

Agora se você quer dar uma de preguiçoso vou deixar aqui o link para você importar a VM em seu virtual box.
Dev Web Server.ova 765MB (64bits)
Abra seu Virtual Box vá em: Arquivo –> Importar Amppliance e selecione o arquivo.

Usuários / Senhas
SSH:
webdev / remontti
root / remontti
www-data / remontti (SFTP)

MySQL
root / remontti
phpmyadmin / remontti

Se gostou, ficou com dúvida deixe seu comentário.

Abraço!

O post Criando uma maquina virtual com linux (Debian) para Desenvolvedores Web (LDAMPS) apareceu primeiro em Remontti.

Servidor FreeRadius com integração MySQL + Autenticação PPPoE & Hotspot VS Mikrotik + Ubiquiti EAP/PSK [Descontinuado]

Rudimar Remontti — Tue, 14 Feb 2017 01:28:29 +0000

Versão mais atual deste tutorial:

https://blog.remontti.com.br/4063
https://blog.remontti.com.br/4085

(Descontinuado)

Neste tutorial vamos configurar o FreeRadius de forma simples em um servidor linux (Debina 8), armazenando nossos usuários e atributos de configurações em uma base de dados MySQL, qual será utilizada para autenticações PPPoE ou Hotspot, no RouterOS (Mikrotik). Vamos tratar ainda do módulos IPPOOL para armazenar nossa pool de IPs no banco de dados e o módulo COUNTER muito usado em configurações de Hotspot para controle de tempo da conexão. E por fim um extra de como configurar seu Access Point (AP)/ Station (Clientes/CPE) para fazer autenticação Wireless (PSK / EAP) em seus equipamentos Ubiquiti/Mikrotik entre outros.

Resumindo é um dos cenário mais encontrado em provedores de internet. Se você gostou do tutorial ou tem dúvidas deixe seu comentário. Se precisar de alguma consultoria ou trocar uma ideia pode me chamar lá no Telegram @remontti (Não garanto que irei responder rápido, mas sempre tiver um tempinho…)

REQUISITOS
1 – Debian 8 Jessie recomendo uma instalação limpa do Debian (Debian 8 Jessie / Instalação Limpa)
2 – Serviço Web Rodando (Passo-a-passo como criar um servidor web Apache2, PHP5, MySQL, PHPMyAdmin “LAMP” no Debian 8)
3 – Servidor Atualizado:

# apt update && apt upgrade

INSTALAÇÃO

# apt install freeradius freeradius-mysql freeradius-utils

Integração com MySQL

Após instalação vamos criar nossa base de dados chamada de “radius”, e após criar nosso usuário que também se chamara “radius” para ter acesso a mesma.

# mysql -u root -p

informe a senha do seus usuário root do MySQL.

CREATE DATABASE radius;
GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'SUA-SENHA';
FLUSH PRIVILEGES;
quit;

Importamos as tabelas para nosso banco de dados, a cado comando será solicitado senha so usuário mysql radius (SUA-SENHA).

# mysql -u radius -p radius < /etc/freeradius/sql/mysql/schema.sql
# mysql -u radius -p radius < /etc/freeradius/sql/mysql/nas.sql
# mysql -u radius -p radius < /etc/freeradius/sql/mysql/ippool.sql
# mysql -u radius -p radius < /etc/freeradius/sql/mysql/cui.sql
# mysql -u radius -p radius < /etc/freeradius/sql/mysql/wimax.sql

Entramos no diretório onde o FreeRadius tem seus arquivos de configuração.

# cd /etc/freeradius

Antes de editar o radiusd.conf crie um backup do mesmo, farei o mesmo em todos os arquivos que irei editar, assim temos um backup caso cometer algum erro.

# cp radiusd.conf radiusd.conf.orig
# vim radiusd.conf

Descomente

[...]
  ipv6addr = ::
[...]
  $INCLUDE sql.conf
[...]
  $INCLUDE sqlippool.conf
[...]

Se deseja ter logs mais detalhados altere os valores abaixo para yes.

[...]
log {
    [...]
        stripped_names = yes
        auth = yes
        auth_badpass = yes
        auth_goodpass = yes
    [...]
}
[...]

 # cat radiusd.conf |grep -v "#" |awk 'NF>0'

radius.conf ficará assim:

prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = ${exec_prefix}/sbin
logdir = /var/log/freeradius
raddbdir = /etc/freeradius
radacctdir = ${logdir}/radacct
name = freeradius
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/${name}
db_dir = ${raddbdir}
libdir = /usr/lib/freeradius
pidfile = ${run_dir}/${name}.pid
user = freerad
group = freerad
max_request_time = 30
cleanup_delay = 5
max_requests = 1024
listen {
        type = auth
        ipaddr = *
        port = 0
}
listen {
        ipaddr = *
        port = 0
        type = acct
}
hostname_lookups = no
allow_core_dumps = no
regular_expressions     = yes
extended_expressions    = yes
log {
        destination = files
        file = ${logdir}/radius.log
        syslog_facility = daemon
        stripped_names = yes
        auth = yes
        auth_badpass = yes
        auth_goodpass = yes
}
checkrad = ${sbindir}/checkrad
security {
        max_attributes = 200
        reject_delay = 1
        status_server = yes
        allow_vulnerable_openssl = no
}
proxy_requests  = yes
$INCLUDE proxy.conf
$INCLUDE clients.conf
thread pool {
        start_servers = 5
        max_servers = 32
        min_spare_servers = 3
        max_spare_servers = 10
        max_requests_per_server = 0
}
modules {
        $INCLUDE ${confdir}/modules/
        $INCLUDE eap.conf
        $INCLUDE sql.conf
        $INCLUDE sqlippool.conf
}
instantiate {
        exec
        expr
        expiration
        logintime
}
$INCLUDE policy.conf
$INCLUDE sites-enabled/

# cp sql.conf sql.conf.orig
# vim sql.conf

Alterar
password = "SUA-SENHA"

Descomente
readclients = yes

# cat sql.conf |grep -v "#" |awk 'NF>0'

sql.conf ficará assim:

sql {
        database = "mysql"
        driver = "rlm_sql_${database}"
        server = "localhost"
        login = "radius"
        password = "MINHA-SENHA"
        radius_db = "radius"
        acct_table1 = "radacct"
        acct_table2 = "radacct"
        postauth_table = "radpostauth"
        authcheck_table = "radcheck"
        authreply_table = "radreply"
        groupcheck_table = "radgroupcheck"
        groupreply_table = "radgroupreply"
        usergroup_table = "radusergroup"
        deletestalesessions = yes
        sqltrace = no
        sqltracefile = ${logdir}/sqltrace.sql
        num_sql_socks = ${thread[pool].max_servers}
        connect_failure_retry_delay = 60
        lifetime = 0
        max_queries = 0
        readclients = yes
        nas_table = "nas"
        $INCLUDE sql/${database}/dialup.conf
}

# cd /etc/freeradius/sites-available
# cp inner-tunnel  inner-tunnel.orig
# vim inner-tunnel

Descomente os sql encontrado em authorize/session/post-auth

authorize {
        [...]
        sql
        [...]
}
[...]
session {
         #radutmp
        sql
}
post-auth {
        sql
}

Comente

#       Post-Auth-Type REJECT {
#               # log failed authentications in SQL, too.
##              sql
#               attr_filter.access_reject
#       }

# cat /etc/freeradius/sites-available/inner-tunnel  |grep -v "#" |awk 'NF>0'

inner-tunne ficará assim:

server inner-tunnel {
listen {
       ipaddr = 127.0.0.1
       port = 18120
       type = auth
}
authorize {
        chap
        mschap
        suffix
        update control {
               Proxy-To-Realm := LOCAL
        }
        eap {
                ok = return
        }
        files
        sql
        expiration
        logintime
        pap
}
authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        unix
        eap
}
session {
        sql
}
post-auth {
        sql
}
pre-proxy {
}
post-proxy {
        eap
}

# cp default default.orig
# vim default

Comente / Descomente

authorize {
	#digest
	#suffix
	#files
        sql
}

Comente:

authenticate {
        #digest
        #unix
}
preacct {
        #suffix
        #files
}

Comente / Descomente / inclua abaixo de sql sqlippool

accounting {
        #detail
        sql 
        sqlippool
        #exec
        #attr_filter.accounting_response
}
session {
	#radutmp
        sql
}

post-auth {
        sql 
        sqlippool

        #exec
#       Post-Auth-Type REJECT {
#               # log failed authentications in SQL, too.
##              sql
#               attr_filter.access_reject
#       }
}

# cat /etc/freeradius/sites-available/default  |grep -v "#" |awk 'NF>0'

default ficará assim:

authorize {
        preprocess
        chap
        mschap
        eap {
                ok = return
        }
        sql
        expiration
        logintime
        pap
}
authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        eap
}
preacct {
        preprocess
        acct_unique
}
accounting {
        sql
        sqlippool
}
session {
        sql
}
post-auth {
        sql
        sqlippool
}
pre-proxy {
}
post-proxy {
        eap
}

Habilite o control-socket

# cd /etc/freeradius/sites-enabled
# ln -s ../sites-available/control-socket

SQLIPOOL
https://wiki.freeradius.org/modules/Rlm_sqlippool

Como dito este é um cenário bem tipico de provedores, então vou usar o modulo sqlipool para deixar meus blocos de IPs diretamente no banco de dados, assim temos um aproveitamento de 100% dos IPs, ainda mais com o esgotamenteo de IPv4 no mundo.
IMPORTANTE: Esse formato pode gerar problemas, um deles é a duplicidade de IPs em sua rede, isso acontece se você tiver varios Servidores PPPoE/Hotspot (se bem que em hotspot eu não usaria), espalhados na sua rede, caso haja alguma interrupção entre seu PPPoE Server e o Freeradius, o Freeradius poderá liberar o IP da da tabela radippool, e assim algum outro PPPoE Sever acabar alocando o mesmo. Então tome cuidado. Eu particularmente usei um script que em caso o Servidor PPPoE perder comunicação com o Servidor Freeradius ele desconecta todos os usuários conectados, assim quando voltar a comunicação seja feito uma nova conexão aos clientes.

# vim /etc/freeradius/sqlippool.conf

Altere
$INCLUDE sql/postgresql/ippool.conf
Por
$INCLUDE sql/mysql/ippool.conf

Este é um valor que você pode trabalhar caso tenha algum problema (eu uso o padrão)
## IP lease duration. (Leases expire even if Acct Stop packet is lost)
lease-duration = 3600

Para evitar duplicidade uso o MAC com key (Pois as NAS-port pode se repetir quando se tem mais de um PPPoE Serv)
Comente:
#pool-key = "%{NAS-Port}"
Descomente:
pool-key = "%{Calling-Station-Id}"

Como é bem possível que seu servidor não autentique apenas usuários pppoe ou hotspot, para não termos cada vez que por exemplo um autenticação wireless psk/eap aparece o log que não foi definido uma pool, eu comentei:
#sqlippool_log_nopool = "No Pool-Name defined \
# (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name})"

# cat sqlippool.conf |grep -v "#" |awk 'NF>0'

sqlippool.conf ficará assim:

sqlippool {
 sql-instance-name = "sql"
 ippool_table = "radippool"
 lease-duration = 3600
 pool-key = "%{Calling-Station-Id}"
$INCLUDE sql/mysql/ippool.conf
 sqlippool_log_exists = "Existing IP: %{reply:Framed-IP-Address} \
  (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name})"
 sqlippool_log_success = "Allocated IP: %{reply:Framed-IP-Address} from %{control:Pool-Name} \
  (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name})"
 sqlippool_log_clear = "Released IP %{Framed-IP-Address}\
 (did %{Called-Station-Id} cli %{Calling-Station-Id} user %{User-Name})"
 sqlippool_log_failed = "IP Allocation FAILED from %{control:Pool-Name} \
  (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name})"
 #sqlippool_log_nopool = "No Pool-Name defined \
 # (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name})"
}

Umas das alterações que acho interessante alterar no ippool, é para que a cada nova alocação de IP ela seja randômica, isso pode solucionar alguns problemas como o daqueles clientes que jogam online, que fazem download, que estão sendo atacados, que ao reiniciar seu equipamento o mesmo irá receber um novo IP. Para isso vamos editar o /etc/freeradius/sql/mysql/ippool.conf

# vim /etc/freeradius/sql/mysql/ippool.conf

Comente

### The ORDER BY clause of this query tries to allocate the same IP-address
### which user had last session...
#allocate-find = "SELECT framedipaddress FROM ${ippool_table} \
# WHERE pool_name = '%{control:Pool-Name}' AND (expiry_time < NOW() OR expiry_time IS NULL) \
# ORDER BY (username <> '%{User-Name}'), \
# (callingstationid <> '%{Calling-Station-Id}'), \
# expiry_time \
# LIMIT 1 \
# FOR UPDATE"

Descomente

### If you prefer to allocate a random IP address every time, i
### use this query instead
allocate-find = "SELECT framedipaddress FROM ${ippool_table} \
 WHERE pool_name = '%{control:Pool-Name}' \
 AND expiry_time IS NULL \
 ORDER BY RAND() \
 LIMIT 1 \
 FOR UPDATE"

COUNTER

Modulo counter é legal para criar alguns cenários de hotspot, ode você deseja limitar o tempo de conexão. Exemplo limitar que um usuário tenha acesso apenas durante 2h por dia/mês/único... E com um pouco de trabalho e personalização no /etc/freeradius/sql/mysql/counter.conf você consegue personalizar para contabilizar até mesmo tráfego de dados.

Caso você deseje habilitar-lo faça o seguinte:

# vim radius.conf

Descomenta

modules {
[...]
       $INCLUDE sql/mysql/counter.conf
[...]
}

Adicione

instantiate {
[...]
        # Habilite o mesmo no inner-tunnel
        # Modulos em  /etc/freeradius/sql/mysql/counter.conf
        dailycounter
        monthlycounter
        noresetcounter
[...]
}

# vim /etc/freeradius/sites-available/inner-tunnel

Adicione abaixo de sql

authorize {
[...]
        sql

        #Mod Counter
        noresetcounter
        dailycounter
        monthlycounter
[...]
}

# vim /etc/freeradius/sites-available/default

Adicione abaixo de sql

authorize {
[...]
        sql

        noresetcounter
        dailycounter
        monthlycounter
[...]
}

Corrigindo um bug. Acerte o nome da tabela (AcctSessionTime ==> acctsessiontime)

# vim /etc/freeradius/sql/mysql/counter.conf

Altere
query = "SELECT IFNULL(SUM(AcctSessionTime),0) FROM radacct WHERE UserName='%{%k}'"
Para
query = "SELECT IFNULL(SUM(acctsessiontime),0) FROM radacct WHERE username='%{%k}'"

ALIMENTANDO NOSSA BASE DE DADOS

Inicialmente eu particularmente não gosto da ideia da radusergroup não ter uma ID então para alterar isso faça. (Se desejar)

# mysql -u radius -p

Entre com SUA-SENHA do radius no MySQL.

USE radius;
ALTER TABLE `radusergroup` ADD `id` INT(20) NOT NULL AUTO_INCREMENT FIRST, ADD PRIMARY KEY (`id`) ;
ALTER TABLE `radusergroup` ADD UNIQUE(`id`);

Agora vamos inserir alguns valores na nossa base de dados com alguns exemplos que explicarei no decorrer.
Se você preferir pode usar os comando mysql direto no PHPMyAdmin.

Primeiramente precisamos de um cenário de rede para montar nossas configurações.
FreeRadius: 250.250.0.10
RB/RouterOS HotSpot: 250.250.1.2
RB/RouterOS PPPoE: 250.250.1.3 / 10.10.0.1
UBNT AP: 10.10.0.2

Note que nosso UBNT não está na mesma classe de IPs do FreeRadius, então possivelmente sua rede deve ter configurado algum tipo roteamento como OSPF / iBGP, que faça com que seu AP vs FreeRadius consiga comunicação. Caso exista um NAT para seu AP explicarei o que munda em seguida.

TABELAS

• nas
A tabela NAS contém dados sobre (radius clientes) e é uma "substituição" para o arquivo clients.conf. É muito mais fácil manter os clientes no banco de dados do que dentro do arquivo de configuração. Ou seja, sua RB/RouterOS e seu UBNT AP são clientes, são eles que irão fazer consultas em nosso servidor. Para devemos autorizá-los inserindo na tabela nas:

INSERT INTO `nas` (`nasname`, `shortname`, `type`, `ports`, `secret`, `server`, `community`, `description`) VALUES
('250.250.1.2', 'RB-RouterOS-PPPoE', 'other', NULL, 'SEU-SECRET', NULL, NULL, 'RouterOS PPPoE'),
('250.250.1.3', 'RB-RouterOS-HotSpot', 'other', NULL, 'SEU-SECRET', NULL, NULL, 'RouterOS HotSpot'),
('10.10.0.2', 'UBNT-AP', 'other', NULL, 'SEU-SECRET', NULL, NULL, 'POP1');

Depois de adicionar, editar ou apagar dados da tabela nas é necessário reiniciar o serviço FreeRadius para atualizar os dados.

# /etc/init.d/freeradius restart

• radcheck - Armazena os registo de cada utilizador com os respectivos atributos associados;
• radgroupcheck – Associa atributos a um determinado grupo de utilizadores;
• radgroupreply – Armazena os atributos que são devolvidos a todos os utilizadores de um grupo;
• radusergroup - Associa um utilizador a um grupo de utilizadores;
• radreply – Contém lista de atributos enviados ao utilizador;
• radpostauth – Armazena informações acerca das respostas enviadas para os utilizadores;
• radacct - Se encontra toda a informação de contabilização (extrato);

Vamos criar algumas configurações padrões, "nossos planos". Lembre-se que os atributos especificados não são necessariamente os mesmos, dependendo do seu cenário, uma boa alternativa é você rodar o freeradius em modo debug (# freeradius -X), e visualizar quais os valores estão vindo, assim você pode observar o que cada autenticação esta lhe trazendo e assim configurando seu grupo de forma segura. Fique atento pois se você cadastrar apenas um atributo poderá estar deixando grandes falhas de segurança.

INSERT INTO `radgroupcheck` (`groupname`, `attribute`, `op`, `value`) VALUES
('PLANO_1', 'Pool-Name', ':=', 'minhapool'), /* Definimos o nome da pool de IPs*/
('PLANO_1', 'Simultaneous-Use', ':=', '1'), /* Permitimos apenas uma autenticação simultânea */
('PLANO_1', 'Framed-Protocol', ':=', 'PPP'), /* Apenas protocolo PPP então isso não server para Hotspot */
('PLANO_1', 'Service-Type', ':=', 'Framed-User'), /* Tipo de serviço  */
('PLANO_2', 'Pool-Name', ':=', 'minhapool'),
('PLANO_2', 'Simultaneous-Use', ':=', '1'),
('PLANO_2', 'Framed-Protocol', ':=', 'PPP'),
('PLANO_2', 'Service-Type', ':=', 'Framed-User'),
('AVISO', 'Pool-Name', ':=', 'avisoPool'),
('AVISO', 'Simultaneous-Use', ':=', '1'),
('AVISO', 'Framed-Protocol', ':=', 'PPP'),
('AVISO', 'Service-Type', ':=', 'Framed-User'),
('BLOQUEIO', 'Pool-Name', ':=', 'bloqPool'),
('BLOQUEIO', 'Simultaneous-Use', ':=', '1'),
('BLOQUEIO', 'Framed-Protocol', ':=', 'PPP'),
('BLOQUEIO', 'Service-Type', ':=', 'Framed-User'),
('PLANO_HOT', 'NAS-Port-Type', '==', 'Wireless-802.11'),
('PLANO_HOT(naonecessariamente)', 'Pool-Name', ':=', 'poolHot'),
('PLANO_HOT', 'Simultaneous-Use', ':=', '1'),
('30MIN-DIA', 'Max-Daily-Session', ':=', '1800'), /* Modulo counter */
('30MIN-DIA', 'NAS-Port-Type', '==', 'Wireless-802.11'),
('30MIN-DIA', 'Simultaneous-Use', ':=', '1'),
('2h-UNICO', 'Max-All-Session', ':=', '7200'),
('2h-UNICO', 'NAS-Port-Type', '==', 'Wireless-802.11'),
('2h-UNICO', 'Simultaneous-Use', ':=', '1'),
('7.5h-MES', 'Max-Monthly-Session', ':=', '27000'),
('7.5h-MES', 'NAS-Port-Type', '==', 'Wireless-802.11'),
('7.5h-MES', 'Simultaneous-Use', ':=', '1');

INSERT INTO `radgroupreply` (`groupname`, `attribute`, `op`, `value`) VALUES
('PLANO_1', 'Acct-Interim-Interval', ':=', '300'), /* Intervalo em seg que a radcct será atualizada */
('PLANO_1', 'Mikrotik-Rate-Limit', ':=', '1024k/2048k'), /* Velocidade da queues */
('PLANO_2', 'Mikrotik-Rate-Limit', ':=', '512k/1024k 1024k/2048k 512k/1024k 600/600'), /* Velocidade com Burst */
('PLANO_2', 'Acct-Interim-Interval', ':=', '300'),
('AVISO', 'Acct-Interim-Interval', ':=', '300'),
('AVISO', 'Mikrotik-Rate-Limit', ':=', '999K/999K'),
('BLOQUEIO', 'Mikrotik-Rate-Limit', ':=', '999K/999K'),
('BLOQUEIO', 'Acct-Interim-Interval', ':=', '300'),
('PLANO_HOT', 'Acct-Interim-Interval', ':=', '300'),
('PLANO_HOT', 'Mikrotik-Rate-Limit', ':=', '1024K/1024K'),
('30MIN-DIA', 'Acct-Interim-Interval', ':=', '300'),
('30MIN-DIA', 'Mikrotik-Rate-Limit', ':=', '1024K/1024K'),
('2h-UNICO', 'Acct-Interim-Interval', ':=', '300'),
('2h-UNICO', 'Mikrotik-Rate-Limit', ':=', '1024K/1024K'),
('7.5h-MES', 'Acct-Interim-Interval', ':=', '300'),
('7.5h-MES', 'Mikrotik-Rate-Limit', ':=', '1024K/1024K');

Criamos alguns planos para atribuir aos nossos usuários PPPoE e Hotspot. Vamos aos nossos usuários:

INSERT INTO `radcheck` (`username`, `attribute`, `op`, `value`) VALUES
/*Autenticacao de um cliente CPE UBNT WIFI WPA2 EAP */
('cliente5.8@dominio.com.br', 'Cleartext-Password', ':=', 'senha'),
('cliente5.8@dominio.com.br', 'Calling-Station-Id', '==', '00:11:22:33:44:55'),
('cliente5.8@dominio.com.br', 'Service-Type', '==', 'Framed-User'),
('cliente5.8@dominio.com.br', 'Simultaneous-Use', ':=', '1'),
('cliente5.8@dominio.com.br', 'Pool-Name', ':=', 'minhapool'),
('cliente5.8@dominio.com.br', 'Framed-Protocol', ':=', 'PPP'),
('001122334455', 'Cleartext-Password', ':=', 'minhasenha'),
('001122334455', 'Auth-Type', '==', 'EAP'),

/*Autenticacao de um cliente CPE UBNT 2.4 vs WIFI WPA/WPA2 PSK RouterOS */
('cliente2.4@dominio.com.br', 'Cleartext-Password', ':=', 'senha'),
('cliente2.4@dominio.com.br', 'Calling-Station-Id', '==', '55:44:33:22:11:00'),
('cliente2.4@dominio.com.br', 'Service-Type', '==', 'Framed-User'),
('cliente2.4@dominio.com.br', 'Simultaneous-Use', ':=', '1'),
('cliente2.4@dominio.com.br', 'Pool-Name', ':=', 'minhapool'),
('cliente2.4@dominio.com.br', 'Framed-Protocol', ':=', 'PPP'),
('55:44:33:22:11:00', 'Auth-Type', ':=', 'Accept'),
('55:44:33:22:11:00', 'NAS-Port-Type', '==', 'Wireless-802.11');

INSERT INTO `radreply` (`username`, `attribute`, `op`, `value`) VALUES
('55:44:33:22:11:00', 'Mikrotik-Wireless-PSK', ':=', 'senha-psk');
/* A senha PSK fica na radreply */

E por fim vamos alimentar nossa tabela de ippool, como nossos IPs que serão entregue. No cenário fiz 3 pool, minhapool ounde vão ficar os IPs válidos, avisoPool que receberão um bloco de ips diferenciado, por ex. para direcionar os clientes para algum tipo de aviso. E bloqPool para clientes que ficarão bloqueado.

INSERT INTO `radippool` (`pool_name`, `framedipaddress`, `nasipaddress`, `calledstationid`, 
`callingstationid`, `expiry_time`, `username`, `pool_key`) VALUES
('minhapool', '100.64.0.1', '', '', '', NULL, '', '0'),
('minhapool', '100.64.0.2', '', '', '', NULL, '', '0'),
('minhapool', '100.64.0.3', '', '', '', NULL, '', '0'),
('minhapool', '100.64.0.4', '', '', '', NULL, '', '0'),
('bloqPool', '172.16.0.1', '', '', '', NULL, '', '0'),
('bloqPool', '172.16.0.2', '', '', '', NULL, '', '0'),
('bloqPool', '172.16.0.3', '', '', '', NULL, '', '0'),
('bloqPool', '172.16.0.4', '', '', '', NULL, '', '0'),
('avisoPool', '172.16.1.1', '', '', '', NULL, '', '0'),
('avisoPool', '172.16.1.2', '', '', '', NULL, '', '0'),
('avisoPool', '172.16.1.3', '', '', '', NULL, '', '0'),
('avisoPool', '172.16.1.4', '', '', '', NULL, '', '0');

Ainda pode fixar algumas configurações especificadamente ao usuário, vamos a alguns exemplos.

INSERT INTO `radreply` (`username`, `attribute`, `op`, `value`) VALUES
('usuario@dominio.com.br', 'Mikrotik-Rate-Limit', ':=', '2000k/4000k'), /* Setando velocidade */
('usuario@dominio.com.br', 'Framed-IP-Address', ':=', '250.250.0.150'), /* Setando IP Fixo */
('usuario@dominio.com.br', 'Framed-IPv6-Prefix', ':=', '2001:db8:A:B::/64'), /* IPv6 "Wan" */
('usuario@dominio.com.br', 'Mikrotik-Delegated-IPv6-Pool', ':=', '2001:db8:C::/56'); /* IPv6 "Lan" */

Configuração Simples do PPPoE Server no RouterOS (Mikrotik)

/interface pppoe-server server
add authentication=pap,chap disabled=no interface=ether1 keepalive-timeout=30 max-mru=1480 \
 max-mtu=1480 one-session-per-host=yes service-name=PPPoE-Server

/ppp profile
set *0 change-tcp-mss=default dns-server=250.250.0.2,250.250.0.3 local-address=250.250.0.10 

/ppp aaa
set interim-update=5m use-radius=yes

/radius
add address=250.250.250.2 secret="SEU-SECRET" service=ppp,hotspot,wireless

####################
### Wireless PSK ###
####################
/interface wireless security-profiles
add authentication-types=wpa2-psk management-protection=allowed mode=dynamic-keys name=WPA2 \ 
 radius-mac-authentication=yes wpa2-pre-shared-key=3n20oXOPjohONpEK

/interface wireless
set [ find default-name=wlan1 ] security-profile=WPA2

Configuração UBNT AP (10.10.0.2)

Configuração UBNT Cliente EAP 5.8Mhz

Configuração UBNT Cliente PSK 2.4Mhz Conectando no Cartão do MK

Fontes:
https://wiki.freeradius.org/guide/SQL-HOWTO
https://wiki.freeradius.org/modules/Rlm_sql
https://wiki.freeradius.org/modules/Rlm_sqlippool
https://wiki.freeradius.org/modules/Rlm_sqlcounter
https://www.draw.io/ (Gráficos)

O post Servidor FreeRadius com integração MySQL + Autenticação PPPoE & Hotspot VS Mikrotik + Ubiquiti EAP/PSK [Descontinuado] apareceu primeiro em Remontti.

Montando um servidor de E-mail Completo com Postfix+Dovecot+PostfixAdmin+SpamAssassin+SPF+RoundCubeMail+IPv4/IPv6 (Desatualizado)

Rudimar Remontti — Mon, 30 Jan 2017 20:35:21 +0000

Um novo tutorial mais atualizado em: https://blog.remontti.com.br/3744

Neste tutorial vou ensinar como configurar um servidor de e-mail com domínios virtuais com integração dos usuários/domínios no banco de dados MySQL.
– Postfix para nosso MTA.
– Dovecot como servidor Imap e Pop.
– Postfixadmin para o gerenciamento de contas de Emails e domínios
– Spamassassin, Clamav e o Amavis para controle de Anti-Spam e Anti-Vírus
– RoundCubeMail para Webmail

OBS: Não vou entrar em muitos detalhes, pois o tuto já ficou bem longo. E desculpe pelos erros de portuga, mas vou fazendo na corrida.

CENÁRIOS

IP: 250.250.0.6 / 2000:fff:250:250:0::6
Reverso sobre os IPS 250.250.0.6 / 2000:fff:250:250:0::6: mail.dominiorev.com.br
Domínios virtuais: remontti.com.br / dominiorev.com.br / você pode ter diversos

REQUISITOS

1 – Ter configurado DNS Autoritativo e Reverso sobre seus IPS. (Não necessariamente no mesmo servidor)
2 – Debian 8 Jessie recomendo uma instalação limpa do Debian
3 – Serviço Web Rodando
4 – Servidor Atualizado: # apt update && apt upgrade

AJUSTES

Ajuste o nome do servidor alterando alguns parâmetros do sistema.

# vim /etc/hosts

127.0.0.1       localhost
250.250.250.6     mail.dominiorev.com.br    mail
{...}

# vim /etc/hostname

mail

Configure sua interface de rede. Vou deixar um modelo, onde o bloco de IPv4 é um /28 (255.255.255.240) e um /64 para IPv6. Estou usando IPs com base no cenário apresentado no tutorial [Servidor DNS Recursivo, Autoritativo e Reverso com Bind9 (IPv4+IPv6)]

# vim /etc/network/interfaces

auto eth0
iface eth0 inet static
        address 250.250.0.6
        netmask 255.255.255.240
        network 250.250.0.0
        broadcast 250.250.0.15
        gateway 250.250.0.1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 250.250.0.2
        dns-search ns1.dominiorev.com.br

#v6
iface eth0 inet6 static
        pre-up modprobe ipv6
        address 2000:fff:250:250:0::6
        netmask 64
        gateway 2000:fff:250:250:0::1

Reinicie seu servidor

 # reboot

OBS: Lembrando que a rota default é entregue via route advertise, então se você não estiver entregando desta forma será necessários criar uma rota estática, no Debian você pode adicionar o seguinte parâmetro em /etc/rc.local ( ip -6 route add ::/0 via 2000:fff:250:250:0::1 ) assim toda vez que o sistema inicializar sua rota default (gateway) IPv6 é configurada é configurado.

POSTFIX / DOVECOTE

O Postfix é um agente de transferência de emails (MTA = Message Transfer Agent), um software livre para envio e entrega de emails. Rápido e fácil de administrar, muito utilizado em servidores UNIX.
Algumas vantagens:
– Suporte a Ipv6
– Suporte a MIME
– Autenticação SASL
– Canal seguro utilizando TLS
– Suporte a banco de dados(MySQL,PostgreSQL,LDAP,entre outros)
– Verificação a listas RBL
– Extenso suporte a filtros
– Suporte a expressão-regular
– Verificação de cabeçalho
– Verificação no corpo da mensagem
– Suporte a Greylisting e SPF através de plugins.

Dovecot é um servidor de IMAP e POP3 open source para sistemas Linux e UNIX, escrito primariamente com segurança em mente, tem o objetivo primário de ser um servidor de email leve, rápido e de fácil configuração. Dovecot suporta mbox, Maildir e seu próprio formato nativo de alta performance, Dbox. É 100% compatível com clientes de emails acessando as caixas de correio diretamente. Também inclui um agente de entrega de emails com suporte opcional a filtros Sieve, o que acho muito legal!

Vamos a instalação, não esqueça de antes ter instalado Serviço Web

# apt update && apt upgrade
# apt install dovecot-common dovecot-mysql dovecot-imapd dovecot-pop3d dovecot-lmtpd postfix postfix-mysql openssl php5-imap dovecot-sieve dovecot-managesieved

Responda:
Site da Internet

Se seu DNS reverso estiver ok ele virá já com o domínio reverso de seu IP, mas isso não é necessariamente ser o nome do ip rever, mas eu recomendo que tenha confurado o reverso para o seu servidor de e-mail.
mail.dominiorev.com.br

Verifique o arquivo /etc/mailname e sertifique-se que seja seu domínio.

# vim /etc/mailname

mail.dominiorev.com.br

Restarte o apache pois instalamos o pacote php5-imap

# /etc/init.d/apache2 restart

Adicione um e-mail para seu usuário root do Linux

# vim /etc/aliases

root: postmaster@dominiorev.com.br

# newaliases

POSTFIXADMIN

Instalaremos nosso PostfixAdmin para gerenciar nossos dominios e e-mail.
Inicialmente vamos criar nosso banco de dados MySQL.
Não esqueça de alterar a SENHA.

# mysql -uroot -p -e "CREATE DATABASE postfix; GRANT ALL PRIVILEGES ON postfix.* TO 'postfix'@'localhost' IDENTIFIED BY 'SENHA';"

Será solicitado a senha do usuários root do mysql.

Vamos baixar o PostfixAdmin, hoje (Jan 2017) o projeto está em sua versão 3.0 https://sourceforge.net/projects/postfixadmin/. Vou baixa-lo no diretório padrão do Apache2, faça de acordo com o seu cenário. Após vou extrai-lo, renomeá-lo e setar as permissões necessárias.

# cd /var/www/html/
# wget --no-check-certificate --content-disposition http://sourceforge.net/projects/postfixadmin/files/latest/download?source=files
# tar xfvz postfixadmin-*.tar.gz
# mv postfixadmin*/ postfixadmin
# chown www-data:www-data -R postfixadmin
# cd postfixadmin
# cp config.inc.php config.inc.php.orig

Editamos o config.inc.php para fazer algumas alterações e conectar com nosso banco de dados.

# vim config.inc.php

Procure pelas seguintes linhas e altere conforme a baixo.

$CONF['configured'] = true;
$CONF['default_language'] = 'pt-br';

$CONF['database_type'] = 'mysql';
$CONF['database_host'] = 'localhost';
$CONF['database_user'] = 'postfix';
$CONF['database_password'] = 'SENHA';
$CONF['database_name'] = 'postfix';

# Defina o tipo de criptografia para as senhas salvas no BD.
$CONF['encrypt'] = 'md5';

# cp config.inc.php config.local.php

Como existe varias alterações “change-this-to-your.domain.tld” vou usar o comando sed para alterar todas de uma única vez. Não esqueça de substituir pelo seu dominio.

# sed -i 's/change-this-to-your.domain.tld/dominiorev.com.br/' config.inc.php

Acesse:
http://SEU-DOMINO/postfixadmin/setup.php

No primeiro acesso suas tabelas já serão criadas no seu bd, você deve ter todas as dependências OK.

Se deparar com o erro: “ERROR: the templates_c directory doesn’t exist or isn’t writeable for the webserver” crie o diretório templates_c com # mkdir templates_c && chown www-data. templates_c

Bem no final temos: Change setup password
Preencha os campos Setup password com uma senha e repita (Essa senha será necessária pra criar administradores do PostfixAdmin) e clique em Generate password hash

Voce vai receber uma mensagem parecida com essa:
If you want to use the password you entered as setup password, edit config.inc.php or config.local.php and set
$CONF[‘setup_password’] = ‘ca06e6cd4df066ac8e7999616a773b00:51508f16ca5ef631a5ed23ccc44160d934375ec5’;

Esta senha criptografada, será necessários informar no arquivo config.inc.php antes de prosseguir. Então vamos a edição.

# vim  config.inc.php

Localize:

$CONF['setup_password'] = 'changeme';

Altere para:

$CONF['setup_password'] = 'ca06e6cd4df066ac8e7999616a773b00:51508f16ca5ef631a5ed23ccc44160d934375ec5';

Salve se arquivo e volte para seu navegador. Em Create superadmin account vamos criar nosso usuário administrador do PostfixAdmin.

Nos campos:
Setup password = Informe a senha q você gerou no passo anterior.
Administrador: = um endereço email que será o seu login (postmaster@dominiorev.com.br)

Clique em Criar administrador

Deve retornar a mensagem:

	Administrador criado! (postmaster@dominiorev.com.br)
	You are done with your basic setup.

	You can now login to PostfixAdmin using the account you just created.

Agora por segurança vamos acessar nosso diretório do postfixadmin (/var/www/html/postfixadmin) e renomear o arquivo setup.php

# mv setup.php QLQRNOME_setup.php

Acesse: http://SEU-DOMINO/postfixadmin/

Já é possível acessa-lo com nosso usuários administrador, e adicionar seus domínios e contas de e-mails.
Domínios => Criar Domínio
Virtual => Criar conta de Email

Dado continuidade criaremos nosso usuários vmail que será o “cara” responsável pelo trabalho.

# groupadd -g 5000 vmail
# useradd -g vmail -u 5000 vmail -d /var/vmail
# mkdir /var/vmail
# chown vmail:vmail /var/vmail

Edite o arquivo /etc/postfix/main.cf

# cp /etc/postfix/main.cf /etc/postfix/main.cf.orig
# vim /etc/postfix/main.cf

Altere e adicione como descrito abaixo.

#--------ALTERE--------#
smtpd_banner = $myhostname
myorigin = $myhostname
mydestination = localhost

#--------COMENTE--------#
#relayhost =
#mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
#mailbox_size_limit = 0

#--------ADD AO FINAL--------#

# Authentification
smtpd_sasl_type=dovecot
smtpd_sasl_path=private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf
broken_sasl_auth_clients = yes

# Virtual mailboxes
local_transport = virtual
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_mailbox_base = /var/vmail/
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 104
virtual_transport = virtual
#virtual_transport = dovecot ????????/ ql ?
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
dovecot_destination_recipient_limit = 1

###### EXTRAS COMENTADO #######
# Tamanho maximo do anexo (21 MB)
# No webmail php deve permitir upar esse tamanho
message_size_limit = 22020096

# Um pouco mais de  protecao contra spam
disable_vrfy_command = yes

# A RFC 821 basicamente exige que os enderecos sejam envelopados ou contidos por <>.
# Seguir esta regra faz com que se use essa notacao na sessao SMTP. Isso ajuda a barrar alguns Mailers.
strict_rfc821_envelopes = yes

# Caixa postal inexistente devolver aosender o erro 500,
# desta forma daqui alguns minutos voce nao precisara processar novamente o mesmo spam.
unknown_local_recipient_reject_code = 500

# E rejeitar com erro 554 enderecos desconhecidos
unknown_address_reject_code = 554

# Tambem com o erro 554 podemos rejeitar as conexoes que venham de hostnames desconhecidos
unknown_hostname_reject_code = 554

# Os cliente desconhecidos tambem rejeitaremos com o mesmo erro
unknown_client_reject_code = 554

# Vamos definir que o servidores remotos podem fazer no maximo 10
# conexõsimultaneas (e um valor que trabalho, editem conforme a necessidade).
# Um spammer faz mais de 20
smtp_destination_recipient_limit = 10

# Vamos definir que a conexao so pode cometer 3 erros de codigos 500
# (erros definitivos), apos isto sera desconectado
smtpd_hard_error_limit = 3

# Para erros de codigo 400 (erros temporarios), podemos desconecta-los na primeira
smtpd_soft_error_limit = 1

# Bom, claro que o spammer tambem pode ser desconectado e depois se reconectar,
# entao vamos nos prevenir destes espertinhos definindo quantas conexoes ele pode fazer por minuto.
smtpd_client_connection_count_limit = 10

# Nestas conexoes vamos limitar quantas mensagens ele pode mandar por minuto,
# no meu caso uso 25. Se algum usuario seu reclamar deste limite,
# classifique-o como ninja ou na pior hipotese, um mail maniaco.
smtpd_client_message_rate_limit = 25

# Deixar um spammer maluco e faze-lo perder tempo. Dificilmente um servidor conectado
# ao seu servidor vai cometer erros, os spammer cometem muitos erros, pois eles ficam tentando.
# Para irrita-los e quem sabe um dia desistirem de mim, eu travo eles dentro do meu servidor a cada erro.
# No meu caso, a cada erro eu os travo por 20 segundos. Ate que diminuiu o numero de spammers no meu servidor,
# devo estar na blacklist deles.rs
smtpd_error_sleep_time = 20

# Para este tipo de problema, os spammers podem resetar os erros deles.
# Para evitar que eles facam isto e sejam desconetados, podemos dizer se eles podem ou nao fazer isto.
# Como colher de cha, vamos deixar fazer isto apenas uma vez (ate porque servidores as vezes usam este comando).
# Permitir a maquina remota dar o comando RSET apenas 1 vez.
smtpd_junk_command_limit = 1


# Defina tambem o numero maximo de destinatarios em uma unica mensagem.
# Utilize o numero que melhor lhe convir, entreviste pessoas chaves se necessarios.
smtpd_recipient_limit = 50

# Os spammers nao se preocupam muito com isto,
# entao uma otima pratica para bloquear spams eh
# tornar a identificacao por HELO/EHLO obrigatoria.
smtpd_helo_required = yes

# Um pouco mais sobre o HELO/EHLO eh definir um tempo
# limite para o servidor fazer a identificacao, um
# servidor serio nao tem porque ficar enrolando.
# Vai diminuindo o tempo e observando os resultados.
# Vamos comecar com 60 segundos
smtp_helo_timeout = 60s

smtpd_helo_restrictions =	permit_mynetworks,
				permit_sasl_authenticated,
				reject_invalid_helo_hostname,
				reject_non_fqdn_helo_hostname,
				reject_unknown_helo_hostname,
				reject_unauth_pipelining

smtpd_sender_restrictions =	reject_non_fqdn_sender,
				reject_unknown_sender_domain,
				reject_unlisted_sender,
				reject_authenticated_sender_login_mismatch,
				permit_sasl_authenticated,
				permit_mynetworks

smtpd_recipient_restrictions =  permit_sasl_authenticated,
                                permit_mynetworks,
                                reject_unauth_destination,
                                reject_unknown_reverse_client_hostname,
                                reject_invalid_hostname,
                                reject_non_fqdn_hostname,
                                reject_non_fqdn_sender,
                                reject_non_fqdn_recipient,
                                reject_unknown_sender_domain,
                                reject_unknown_recipient_domain,
                                reject_unauth_pipelining,
                                reject_rbl_client zen.spamhaus.org,
                                reject_rbl_client bl.spamcop.net,
                                reject_rbl_client dnsbl.sorbs.net,
                                permit

OBS RBLs: zen.spamhaus.org, bl.spamcop.net, dnsbl.sorbs.net
Caso não queira utilizar remova os campos reject_rbl_client ou se desejar adicionar outras…

Mais informações você encontra em:
http://www.postfix.org/VIRTUAL_README.html#virtual_mailbox

Precisamos criar 4 arquivos que farão a conexão com o BD, pra facilitar criamos nossa variável MINHASENHA

Vamos criar uma variável com o valor da senha que foi criada para o usuarios postfix do mysql, assim ira facilitar.

# MINHASENHA='sua-senha-do-usuario-postifix-do-mysql'

Não use $ ou # em sua senha

mysql_virtual_alias_maps.cf

# echo "
hosts = localhost
user = postfix
password = $MINHASENHA
dbname = postfix
query = SELECT goto FROM alias WHERE address='%s' AND active = '1'
" >> /etc/postfix/mysql_virtual_alias_maps.cf

mysql_virtual_mailbox_maps.cf

# echo "
hosts = localhost
user = postfix
password = $MINHASENHA
dbname = postfix
query = SELECT maildir FROM mailbox WHERE username='%s' AND active = '1'
" >> /etc/postfix/mysql_virtual_mailbox_maps.cf

mysql_sender_login_maps.cf

# echo "
hosts = localhost
user = postfix
password = $MINHASENHA
dbname = postfix
query = SELECT username AS allowedUser FROM mailbox WHERE username='%s' AND active = 1 UNION SELECT goto FROM alias WHERE address='%s' AND active = '1'
" >> /etc/postfix/mysql_sender_login_maps.cf

mysql_virtual_domains_maps.cf

# echo "
hosts = localhost
user = postfix
password = $MINHASENHA
dbname = postfix
query = SELECT domain FROM domain WHERE domain='%s' AND active = '1'
" >> /etc/postfix/mysql_virtual_domains_maps.cf

Acesse o diretório de instalação e verifique se os arquivos com as iniciais mysql_* foram criados. Depois altere as permissões e grupos.

# cd /etc/postfix
# ls -lh mysql_*
# chmod o-rwx,g+r mysql_*
# chgrp postfix mysql_*

Vamos as alterações no master.cf.

Faça um backup do arquivo original antes e adicione no final:

# cp /etc/postfix/master.cf /etc/postfix/master.cf.orig
# vim /etc/postfix/master.cf

Adicione ao final:

# Dovecot
dovecot   unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${recipient}

Localize as seguintes linhas e descomente-as:

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_sasl_auth_enable=yes

smtps     inet  n       -       -       -       -       smtpd
  -o smtpd_tls_wrappermode=yes

Em altere os valores de smtpd_client_restrictions, os originais são diferentes. (veja na imagem abaixo como fica)

  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
[...]
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Configurando o Dovecot

Vou usar o comando sed para fazer as alterações necessárias em vez de ficarmos abrindo arquivo e editando.

# cp /etc/dovecot/dovecot.conf /etc/dovecot/dovecot.conf.orig
# sed -i -e 's/#listen/listen/' /etc/dovecot/dovecot.conf

# cp /etc/dovecot/dovecot-sql.conf.ext /etc/dovecot/dovecot-sql.conf.ext.orig
# sed -i -e 's/#driver =/driver = mysql/' /etc/dovecot/dovecot-sql.conf.ext

Se voce ainda não reiniciou a maquina sua variavel $MINHASENHA ainda está carregando sua senha, voce pode executar # echo $MINHASENHA ve se retorna ela. se não repita o comando

# MINHASENHA='sua-senha-do-usuario-postifix-do-mysql'

# sed -i -e "s/#connect =/connect = host=localhost dbname=postfix user=postfix password=$MINHASENHA/" /etc/dovecot/dovecot-sql.conf.ext
# sed -i -e 's/#default_pass_scheme/default_pass_scheme/' /etc/dovecot/dovecot-sql.conf.ext

Vamos inserir algumas linhas ao final de dovecot-sql.conf.ext.

# echo "" >> /etc/dovecot/dovecot-sql.conf.ext
# echo "user_query = SELECT concat('/var/vmail/', maildir) as home, concat('maildir:/var/vmail/', maildir) as mail, 5000 AS uid, 5000 AS gid, concat('*:bytes=', (quota)) AS quota_rule FROM mailbox WHERE username = '%u' AND active = '1';" >> /etc/dovecot/dovecot-sql.conf.ext
# echo "" >> /etc/dovecot/dovecot-sql.conf.ext
# echo "password_query = SELECT username as user, password, concat('/var/vmail/', maildir) as userdb_home, concat('maildir:/var/vmail/', maildir) as userdb_mail, 5000 as userdb_uid, 5000 as userdb_gid, concat('*:bytes=', (quota)) AS userdb_quota_rule FROM mailbox WHERE username = '%u' AND active = '1';" >> /etc/dovecot/dovecot-sql.conf.ext

Alterações dos arquivos 10-auth.conf / 10-logging.conf / 10-ssl.conf

# cp /etc/dovecot/conf.d/10-auth.conf /etc/dovecot/conf.d/10-auth.conf.orig
# sed -i -e 's/#disable_plaintext_auth = yes/disable_plaintext_auth = no/' /etc/dovecot/conf.d/10-auth.conf
# sed -i -e 's/#auth_mechanisms = plain/auth_mechanisms = plain login/' /etc/dovecot/conf.d/10-auth.conf
# sed -i -e 's/!include auth-system.conf.ext/#!include auth-system.conf.ext/' /etc/dovecot/conf.d/10-auth.conf
# sed -i -e 's/#!include auth-sql.conf.ext/!include auth-sql.conf.ext/' /etc/dovecot/conf.d/10-auth.conf

# cp /etc/dovecot/conf.d/10-logging.conf /etc/dovecot/conf.d/10-logging.conf.orig
# sed -i -e 's/#log_path/log_path/' /etc/dovecot/conf.d/10-logging.conf
# sed -i -e 's/#log_timestamp = "%b %d %H:%M:%S "/log_timestamp = "%Y-%m-%d %H:%M:%S "/' /etc/dovecot/conf.d/10-logging.conf

# cp /etc/dovecot/conf.d/10-ssl.conf /etc/dovecot/conf.d/10-ssl.conf.orig
# sed -i -e 's/ssl = no/#ssl = no/' /etc/dovecot/conf.d/10-ssl.conf
# sed -i -e 's/#ssl_cert =/ssl_cert =/' /etc/dovecot/conf.d/10-ssl.conf
# sed -i -e 's/#ssl_key =/ssl_key =/' /etc/dovecot/conf.d/10-ssl.conf

Criamos os certificados para o dovecot

# openssl req -new -x509 -days 3650 -nodes -out "/etc/dovecot/dovecot.pem" -keyout "/etc/dovecot/private/dovecot.pem"

Em 10-master.conf ficou complicado fazer alteração com sed então vamos no braço.

# cp /etc/dovecot/conf.d/10-master.conf /etc/dovecot/conf.d/10-master.conf.orig
# vim /etc/dovecot/conf.d/10-master.conf

em :service auth {
COMENTE tudo de unix_listener auth-userdb

service auth {

#unix_listener auth-userdb {
 #mode = 0666
 #user =
 #group =
#}

#descomente
 unix_listener /var/spool/postfix/private/auth {
    mode = 0666
  }

#add
  unix_listener auth-master {
    mode = 0666
  }

  #Descomente
  user = $default_internal_user
}

Vamos criar um filtro para que todas as mensagens marcada com spam sejam movida para o diretórios SPAM.

# mkdir /var/lib/dovecot/sieve/
# cp /etc/dovecot/conf.d/90-sieve.conf /etc/dovecot/conf.d/90-sieve.conf.orig
# sed -i -e 's/#sieve_default =/sieve_default =/' /etc/dovecot/conf.d/90-sieve.conf
# sed -i -e 's/#sieve_global_dir =/sieve_global_dir = \/var\/lib\/dovecot\/sieve\/ /' /etc/dovecot/conf.d/90-sieve.conf

# echo 'require ["fileinto"];' >> /var/lib/dovecot/sieve/default.sieve
# echo '# rule:[Spam]' >> /var/lib/dovecot/sieve/default.sieve
# echo 'if header :contains "X-Spam-Flag" "YES" {' >> /var/lib/dovecot/sieve/default.sieve
# echo '        fileinto "Junk";' >> /var/lib/dovecot/sieve/default.sieve
# echo '}' >> /var/lib/dovecot/sieve/default.sieve

# sievec /var/lib/dovecot/sieve/default.sieve
# chown -R vmail:vmail /var/lib/dovecot

# cp /etc/dovecot/conf.d/10-mail.conf /etc/dovecot/conf.d/10-mail.conf.orig
# sed -i -e 's/mail_location = mbox:~\/mail:INBOX=\/var\/mail\/%u/mail_location = mbox:~\/mail:INBOX=\/var\/vmail\/%u/' /etc/dovecot/conf.d/10-mail.conf

!Exatamente nessa ordem!

# sed -i -e 's/inbox = yes/inbox = yes\n  /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    } /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      special_use = \Junk /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      auto = subscribe /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    mailbox Junk { /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    } /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      special_use = \Sent /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      auto = subscribe /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    mailbox Sent { /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    } /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      special_use = \Drafts /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      auto = subscribe /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    mailbox Drafts { /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    } /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      special_use = \Trash /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      auto = subscribe /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n  mailbox Trash { /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n  /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/#mail_plugins =/mail_plugins = quota/' /etc/dovecot/conf.d/10-mail.conf

# cp /etc/dovecot/conf.d/20-managesieve.conf  /etc/dovecot/conf.d/20-managesieve.conf.orig
# vim /etc/dovecot/conf.d/20-managesieve.conf

Descomente:

# Uncomment to enable managesieve protocol:
protocols = $protocols sieve

service managesieve-login {
}
service managesieve {
}
protocol sieve {
}

# cp /etc/dovecot/conf.d/15-lda.conf /etc/dovecot/conf.d/15-lda.conf.orig

Altere nos comandos (dominiorev.com.br) para seu domínio

!# sed -i -e 's/#mail_plugins = $mail_plugins/#mail_plugins = $mail_plugins\n  postmaster_address = postmaster@dominiorev.com.br/' /etc/dovecot/conf.d/15-lda.conf
# sed -i -e 's/#mail_plugins = $mail_plugins/#mail_plugins = $mail_plugins\n  auth_socket_path = \/var\/run\/dovecot\/auth-master/' /etc/dovecot/conf.d/15-lda.conf
# sed -i -e 's/#mail_plugins = $mail_plugins/mail_plugins = $mail_plugins sieve/' /etc/dovecot/conf.d/15-lda.conf

# cp /etc/dovecot/conf.d/20-imap.conf /etc/dovecot/conf.d/20-imap.conf.orig
# sed -i -e 's/#mail_plugins = $mail_plugins/mail_plugins = $mail_plugins quota imap_quota/' /etc/dovecot/conf.d/20-imap.conf

# cp /etc/dovecot/conf.d/20-pop3.conf /etc/dovecot/conf.d/20-pop3.conf.orig
# sed -i -e 's/#mail_plugins = $mail_plugins/mail_plugins = $mail_plugins quota/' /etc/dovecot/conf.d/20-pop3.conf

# cp /etc/dovecot/conf.d/90-quota.conf /etc/dovecot/conf.d/90-quota.conf.orig
# sed -i -e 's/#quota = maildir/quota = maildir/' /etc/dovecot/conf.d/90-quota.conf
# sed -i -e 's/#quota_rule =/quota_rule =/' /etc/dovecot/conf.d/90-quota.conf
# sed -i -e 's/#quota_rule2 =/quota_rule2 =/' /etc/dovecot/conf.d/90-quota.conf
# sed -i -e 's/#quota_warning/quota_warning/' /etc/dovecot/conf.d/90-quota.conf

# vim /etc/dovecot/conf.d/90-quota.conf

Descomente

service quota-warning {
  executable = script /usr/local/bin/quota-warning.sh
  user = dovecot
  unix_listener quota-warning {
    user = vmail
  }
}

# vim /usr/local/bin/quota-warning.sh

#!/bin/sh
PERCENT=$1
USER=$2
cat << EOF | /usr/lib/dovecot/deliver -d $USER -o "plugin/quota=maildir:User quota:noenforcing"
From: postmaster@mail.dominiorev.com.br
Subject: Quota Aviso

AVISO
Usando $PERCENT% do tamanho da caixa postal.

Remontti
(55) 9999-9999
EOF

# chmod +x /usr/local/bin/quota-warning.sh
# /etc/init.d/dovecot restart
# /etc/init.d/postfix restart

Comando para ver cota

# doveadm quota get -u usuario@dominio.com.br

WEBMAIL ROUNDCUBE

# apt install php5-intl php-pear
# sed -i -e "s/^;date\.timezone =.*$/date\.timezone = 'America\/Sao_Paulo'/" /etc/php5/apache2/php.ini
# /etc/init.d/apache2 restart
# cd /var/www/html

Acesse e baixe a versao mais recente
https://roundcube.net/download/

Hoje 1.2.4 - Complete

# wget --no-check-certificate https://github.com/roundcube/roundcubemail/releases/download/1.2.4/roundcubemail-1.2.4-complete.tar.gz

# tar -vxzf roundcubemail*
# mv roundcubemail-1.2.4 webmail
# chown  www-data. -R webmail

Criaremos nosso banco de dados para o roundcubemail.

# mysql -u root -p

Será solicitado a senha root do mysql, entre com a senha.

CREATE DATABASE roundcubemail;
GRANT ALL PRIVILEGES ON roundcubemail.* TO roundcube@localhost IDENTIFIED BY 'SUA-SENHA-BD-ROUND';
FLUSH PRIVILEGES;
quit;

Acesse:
http://SEU-DOMINIO/webmail/installer/

Clique em Next

Principais itens a ser alterado ou de seu gosto o que não citei deixei padrão

== General configuration ==
product_name: Nome do Webmail
Check client IP in session authorization: MARQUE

== Logging & Debugging ==
log_driver: syslog

== Database setup ==
Database type: MYSQL
Database server: localhost
Database name: roundcubemail
Database user name: roundcube
Database password: SUA-SENHA-BD-ROUND
db_prefix:

== IMAP Settings ==
username_domain: mail.dominiorev.com.br

== SMTP Settings ==
smtp_server: tls://mail.dominiorev.com.br
smtp_port: 25

== Display settings & user prefs ==
language *: pt_BR
If preview pane is enabled: Marque
Compose HTML formatted messages: always

== Plugins ==
"De acordo com suas necessidades! Porém vou configurar os seguintes.
- emoticons
- managesieve
- markasjunk
- newmail_notifier
- password
- zipdownload

Agora clique em [CREAT CONFIG]
Vai retornar uma mensagem:
The config file was saved successfully into RCMAIL_CONFIG_DIR directory of your Roundcube installation.

Isso significa que nosso arquivo de configuração do roundcube foi criado (config/config.inc.php)

Agora clique em: [CONTINUE]
Agora em: [Inicialize database]

Irá retornar:
Check DB config
DSN (write): OK
DB Schema: OK
DB Write: OK
DB Time: OK

Se você já criou uma conta de email você pode testa-la [Check login]

Como recomendações, mova o diretório installer para outro nome ou remova.

After completing the installation and the final tests please remove the whole installer folder from the document root of the webserver or make sure that enable_installer option in config.inc.php is disabled.

Depois de completar a instalação e os testes finais remova toda a pasta de instalação da raiz de documentos do servidor web ou certifique-se de que enable_installer opção no config.inc.php está desativado.

# mv installer/ installer_XYZ_12345

Acesse o diretório dos plugins do roundcube.

# cd /var/www/html/webmail/plugins/

== newmail_notifier ==

# cd newmail_notifier
# cp config.inc.php.dist config.inc.php
# sed -i -e 's/= false/= true/' config.inc.php

== zipdownload ==

# cd ../zipdownload
# cp config.inc.php.dist config.inc.php
# sed -i -e 's/= false/= true/' config.inc.php

== markasjunk ==
(Sem configuração)

= managesieve =
Faz emails identificado com spam cair na pasta spam.

# cd ../managesieve
# cp config.inc.php.dist  config.inc.php
# vim config.inc.php

Altere: (atençao para o caminho)

$config['managesieve_default'] = '/var/www/html/webmail/plugins/managesieve/default.sieve';
$config['managesieve_script_name'] = 'Filtros';

Crie o arquivo default.sieve

# vim /var/www/html/webmail/plugins/managesieve/default.sieve

require ["fileinto"];
# rule:[Spam]
if header :contains "X-Spam-Flag" "YES"
{
        fileinto "Junk";
        stop;
}

== password ==
Permite usuário alterar sua senha.

# cd ../password
# cp config.inc.php.dist  config.inc.php
# vim config.inc.php

Altere:

//Define o uma quantidade minima de caracteres
$config['password_minimum_length'] = 8;

$config['password_require_nonalpha'] = false;

$config['password_db_dsn'] = 'mysql://postfix:SENHA-POSTFIX-MYSQL@localhost/postfix';
$config['password_query'] = "UPDATE  mailbox SET  password=MD5(%p) WHERE username=%u AND password=MD5(%o)";

Plugins extra (http://plugins.roundcube.net/)

# cd /var/www/html/webmail/plugins/

== contextmenu ==
Cria menus ao clicar com o direito. (# apt install git)

# git clone --recursive https://github.com/JohnDoh/Roundcube-Plugin-Context-Menu.git
# mv Roundcube-Plugin-Context-Menu contextmenu

== persistent_login ==
Permite deixar salvo a sessão.

# git clone --recursive https://github.com/mfreiholz/Roundcube-Persistent-Login-Plugin.git
# mv Roundcube-Persistent-Login-Plugin persistent_login
# cd persistent_login/
# cp config.inc.php.dist  config.inc.php
# sed -i -e 's/= false/= true/' config.inc.php

Precisa fazer umas alterações em nossas tabelas do bd roundcubemail, para isso use:

# mysql -u roundcube -pSENHA-USER-MYSQL-ROUNDCUBE roundcubemail < sql/mysql.sql

A tradução ao meu ver ficou estranha, e vamos adicionar um aviso.

# vim localization/pt_BR.inc

Altere para:

== dovecot_ident ==
Como webmail é um acesso localhost, nos logs de acesso IMAP não queremos isso e sim o IP do usuário que esta acessando, para isso:

# cd /var/www/html/webmail/plugins
# git clone --recursive https://github.com/corbosman/dovecot_ident.git
# vim /etc/dovecot/dovecot.conf

Decomente incluindo o valor (127.0.0.1 ::1)

login_trusted_networks = 127.0.0.1 ::1 IP-DO-SEU-SERVIDOR

ex:

login_trusted_networks = 127.0.0.1 ::1 250.250.0.6 2000:fff:250:250:0::6

# /etc/init.d/dovecot  restart
# /etc/init.d/postfix  restart

Agora precisamos adicionar nossos plugins extrar nas configurações do Round.

# vim /var/www/html/webmail/config/config.inc.php

Procure por:

$config['plugins']
Inclua os plugins contextmenu, persistent_login e dovecot_ident ficando:
$config['plugins'] = array('emoticons', 'managesieve', 'markasjunk', 'newmail_notifier', 'password', 'zipdownload','contextmenu', 'persistent_login', 'dovecot_ident');

//Eu particularmente gosto de fazer ainda algumas mudanças, se desejar inclua ao final do arquivo:
$config['show_images'] = 2;
$config['prefer_html'] = true;
$config['check_all_folders'] = true;
$config['message_show_email'] = true;
$config['draft_autosave'] = 180;
$config['quota_zero_as_unlimited'] = true;
$config['list_cols'] = array('flag', 'status', 'fromto', 'subject', 'date', 'size', 'attachment', 'priority');
//Se desejar cadastrar um domino qual não precisa informar o @dominio...
$config['username_domain'] = 'dominiorev.com.br';

# chown  www-data. -R /var/www/html/webmail/

Seu servidor de e-mail já está funcionado, logue em seu webmail, envie algum e-mails.
Acesse: http://SEU-DOMINIO/webmail/

PEGANDO A ULTIMA VEZ QUE USUÁRIO LOGOU E O IP

Se você é administrador de um servidor de e-mail certamente vai querer isso!
Primeiramente vamos adicionar alguns campos extrar nassa tabela mailbox (last_login_date last_login_ip last_login_proto)

# mysql -u root -p

use postfix;
ALTER TABLE `mailbox` ADD `last_login_date` DATETIME NULL COMMENT 'last login date',ADD `last_login_ip` VARCHAR( 39 ) NULL COMMENT 'last login ip',ADD `last_login_proto` CHAR( 5 ) NULL ;
quit;

Vamos ensinar o dovecot a alimentar esses campos.
10-master.conf

# sed -i -e 's/service imap {/service imap {\n  executable = imap imap-postlogin/' /etc/dovecot/conf.d/10-master.conf
# sed -i -e 's/service imap {/service imap {\n  # Post-login action/' /etc/dovecot/conf.d/10-master.conf
# sed -i -e 's/service pop3 {/service pop3 {\n  executable = pop3 pop3-postlogin/' /etc/dovecot/conf.d/10-master.conf
# sed -i -e 's/service pop3 {/service pop3 {\n  # Post-login action/' /etc/dovecot/conf.d/10-master.conf
# echo ''>> /etc/dovecot/conf.d/10-master.conf
# echo '# Post login scripting POP3'>> /etc/dovecot/conf.d/10-master.conf
# echo 'service pop3-postlogin {'>> /etc/dovecot/conf.d/10-master.conf
# echo '  executable = script-login /usr/local/bin/postlogin-pop.sh'>> /etc/dovecot/conf.d/10-master.conf
# echo '  user = $default_internal_user'>> /etc/dovecot/conf.d/10-master.conf
# echo '  unix_listener pop3-postlogin {'>> /etc/dovecot/conf.d/10-master.conf
# echo '  }'>> /etc/dovecot/conf.d/10-master.conf
# echo '}'>> /etc/dovecot/conf.d/10-master.conf
# echo ''>> /etc/dovecot/conf.d/10-master.conf
# echo '# Post login scripting IMAP'>> /etc/dovecot/conf.d/10-master.conf
# echo 'service imap-postlogin {'>> /etc/dovecot/conf.d/10-master.conf
# echo '  executable = script-login /usr/local/bin/postlogin-imap.sh'>> /etc/dovecot/conf.d/10-master.conf
# echo '  user = $default_internal_user'>> /etc/dovecot/conf.d/10-master.conf
# echo '  unix_listener imap-postlogin {'>> /etc/dovecot/conf.d/10-master.conf
# echo '  }'>> /etc/dovecot/conf.d/10-master.conf
# echo '}'>> /etc/dovecot/conf.d/10-master.conf

Crie o arquivo postlogin-imap.sh

# vim /usr/local/bin/postlogin-imap.sh

Atenção para SENHA.

#!/bin/sh
MYSQL_USER='postfix'
PASSWD='SENHA'
DB_NAME='postfix'
if [ X"${USER}" != X"dump-capability" ]; then
mysql -u${MYSQL_USER} -p${PASSWD} ${DB_NAME} >/dev/null 2>&1 <
Crie o arquivo postlogin-pop.sh
# vim /usr/local/bin/postlogin-pop.sh
Atenção para SENHA.
#!/bin/sh
MYSQL_USER='postfix'
PASSWD='SENHA'
DB_NAME='postfix'
if [ X"${USER}" != X"dump-capability" ]; then
mysql -u${MYSQL_USER} -p${PASSWD} ${DB_NAME} >/dev/null 2>&1 <
# chmod +x /usr/local/bin/postlogin-*
# /etc/init.d/dovecot  restart
Acesse sua conta de email e apois consulte a tabela mailbox (SELECT * FROM `mailbox`)
Até este ponto nosso servidor está 100%, agora falta apenas um Anti-Spam e um Anti-Vírus para ficar perfeito, Então vamos nessa 
SPAMASSASSIN
Vamos começar pelo SpamAssassin
# apt install spamc spamassassin
Alguns ajustes
# sed -i -e 's/ENABLED=0/ENABLED=1/' /etc/default/spamassassin
# sed -i -e 's/CRON=0/CRON=1/' /etc/default/spamassassin
# sed -i -e 's/# report_safe 1/report_safe 0/' /etc/spamassassin/local.cf
????# sed -i -e 's/inbox = yes/inbox = yes\n    } /' /etc/dovecot/conf.d/10-mail.conf
# systemctl enable spamassassin
# vim /etc/postfix/master.cf
Adicione ==> -o content_filter=spamassassin
smtp      inet  n       -       -       -       -       smtpd
  -o content_filter=spamassassin
   {..}
submission inet n       -       -       -       -       smtpd
  -o content_filter=spamassassin
   {..}
smtps     inet  n       -       -       -       -       smtpd
  -o content_filter=spamassassin
  {..}


E no final do arquivo:
# SpamAssassin
spamassassin unix -     n       n       -       -       pipe
  user=debian-spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}

Vamos instalar o Razor Pyzor para ajudar no bloquei dos Spam.
# apt install razor pyzor
# vim /etc/spamassassin/local.cf
Inclua antes da ultima linha (endif # Mail::SpamAssassin::Plugin::Shortcircuit)
# razor2
use_razor2 1
score RAZOR2_CHECK 2.500

# pyzor
use_pyzor 1
score PYZOR_CHECK 2.500

# su - debian-spamd -c 'razor-admin -d --create'
# su - debian-spamd -c 'razor-admin -register'
# su - debian-spamd -c 'razor-admin -discover'
# su - debian-spamd -c 'pyzor discover'
ANTIVIRUS AMAVIS / CLAMAV
Você precisa ter nos repositórios os pacotes non-free
# vim /etc/apt/sources.list
(exemplo)
deb http://ftp.br.debian.org/debian/ jessie main contrib non-free
# apt update
# apt install amavisd-new clamav clamav-freshclam  clamav-daemon arj bzip2 cabextract nomarch pax rar unrar unzip zip zoo lhasa libmail-dkim-perl libnet-ldap-perl libsnmp-perl libzeromq-perl lzop p7zip rpm
# adduser clamav amavis
# /etc/init.d/clamav-freshclam stop
# freshclam
# su - amavis -c 'razor-admin -d --create'
# su - amavis -c 'razor-admin -register'
# su - amavis -c 'razor-admin -discover'
# su - amavis -c 'pyzor discover' 
# vim /etc/amavis/conf.d/15-content_filter_mode
#(Descomente)
@bypass_virus_checks_maps = (
   \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);

@bypass_spam_checks_maps = (
   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

# vim /etc/amavis/conf.d/50-user
Adicionar !! Atenção para SENHA
#
@lookup_sql_dsn = (
    ['DBI:mysql:database=postfix;host=127.0.0.1;port=3306',
     'postfix',
     'SENHA-BD-POSTFIX']);
$sql_select_policy = 'SELECT "Y" as local FROM alias WHERE address IN (%k)';

#------------ Do not modify anything below this line -------------
1;  # ensure a defined return

# vim /etc/amavis/conf.d/05-node_id
 Altere: 
$myhostname = "mail.dominiorev.com.br";
# vim /etc/amavis/conf.d/01-debian
Comente:
#$unarj      = ['arj', 'unarj'];
Descomente:
$unrar      = ['rar', 'unrar']; #disabled (non-free, no security support)
Personalização Amavis
# vim /etc/amavis/conf.d/20-debian_defaults
Eu comento sa_spam_subject_tag, assim as mensagens que forem spam não terão o assunto trocado, pois elas já irão cair na caixa de spam.
#$sa_spam_subject_tag = '***SPAM*** ';
Comente se não desejar receber as menssagens de erro.
#$final_virus_destiny      = D_DISCARD;  # (data not lost, see virus quarantine)
#$final_banned_destiny     = D_BOUNCE;   # D_REJECT when front-end MTA
#$final_spam_destiny       = D_BOUNCE;
$final_bad_header_destiny = D_PASS;     # False-positive prone (for spam)
Não comente final_bad_header_destiny (se não os spam não serão entregues)
Se não quiser que seu email postmaster receba um email com todos os emails q ele discartou, comente:
#$virus_admin = "postmaster\@$mydomain"; # due to D_DISCARD default
Habilitar o amavis no postfix
# postconf -e "content_filter = smtp-amavis:[127.0.0.1]:10024"
# vim /etc/postfix/master.cf
Adicionar ao final
smtp-amavis       unix  -       -       -       -       2       smtp
  -o smtp_data_done_timeout=1200
  -o smtp_send_xforward_command=yes
  -o disable_dns_lookups=yes
  -o max_use=20
  -o smtp_generic_maps=

127.0.0.1:10025 inet    n       -       -       -       -       smtpd
  -o mynetworks=127.0.0.0/8
  -o content_filter=
  -o local_recipient_maps=
  -o local_header_rewrite_clients=
  -o relay_recipient_maps=
  -o smtpd_restriction_classes=
  -o smtpd_delay_reject=no
  -o smtpd_client_restrictions=permit_mynetworks,reject
  -o smtpd_helo_restrictions=
  -o smtpd_sender_restrictions=
  -o smtpd_recipient_restrictions=permit_mynetworks,reject
  -o smtpd_data_restrictions=reject_unauth_pipelining
  -o smtpd_end_of_data_restrictions=
  -o smtpd_error_sleep_time=0
  -o smtpd_soft_error_limit=1001
  -o smtpd_hard_error_limit=1000
  -o smtpd_client_connection_count_limit=0
  -o smtpd_client_connection_rate_limit=0
  -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks
  -o strict_rfc821_envelopes=yes

Restarte todos os serviços
# /etc/init.d/clamav-daemon restart
# /etc/init.d/clamav-freshclam restart
# /etc/init.d/spamassassin restart
# /etc/init.d/amavis restart
# /etc/init.d/dovecot restart
# /etc/init.d/postfix restart 
Gostou? Ficou com alguma dúvida?

Deixe seu comentário!
Abraço!
O post Montando um servidor de E-mail Completo com Postfix+Dovecot+PostfixAdmin+SpamAssassin+SPF+RoundCubeMail+IPv4/IPv6 (Desatualizado) apareceu primeiro em Remontti.

Instalação do Zabbix 3.0.x/3.2.x/3.4 no Debian 8 Jessie

Rudimar Remontti — Sat, 10 Sep 2016 22:37:15 +0000

Tutorial mais atualizado em: Instalação do Zabbix 4.0 / 3.4 / 3.0 no Debian 9 Stretch com banco de dados MariaBD

Distribuição utilizada: Debian 8 (Jessie) / Instalação Limpa (Tutorial de instalação aqui)

Vamos a instalação do pacote que irá atualizar nosso repositório com as fontes do Zabbix assim vai ficar fácil atualizar posteriormente.
Versão 3.4.X

# wget http://repo.zabbix.com/zabbix/3.4/debian/pool/main/z/zabbix-release/zabbix-release_3.4-1+jessie_all.deb
# dpkg -i zabbix-release_3.4-1+jessie_all.deb

Versão 3.2.X

# wget http://repo.zabbix.com/zabbix/3.2/debian/pool/main/z/zabbix-release/zabbix-release_3.2-1+jessie_all.deb
# dpkg -i zabbix-release_3.2-1+jessie_all.deb

Versão 3.0.X

# wget http://repo.zabbix.com/zabbix/3.0/debian/pool/main/z/zabbix-release/zabbix-release_3.0-1+jessie_all.deb
# dpkg -i zabbix-release_3.0-1+jessie_all.deb

Atualize o repositório:

# apt update

Instalando os pacotes do Zabbix Server com banco de dados MySQL e interface web Apache.

# apt install zabbix-server-mysql zabbix-frontend-php

Serão instalados diversos pacotes entre eles o apache e mysql-server.

Será solicitado a senha do usuário root do MySQL, após repita.

Vamos intalar nosso agente também.

# apt install zabbix-agent

Vamos criar uma base de dados chamada zabbix e um usuário também chamado de zabbix no MySQL.

# mysql -uroot -p

create database zabbix character set utf8 collate utf8_bin;
grant all privileges on zabbix.* to zabbix@localhost identified by 'SENHA';
quit;

Importe o esquema de tabelas e dados padrões.

# cd /usr/share/doc/zabbix-server-mysql
# zcat create.sql.gz | mysql -u root zabbix -p

Digite a senha de seu usuário zabbix criada no passo anterior para importar as tabelas.

Agora vamos editar o arquivo zabbix_server.conf para informar os dados para conexão com o MySQL.

# vim /etc/zabbix/zabbix_server.conf

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=SENHA

Iniciando o Zabbix Server e o Agente.

# /etc/init.d/zabbix-server start
# /etc/init.d/zabbix-agent start

Editando a configuração do PHP para a interface web do Zabbix

A configuração do Apache para a interface web do Zabbix está localizada em /etc/apache2/conf-enabled/zabbix.conf. Algumas das configurações do PHP já estão definidas, para alterar edite:

# vim /etc/apache2/conf-enabled/zabbix.conf

php_value max_execution_time 300
php_value memory_limit 128M
php_value post_max_size 16M
php_value upload_max_filesize 2M
php_value max_input_time 300
php_value always_populate_raw_post_data -1
php_value date.timezone America/Sao_Paulo

É necessário que se remova o comentário na linha do parâmetro “date.timezone” e que se defina o timezone apropriado (America/Sao_Paulo para a maioria dos estados brasileiros). Após a alteração do arquivo de configuração será necessário o reinicio do processo do servidor web (Apache).

# /etc/init.d/apache2 restart

A interface web do Zabbix estará disponível em http://SEU-IP/zabbix através do seu navegador.
O usuário e senha padrões são: Admin/zabbix

[Next step]

Tudo deve estar ok [Next step]

Informe sua senha de conexão ao MySQL. [Next step]

[Next step]

[Finish]

Usuário: Admin Senha: zabbix

Zabbix instalado!

Gostou? Deixe seu comentário ficarei feliz em saber que lhe ajudei, e se tiver qualquer pergunta deixe-a também, se preferir acesse o menu Contato lá você encontra meios de falar comigo!

Abraço!

O post Instalação do Zabbix 3.0.x/3.2.x/3.4 no Debian 8 Jessie apareceu primeiro em Remontti.

Servidor FTP com usuários no banco de dados MySQL

Rudimar Remontti — Sat, 10 Sep 2016 02:00:38 +0000

Distribuição utilizada: Debian 9 (Stretch ) / Instalação Limpa (Tutorial de instalação aqui)

Requisitos:
Servidor web Apache2, PHP 7.0, MariaDB, PHPMyAdmin “LAMP” no Debian 9 Stretch

# apt install pure-ftpd-mysql

Agora criaremos nosso grupo FTP (grupoftp) e usuário (pureftpd) para que nosso usuários virtuais sejam mapeados.

# groupadd -g 2001 ftpgroup
# useradd -u 2001 -s /bin/false -d /bin/null -c "pureftpd user" -g ftpgroup ftpuser

Próximo passo criar a nossa base de dados, onde ficaram armazenado as informações dos nossos usuários.

# mysql -u root -p

CREATE DATABASE pureftpd;

GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON pureftpd.* TO 'pureftpd'@'localhost' IDENTIFIED BY 'SENHA_FTP_USER';
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON pureftpd.* TO 'pureftpd'@'localhost.localdomain' IDENTIFIED BY 'SENHA_FTP_USER';

FLUSH PRIVILEGES;

USE pureftpd;

CREATE TABLE ftpd (
User varchar(16) NOT NULL default '',
status enum('0','1') NOT NULL default '0',
Password varchar(64) NOT NULL default '',
Uid varchar(11) NOT NULL default '-1',
Gid varchar(11) NOT NULL default '-1',
Dir varchar(128) NOT NULL default '',
ULBandwidth smallint(5) NOT NULL default '0',
DLBandwidth smallint(5) NOT NULL default '0',
comment tinytext NOT NULL,
ipaccess varchar(15) NOT NULL default '*',
QuotaSize smallint(5) NOT NULL default '0',
QuotaFiles int(11) NOT NULL default 0,
PRIMARY KEY (User),
UNIQUE KEY User (User)
);

quit;

Antes vamos criar um backup do /etc/pure-ftpd/db/mysql.conf e montar este arquivo com nossas configuração para fazera conexão ao mysql.

# mv /etc/pure-ftpd/db/mysql.conf /etc/pure-ftpd/db/mysql.conf_orig
# vim /etc/pure-ftpd/db/mysql.conf

Adicione:

MYSQLSocket /var/run/mysqld/mysqld.sock
#MYSQLServer localhost
#MYSQLPort 3306
MYSQLUser pureftpd
MYSQLPassword SENHA_FTP_USER
MYSQLDatabase pureftpd
#MYSQLCrypt md5, cleartext, crypt() or password() - md5 is VERY RECOMMENDABLE uppon cleartext
MYSQLCrypt md5
MYSQLGetPW SELECT Password FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetUID SELECT Uid FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetGID SELECT Gid FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetDir SELECT Dir FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthUL SELECT ULBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthDL SELECT DLBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTASZ SELECT QuotaSize FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTAFS SELECT QuotaFiles FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")

Esteja certo que você mudou o campo MYSQLPassword ‘SENHA_MYSQL_FPTd’

Seguindo com as configurações

# echo yes > /etc/pure-ftpd/conf/ChrootEveryone
# echo yes > /etc/pure-ftpd/conf/CreateHomeDir

ChrootEveryone – Prender por padrão os usuários FTP em seu diretório;
CreateHomeDir – Criar o home do usuário automaticamente;

# /etc/init.d/pure-ftpd-mysql restart

Vamos criar agora um usuário, no exemplo abaixo meu usuário será dono do /var/www/html (diretório padrão do apache/debian 8)

# mysql -u root -p

USE pureftpd;

INSERT INTO `ftpd` (`User`, `status`, `Password`, `Uid`, `Gid`, `Dir`, `ULBandwidth`, `DLBandwidth`, `comment`, `ipaccess`, `QuotaSize`, `QuotaFiles`) VALUES ('usuario', '1', MD5('senha'), '2001', '2001', '/var/www/html', '100', '100', '', '*', '50', '0');
quit;

Sempre que você queira criar um novo usário, você tem que criar uma entrada na tabela ftpd.
Explicando a estrutura da tabela:

Alterando as permissões do /var/www/html isso vai ser relativo ao diretório que você definido ao usuário criado.

# chown ftpuser. -R /var/www/html/

Fontes:

http://download.pureftpd.org/pub/pure-ftpd/doc/README.MySQL

O post Servidor FTP com usuários no banco de dados MySQL apareceu primeiro em Remontti.

FreeBSD v8.0 + Apache + Mysql + PHP “FAMP”

Rudimar Remontti — Mon, 04 Jan 2010 19:23:42 +0000

Primeiramente vamos instalar o mysql, para não ficarmos com dependências… para os amigos de primeira viagem no freebsd usamos os ports para instalação de pacotes, vamos suporte que eu esteja querendo instalar algum pacote e não sei seu diretório, entre em http://www.freshports.org/ e em search faça sua busca, não vou entrar em detalhes. Vamos à instalação:

ATUALIZANDO PORTS

# portsnap fetch
# portsnap extract
# portsnap update

MYSQL

# cd /usr/ports/databases/mysql51-server/
# make install clean

Options for libiconv (padrão)

O processo de compilação pode demorar vários minutos…

Agora vamos ativa-lo, após starta-lo e reiniciar nosso server para verificar se tudo esta ok.

# echo ‘mysql_enable=”YES”‘ >> /etc/rc.conf
# /usr/local/etc/rc.d/mysql-server start
# reboot
Adicionando uma senha a seu usuário root
# mysqladmin -u root password SUA_SENHA
# history -c

APACHE

# cd /usr/ports/www/apache22/
# make config

Quando for solicitado marque apenas as opções a baixo:

Apache2 Options

[X] THREADS               Enable threads support in APR
[X] MYSQL                 Enable MySQL support for apr-dbd
[X] IPV6                  Enable IPv6 support
[X] BDB                   Enable BerkeleyDB dbm
[X] AUTH_BASIC            Enable mod_auth_basic
[X] AUTH_DIGEST           Enable mod_auth_digest
[X] AUTHN_FILE            Enable mod_authn_file
[X] AUTHN_DBD             Enable mod_authn_dbd
[X] AUTHN_DBM             Enable mod_authn_dbm
[X] AUTHN_ANON            Enable mod_authn_anon
[X] AUTHN_DEFAULT         Enable mod_authn_default
[X] AUTHN_ALIAS           Enable mod_authn_alias
[X] AUTHZ_HOST            Enable mod_authz_host
[X] AUTHZ_GROUPFILE       Enable mod_authz_groupfile
[X] AUTHZ_USER            Enable mod_authz_user
[X] AUTHZ_DBM             Enable mod_authz_dbm
[X] AUTHZ_OWNER           Enable mod_authz_owner
[X] AUTHZ_DEFAULT         Enable mod_authz_default
[X] CACHE                 Enable mod_cache
[X] DISK_CACHE            Enable mod_disk_cache
[X] FILE_CACHE            Enable mod_file_cache
[X] DAV                   Enable mod_dav
[X] DAV_FS                Enable mod_dav_fs
[X] ACTIONS               Enable mod_actions
[X] ALIAS                 Enable mod_alias
[X] ASIS                  Enable mod_asis
[X] AUTOINDEX             Enable mod_autoindex
[X] CERN_META             Enable mod_cern_meta
[X] CHARSET_LITE          Enable mod_charset_lite
[Y] DBD                   Enable mod_dbd
[X] DEFLATE               Enable mod_deflate
[X] DIR                   Enable mod_dir
[X] DUMPIO                Enable mod_dumpio
[X] ENV                   Enable mod_env
[X] EXPIRES               Enable mod_expires
[X] HEADERS               Enable mod_headers
[X] IMAGEMAP              Enable mod_imagemap
[X] INCLUDE               Enable mod_include
[X] INFO                  Enable mod_info
[X] LOG_CONFIG            Enable mod_log_config
[X] LOGIO                 Enable mod_logio
[X] MIME                  Enable mod_mime
[X] MIME_MAGIC            Enable mod_mime_magic
[X] NEGOTIATION           Enable mod_negotiation
[X] REWRITE               Enable mod_rewrite
[X] SETENVIF              Enable mod_setenvif
[X] SPELING               Enable mod_speling
[X] STATUS                Enable mod_status
[X] UNIQUE_ID             Enable mod_unique_id
[X] USERDIR               Enable mod_userdir
[X] USERTRACK             Enable mod_usertrack
[X] VHOST_ALIAS           Enable mod_vhost_alias
[X] FILTER                Enable mod_filter
[X] VERSION               Enable mod_version
[X] PROXY                 Enable mod_proxy
[X] SSL                   Enable mod_ssl
[X] SUEXEC                Enable mod_suexec

Options for perl 5.8

[X] PERL_MALLOC    Use Perl malloc
[X] PERL_64BITINT  Use 64 bit integers (on i386)
[X] USE_PERL       Rewrite links in /usr/bin

Options for m4 (não marque nada)
[ ] LIBSIGSEGV  Use libsigsegv for better diagnostics

# make install clean clean-depends

Uma vez que o Apache está instalado corretamente, você deve configurar seu servidor. Primeiro, ativar o suporte a SSL e criar o certificado e arquivos fundamentais.

# echo ‘apache22_enable=”YES”‘ >> /etc/rc.conf

# echo ‘apache22ssl_enable=”YES”‘ >> /etc/rc.conf
# echo ‘accf_http_ready=”YES”‘ >> /etc/rc.conf
# kldload accf_http

# /usr/local/etc/rc.d/apache22 start

# cd /usr/local/etc/apache22/
# openssl genrsa -des3 -out server.key 1024
Generating RSA private key, 1024 bit long modulus
.++++++
……………++++++
e is 65537 (0x10001)
Enter pass phrase for server.key: SUA_SENHA
Verifying – Enter pass phrase for server.key: SUA_SENHA

# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key: SUA_SENHA
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:BR
State or Province Name (full name) [Some-State]:Rio Grande do Sul
Locality Name (eg, city) []:Fred. West.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:remontti
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:
Email Address []:

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=BR/ST=Rio Grande do Sul/L=Fred. West./O=remontti
Getting Private key
Enter pass phrase for server.key: SUA_SENHA

# chmod 0400 server.key server.crt
# cd /usr/local/www/apache22/
# mkdir ssl
# cd /usr/local/etc/apache22/
# vi httpd.conf

Comente as seguintes linhas:
#LoadModule authz_owner_module libexec/apache22/mod_authz_owner.so
#LoadModule file_cache_module libexec/apache22/mod_file_cache.so
#LoadModule cache_module libexec/apache22/mod_cache.so
#LoadModule disk_cache_module libexec/apache22/mod_disk_cache.so
#ScriptAlias /cgi-bin/ “/usr/local/www/apache22/cgi-bin/”

Descomente:
Include etc/apache22/extra/httpd-ssl.conf #(Fazendo isso quando vc reiniciar o serviço ou o Server será solicitado senha)
AddType text/html .shtml
AddOutputFilter INCLUDES .shtml
MIMEMagicFile etc/apache22/magic

Altere:
ServerAdmin seu@email.com
DirectoryIndex index.html index.htm

Adicione:
ServerSignature Off

# vi /usr/local/etc/apache22/extra/httpd-ssl.conf
Se vc desejar trocar o diretório do DocumentRoot para o seu diretório entre outras de acordo com suas necessidades.
DocumentRoot “/usr/local/www/apache22/XXXX”

# /usr/local/etc/rc.d/apache22 restart
Enter pass phrase: SUA_SENHA do ssl

PHP5

# cd /usr/ports/lang/php5
# make config

Options for php5 5.2.12   

[X] CLI        Build CLI version
[X] CGI        Build CGI version
[X] APACHE     Build Apache module
[X] DEBUG      Enable debug
[X] SUHOSIN    Enable Suhosin protection system (not for jails)
[X] MULTIBYTE  Enable zend multibyte support
[X] IPV6       Enable ipv6 support
[X] MAILHEAD   Enable mail header patch
[X] REDIRECT   Enable force-cgi-redirect support (CGI only)
[X] DISCARD    Enable discard-path support (CGI only)
[X] FASTCGI    Enable fastcgi support (CGI only)
[X] PATHINFO   Enable path-info-check support (CGI only)

# make install clean
# cp /usr/local/etc/php.ini-recommended /usr/local/etc/php.ini
# echo ‘#CONFIGURACAO PHP5’ >> /usr/local/etc/apache22/httpd.conf
# echo ‘AddType application/x-httpd-php .php’ >> /usr/local/etc/apache22/httpd.conf
# echo ‘AddType application/x-httpd-php-source .phps’ >> /usr/local/etc/apache22/httpd.conf
# vi /usr/local/etc/apache22/httpd.conf

Adicione ao DirectoryIndex deixando assim:
DirectoryIndex index.html index.htm index.php

# vi /usr/local/etc/php.ini
Altere: short_open_tag = On

PHP5-Extensions

# cd /usr/ports/lang/php5-extensions
# make install clean

PHP5-Extensions Options
[X] BZ2         bzip2 library support
[X] CTYPE       ctype functions
[X] CURL        CURL support
[X] DBA         dba support
[X] DOM         DOM support
[X] FILEINFO    fileinfo support
[X] FILTER      input filter support
[X] FTP         FTP support
[X] GD          GD library support
[X] HASH        HASH Message Digest Framework
[X] ICONV       iconv support
[X] IMAP        IMAP support
[X] JSON        JavaScript Object Serialization support
[X] MCRYPT      Encryption support
[X] MHASH       Crypto-hashing support
[X] MYSQL       MySQL database support
[X] PDO         PHP Data Objects Interface (PDO)
[X] PDO_SQLITE  PDO sqlite driver
[X] POSIX       POSIX-like functions
[X] SESSION     session support
[X] SHMOP       shmop support
[X] SIMPLEXML   simplexml support
[X] SOAP        SOAP support
[X] SOCKETS     sockets support
[X] SPL         Standard PHP Library
[X] SQLITE      sqlite support
[X] TOKENIZER   tokenizer support
[X] XML         XML support
[X] XMLREADER   XMLReader support
[X] XMLRPC      XMLRPC-EPI support
[X] XMLWRITER   XMLWriter support
[X] ZIP         ZIP support

Deixe marcado o que esta por padrão para todas as próximas opções

# /usr/local/etc/rc.d/apache22 restart

PhpMyAdmin

# cd /usr/ports/databases/phpmyadmin211/

# make install clean

Options for phpMyAdmin211 2.11.9.6

[ ] SUPHP     suPHP support
[X] BZ2       bzip2 library support
[X] GDGD 	  library support
[X] OPENSSL   OpenSSL support
[X] PDF       PDFlib support (implies GD)
[X] ZLIB      ZLIB support
[X] MCRYPT    MCrypt library support
[X] MBSTRING  Multi-byte character-set string support

# cp /usr/local/www/phpMyAdmin211/libraries/config.default.php /usr/local/www/phpMyAdmin211/config.inc.php

# vim /usr/local/www/phpMyAdmin211/config.inc.php
Altere: $cfg[‘Servers’][$i][‘auth_type’] = ‘config’;
para: $cfg[‘Servers’][$i][‘auth_type’] = ‘http‘;

Adicione no httpd.conf
# /usr/local/etc/apache22/httpd.conf

Alias /phpmyadmin "/usr/local/www/phpMyAdmin211/"


    Options none
    AllowOverride Limit

    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1 ip_da_sua_rede

Isso ai galera, abraço!

O post FreeBSD v8.0 + Apache + Mysql + PHP “FAMP” apareceu primeiro em Remontti.