Spawnzao

Linux

Instalando o Snort (NIDS) no CentOS 7

by on Aug.09, 2014, under Linux, snort, Software Livre

Hoje nenhum administrador de redes pode abrir mão da segurança da rede que administra, pensando nisso fiz esse tutorial explicando passo a passo a instalação e configuração do Snort um NIDS (network intrusion detection system) e em NIPS (network intrusion prevention system).

No nosso tutorial vamos supor o seguinte cenário:

snort_mirror

Na imagem acima, vemos que é feito um mirror (espelho) de 3 portas importantes, 1 do firewall (interface interna) e 2 do cluster do XenServer (interface interna), no qual reside todos os servidores virtuais, consequentemente todo tráfego é direcionado para a segunda interface de rede do nosso servidor, no qual eth0 é a interface conectada a rede local e a eth1 é a interface que vai receber o tráfego a ser analisado. A interface eth1, que vai receber o tráfego a ser analisado, não terá configuração ip, a fim de evitar a mistura de tráfegos.
(continue reading…)

4 Comments :, , , , , , , , , , , more...

Recuperar arquivos deletados com o extundelete

by on Aug.05, 2011, under Linux, Software Livre

Recentemente tive problema com meu banco de dados mysql, por um problema do kernel do linux que estava salvando os arquivos temporários do mysql no “/” e não no “/var”, que é uma partição separada com espaço de sobra. Resumindo o problema, o “/” do servidor encheu e corrompeu as tabelas do mysql.

Para recuperar eu normalmente eu executaria o comando:


mysqlcheck -r -u root -psenha --all-databases
mysqlcheck -o -u root -psenha --all-databases

Mas dessa vez foi diferente, o mysql não satisfeito por ter corrompido as tabelas, ele apagou os arquivos MYD e MYI. Ai qualquer arquivo que eu tentava reparar ele me dava a seguinte mensagem:

Error : Incorrect information in file: ‘./database/usuarios.frm’
error : Corrupt

Bom, não consegui em nenhum site na internet a solução para meu problema. E acabei mais tarde descobrindo o sumiço dos arquivos MYD e MYI.

A minha primeira atitude foi desmontar a partição, para preservar os arquivos deletados.
(continue reading…)

1 Comment :, , , , , more...

Falha de Segurança PhpMyAdmin – Análise

by on Jan.14, 2011, under Linux, PHP, Software Livre

Essa é uma simples análise de um problema no servidor de um cliente, abaixo seguem os passos que eu segui para descobrir o que estava acontecendo.

O primeiro passo foi abrir o Cacti e visualizar o estado do servidor, e ai a primeira surpresa: os 2 processadores estavam com 100% de processamento. Obviamente algo anormal estava acontecendo.

O segundo passo foi acessar o servidor e descobrir qual o processo estava consumindo o processamento da máquina. Para isso utilizei o comando:

top

E para minha surpresa um processo chamado ./s rodando com o usuário apache estava consumindo todo o processamento do servidor, por ai já dava pra perceber que o servidor estava de alguma forma vulnerável.

(continue reading…)

1 Comment :, , , , , , , , , , , , , more...

Proxy Reverso com Pound

by on Jan.07, 2011, under Linux, Software Livre

Quem administra servidores web tem uma grande preocupação com segurança, mas quando falo em segurança não digo somente a preocupação com os temidos “crackers” e os “script kiddies”, e sim em manter seu servidor web o máximo possível disponível, organizado e estruturado. E é ai que entra o Pound.

O Pound é nada mais que um proxy reverso e balanceador de carga, além disso ele filtra requisições incorretas, suporta hosts-virtuais, fail-over e é um frontend HTTPS. As requisições HTTPS são decodificadas e passadas para o backend em forma de HTTP. Se mais de um servidor backend está definido (cluster de servidor web), ele escolhe um deles aleatoriamente, baseado nas prioridades definidas. Por default, o Pound mantém registro de associação entre clientes e servidores backend (sessions).

Essa imagem ilustra o funcionamento do Pound:

(continue reading…)

1 Comment :, , , , , , , , , , more...

Parando o flood de log do net-snmp

by on Sep.22, 2010, under Linux, Software Livre

Quem possui monitoramento snmp em seu servidor linux, sabe como é chato o flood de log que o snmpd faz no /var/log/messages.


Sep 22 14:50:58 servidor snmpd[831]: Connection from UDP: [192.168.1.1]:58245
Sep 22 14:50:58 servidor snmpd[831]: Received SNMP packet(s) from UDP: [192.168.1.1]:58245
Sep 22 14:50:58 servidor snmpd[831]: Connection from UDP: [192.168.1.1]:59601
Sep 22 14:50:58 servidor snmpd[831]: Received SNMP packet(s) from UDP: [192.168.1.1]:59601

Agora imagine issu se repetir 12 vezes a cada minuto, o messages acaba perdendo a sua utilidade. Passa a ser log de lixo do snmpd.

Bom, como em meus servidores eu controlo o acesso a porta 161 (padrão do snmp) via firewall, isto é, só permito que o meu servidor do cacti possa realizar uma requisição na porta 161 de meus servidores, eu desabilitei o log do snmpd.

(continue reading…)

Leave a Comment :, , , , , , , , , , more...

DNS Cache com BIND e integração com Active Directory

by on Jun.23, 2010, under Linux, Software Livre

Ontem um aluno me questionou sobre a possibilidade de configurar um Bind, servindo como cache de dns externo e, além disso, responder pelo domínio interno da empresa, que está configurado no DNS do Windows 2003.

O DNS tem diversas funcionalidades, e uma muito importante é a de realizar “cache” das consultas, isto é, quando você realiza a consulta, o DNS salva essa consulta e se houver uma nova consulta a esse mesmo domínio, não é necessário consultar na internet novamente, pois você já tem o “cache” dessa consulta, para que as consultas de DNS sejam mais rápidas e economizem tráfego de internet, mas lembre-se que essas consultas não ficam salvas pra sempre não, elas possuem TTL (time-to-live) e consequentemente expiram, mas isso é assunto para outro post.

A Infraestutura de Rede

Para aprofundar um pouco mais no tema, vamos imaginar que a empresa possua um Servidor de Domínio (Active Directory), que possui um DHCP e DNS integrados, isto é, com o DHCP adicionando novos registros no DNS para cada máquina que pega um novo ip. A configuração é simples, mas tem muito MCP que nem sabe que existe essa configuração, e para ilustrar vamos observar a imagem abaixo:

Agora o DNS do Windows 2003 passará a ter o registro de todas as máquinas que utilizem o serviço de DHCP do Windows 2003.

(continue reading…)

Leave a Comment :, , , , , , , , more...

Licença

Creative Commons License

Techs

 Blog Tool, Publishing Platform, and CMS
Powered by PHP
Powered by MySQL
Mozilla Foundation
hacker emblem
Mozilla Foundation
Open Source Initiative
Creative Commons