Como matar conexões que aparecem no netstat

O netstat é um comando utilizado para obter informações sobre conexões (tanto de entrada quanto de saída) de rede da máquina onde é executado. Mas, como matar uma conexão ativa que você encontrou na saída do netstat? Usando o tcpkill! :)

O tcpkill é um software que facilita o processo de finalizar uma conexão TCP de um host, rede ou porta (ou qualquer combinação destas três características) em progresso através do gateway da sua rede. Ele é instalado através do pacote dsniff da sua distribuição e utiliza o tcpdump para trabalhar.

A sintaxe do comando é a seguinte:

# tcpkill -i interface-a-monitorar -[1-9] ‘expressão que identifica a conexão’

Onde:

  • interface-a-monitorar pode ser eth0, eth1, etc.;
  • -[1-9] indica a velocidade e quantidade de pacotes RST que serão utilizados para matar a conexão;
  • ‘expressão que identifica a conexão’ pode ser o nome do host, porta, etc.

Por exemplo:

# tcpkill -i eth0 -9 ‘www.google.com’

Assim, o tcpkill irá iniciar sua execução e só vai parar quando você matar o processo dele. Portanto, enquanto o tcpkill estiver sendo executado não será possível acessar o Google. Você pode substituir o nome www.google.com.br por um IP também.

Você também pode especificar mais de um host na mesma linha assim:

# tcpkill -i eth0 -9 ‘host www.google.com and host www.microsoft.com’

Para matar uma conexão em uma porta específica:

# tcpkill -9 ‘port 1234′

Espero que seja útil! Qualquer dúvida, deixe um comentário!

Como utilizar o RPMForge no CentOS

Há alguns meses, venho utilizando a distribuição CentOS. Gosto muito dela, porém acho a quantidade de softwares disponíveis nos repositórios do YUM desta distribuição um tanto quanto limitados. Por exemplo, algumas bibliotecas necessárias para a utilização de softwares não existem (às vezes quando existem, são versões mais antigas).

Para resolver o problema, eu utilizo o RPMForge.

Este é um conjunto de repositórios de pacotes RPM com uma vasta gama de softwares disponíveis para download. Juntando a variedade de softwares com a resolução de dependências, o YUM fica bem próximo do que é o APT-GET para o Debian e seus derivados.

Para passar a utilizar os repositórios do RPMForge, siga estes passos:

  • Acesse o site do RPMForge citado acima
  • Clique em “Using RPMforge”
  • Selecione a distribuição. O RPMforge suporta CentOS (2, 3, 4 e 5); RHEL (2.1, 3, 4, 5) e Red Hat (9, 7.3 - alguém ainda usa isso?!).
  • Como vou instalar no CentOS 5, eu vou fazer o seguinte (diretamente no servidor no qual vou utilizar o RPMForge):
    • # wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpm
  • Agora, instale o pacote RPM:
    • # rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm

Pronto! RPMForge instalado e pronto para usar. Quando você for instalar algum software, o YUM irá sincronizar todos os pacotes do novo repositório e mostrar as novas opções para instalação.

Qualquer dúvida, deixe um comentário!

O link na empresa em que trabalho é um pouco limitado e sempre algum usuário acaba abusando um pouco e acaba deixando o acesso mais lento para todos os outros.

Sempre tive dificuldades em conseguir rastrear quem está abusando do link (com o iptraf é possível, mas é um pouco complicado e não é muito exato). Buscando no Google, encontrei o SQStat (http://samm.kiev.ua/sqstat/).

Este script mostra em uma página PHP todos os acessos que estão acontecendo em tempo real e também permite que você configure um tempo para atualização automática da página.

A instalação dele é absurdamente simples:

  • Primeiro, faça o download da versão mais recente no site. Quando escrevi essa dica, o link é http://samm.kiev.ua/sqstat/sqstat-1.20.tar.gz
  • Coloque este arquivo no root do servidor web da máquina com o proxy e extraia o arquivo:
    # tar xzvf sqstat-1.20.tar.gz
  • Mude o nome do diretório para sqstat (apenas para facilitar o acesso no navegador, isto é opcional);
  • Renomeie o arquivo config.inc.php.defaults para config.inc.php;
  • Edite o arquivo config.inc.php:
    • em “$squidhost[0]=” coloque 127.0.0.1 (se o host que você for monitorar for o host onde você instalou o SQStat);
    • em “$squidport[0]=” coloque a porta onde o Squid está escutando no host;
    • em “$resolveip[0]=” coloque true para que o SQStat resolva os nomes dos hosts;
    • em “$group_by[0]=” você pode colocar “host” se você não utilizar autenticação no Squid, o que irá mostrar os IP’s dos clientes; você também pode colocar “username” se utilizar autenticação, assim todas as conexões mostradas na página serão agrupadas por nome de usuário ao invés de host.
  • Agora, é necessário configurar o Squid para que o SQStat consiga analisar os dados. Faça o seguinte no seu Squid.conf:acl manager proto cache_object
    acl webserver src 10.0.0.1/255.255.255.255
    http_access allow manager webserver
    http_access deny managerNa linha “acl webserver … ” substitua “10.0.0.1″ pelo IP do servidor web que irá exibir a página do SQStat.
  • Reinicie o Squid

Pronto! O SQStat já está instalado e configurado. Para acessá-lo abra seu navegador e digite http://ip-do-servidor-web/sqstat/sqstat.php.

Você também pode monitorar mais de um proxy utilizando o mesmo servidor web. Copie o bloco de configuração do host que configuramos acima e substitua os “[0]” por “[1]” para outro host. Para um terceiro, você deveria colocar “[2]” e assim por diante.

OpenVAS: Scanner de vulnerabilidades

Introdução

Manter seus servidores seguros atualmente não é uma tarefa nem um pouco fácil. Centenas de vulnerabilidades são descobertas todos os dias e nem sempre é possível verificar todas. Como você pode fazer para verificar todas as vulnerabilidades ou erros de configuração (que afetem a segurança) dos seus softwares de um jeito fácil?

Nesta situação o OpenVAS se encaixa como uma luva.

O que é o OpenVAS?

O OpenVAS (Open Vulnerability Assessment System) é um scanner de vulnerabilidades: ele possui um conjunto de scripts que são capazes de testar várias vulnerabilidades de forma automatizada e simples.

Centenas de vulnerabilidades são testadas e, ao final do processo, um relatório é gerado contendo informações que você pode utilizar para corrigir o problema e também indicando links com informações mais completas sobre as falhas encontradas no sistema.

Embora seja um sistema extremamente completo, o OpenVAS é bem simples de instalar e utilizar. Neste artigo te ensinarei a instalar o servidor e o cliente. Em um próximo texto, irei ensinar a você como realizar seu primeiro scan em servidores. Ler o resto do post »

Adicionando data e hora ao histórico do Bash

Muitas vezes, mais de um administrador é responsável por um determinado servidor. Quando acontece algum problema, é útil saber a que horas ou a que dia determinado comando foi executado.

Nesse ponto o histórico do Bash não ajuda muito pois ele só guarda os comandos, nada mais. Porém, para deixar o histórico mais útil vou mostrar aqui como adicionar data e hora de quando os comandos foram executados.

O processo é bem simples, basta exportar uma variável, assim:

# export HISTTIMEFORMAT=”%h/%d - %H:%M:%S “

Utilizando o formato acima, o seu histórico ficará assim:

104 May/7 - 10:32:50 rm -rf /diretório-importante

Para que isso seja feito sempre que o servidor for reiniciado, adicione no /etc/bashrc (no final do arquivo).

Assim fica fácil ver quem estava de plantão nesse horário e que foi o culpado por remover o único diretório que não deveria ter removido =) Lembrando que você precisa ter o Bash 3.0 ou mais novo para poder utilizar esta funcionalidade.

Conhece outra maneira de fazer isso? Poste nos comentários!

iredmaillogo

Introdução

O e-mail é a forma de comunicação mais utilizada hoje em dia. Se o servidor de e-mails de uma empresa parar, é como se o mundo acabasse para os usuários! O telefone não vai parar de tocar, e-mails importantes não serão entregues/recebidos podendo gerar grandes prejuízos financeiros para empresas.

Imaginando um cenário desses, você com certeza não escolheria qualquer solução para implantar na sua empresa, certo? Atualmente, um dos melhores, mais seguros e mais estáveis softwares MTA (Mail Transport Agent) disponíveis é o Postfix.

Embora ele seja simples para quem já possui experiência na administração de servidores Linux, ele pode ser um pouquinho complicado para quem está apenas começando na administração de sistemas.

Por isso, neste artigo vou mostrar uma solução para facilitar a configuração do Postfix: o iRedMail. Este é um software que automatiza todo o processo de instalação e configuração de um servidor de e-mails utilizando as distribuições CentOS e Red Hat. Ele permite que você escolha o backend de gerenciamento de usuários (MySQL ou OpenLDAP), qual o webmail que você quer utilizar, gerenciador MySQL ou OpenLDAP, entre várias outras opções.

Aqui, vou assumir que você já possui um servidor CentOS configurado e funcional com acesso à Internet. Ler o resto do post »

OpenVPN se comportando como PPTP

Cenário e opções

Recentemente minha empresa requisitou que o departamento de TI liberasse o acesso via VPN à todos os vendedores externos como uma medida para tentar aumentar a quantidade de vendas e a qualidade do atendimento aos clientes.

A primeira coisa que passou pela mente de todos no time foi segurança. Todos sabem que este tipo de software, se não implementado corretamente, é uma grande brecha de segurança. Uma das primeiras alternativas que analisamos foi o PPTP. Ler o resto do post »

Auditando senhas com o John The Ripper

Senhas são o ponto mais fraco de qualquer sistema de segurança, pois geralmente são definidas por pessoas que não são devidamente instruídas e não imaginam que senhas fracas podem ser quebradas em, dependendo de quão fraca, menos de 10 minutos.

Por isso deve-se definir regras básicas sempre que se trabalha com senhas:

  • Definir um tamanho mínimo de senhas de 8 ou 10 caracteres;
  • Utilizar letras maiúsculas e minúsculas;
  • Utilizar caracteres especiais como * / = ! @, etc;
  • Utilizar números;
  • Fazer com que estas senhas sejam trocadas em intervalos de tempo curtos (o intervalo é definido por você, mas a cada 20 dias é uma boa média para senhas fortes);
  • Definir a quantidade de senhas já utilizadas que não poderão ser reaproveitadas. Por exemplo, o usuário não poderá trocar a senha atual por uma que ele já tenha utilizado há 5 trocas atrás;
  • Educar os usuários para que eles não contem as senhas para ninguém;
  • Educar os usuários para que não anotem as senhas em lugar nenhum.

Tomando estas providências extremamente simples pode-se impedir que algum atacante consiga quebrar a senha utilizando força bruta (com programas como Hydra ou o John The Ripper, o qual será abordado mais adiante) ou engenharia social. Mesmo que a senha consiga ser quebrada, é provável que esta já não seja mais válida, pois de acordo com sua política o usuário já a trocou, ou seja, o atacante precisará iniciar todo o processo novamente.

Quando o atacante tem acesso diretamente ao arquivo que contém as senhas (como o arquivo shadow do Linux, onde ficam as senhas de todos os usuários do sistema) ele pode utilizar um software que consiga quebrar a criptografia e descobrir a senha. Um destes softwares e talvez o mais popular é o John The Ripper. Ler o resto do post »

Atualizando o PORTS do FreeBSD

Atualizar o ports do FreeBSD é uma tarefa muito importante que deve ser executada de tempos em tempos pelos administradores do sistema. O portupgrade foi desenvolvido para facilitar ao máximo o upgrade deste fantástico sistema de instalação utilizado no FreeBSD.

Ele está disponível no diretório /usr/ports/sysutils/portupgrade. Vamos instalá-lo:

# cd /usr/ports/sysutils/portupgrade
# make install clean

Depois você deve checar a sua árvore ports por inconsistências ou você terá alguns problemas bem estranhos depois do upgrade. É recomendado que você sempre faça isso ANTES de qualquer upgrade do ports.

Para realizar a checagem:

# pkgdb -F

Conserte TODAS as inconsistências que ele reportar e só depois disso continue com a operação.

Com tudo corrigido, execute o portupgrade:

# portupgrade -ai

O portupgrade vai começar a atualizar todos os ports desatualizados (-a) e, se você gosta, como eu, que o sistema confirme todas as alterações com você antes de fazê-las, utilize a opção -i.

Porém você não precisa atualizar toda a sua árvore do ports se apenas quer que uma aplicação específica seja atualizada. Para conseguir isso, especifique o nome do pacote na frente do comando portupgrade:

# portupgrade -R postfix

Assim, só o Postfix vai ser atualizado. Com a opção -R, todas as dependências do Postfix também serão atualizadas.

SSH Port Forwarding

Muita gente usa o SSH para conseguir acesso a shells em hosts remotos de forma segura para administrar um servidor. Porém, o que muita gente não sabe é que utilizando o SSH você consegue fazer uma VPN e acessar recursos internos de uma rede remota de forma rápida e fácil.

Para fazer isso você vai precisar do servidor SSH rodando no gateway da sua rede remota (garanta que você consegue acessá-lo via SSH externamente) e de um cliente SSH. O comando é o seguinte:

$ ssh -C -L 65535:192.168.0.1:80 root@gateway.da.rede.remota.com.br

Explicando o comando acima:

  • -C : Informa ao SSH para comprimir dados antes de enviá-los pelo túnel;
  • -L 65535:192.168.0.1:80 : Instrui o SSH a enviar todos os dados direcionados à porta 65535 da máquina local para o host 192.168.0.1 na porta 80 na rede remota;
  • root@firewall.da.rede.remota.com.br : Conecta no gateway da rede remota como root;
  • Em qualquer parte do comando, você pode utilizar endereços IP ou nomes de domínio, não importa.

Depois de digitar este comando, será pedida a senha do firewall da rede remota para que você possa estabelecer uma sessão SSH. Quando você digitar a senha, será aberta uma sessão SSH normal. Não encerre esta sessão.

Pronto! O túnel está fechado entre as duas pontas. Agora, toda vez que você quiser acessar o recurso da máquina 192.168.0.1 na rede remota basta enviar os dados pela porta local 65535. Por exemplo, se você quer acessar a página que está hospedada no 192.168.0.1, insira o seguinte endereço no seu navegador:

http://localhost:65535

E você acessará o recurso que utiliza a porta 80 da máquina remota. Lembre-se que, se você quiser acessar os recursos de outra máquina você precisará estabelecer outra sessão SSH com o gateway da rede remota indicando outra porta local e o endereço da máquina que está na rede remota (você pode fechar vários túneis para o mesmo IP sem problemas).

Por exemplo, se eu quisesse acessar o console de administração do VMWare, que está localizado na rede da minha empresa, poderia executar o comando:

$ ssh -C -L 65534:192.168.0.2:8222 root@gateway.da.rede.remota.com.br

E quando eu quisesse acessar o console, digitaria no navegador:

http://localhost:65534

Veja como mudei a porta local: dois recursos não podem utilizar a mesma porta, por isso sempre lembre-se de modificá-las a cada túnel que for estabelecer.

LinkedIn

    Me adicione no LinkedIn!

    Publicando meu perfil no LinkedIn aqui no blog, tenho como objetivo expandir minha rede de contatos profissionais. Me adicione no LinkedIn!


Translate!


Ajude a manter o site!

Encontrou algum texto aqui no site que te ajudou a resolver algum problema que estava tendo? Por favor, considere fazer uma doação! Ela irá me ajudar a manter o site no ar e publicando textos que poderão ajudar você novamente no futuro com outros problemas.


Categorias

Calendário

July 2009
M T W T F S S
« Jun    
 12345
6789101112
13141516171819
20212223242526
2728293031