set 12

Pacote LPIC1+LPIC2 por apenas R$100,00 (Até 16/09)

banner_chega_lpic12

É isso mesmo, pessoal!

Até 16/09, pacote de treinamentos preparatórios para LPIC1 e LPIC2 sai a R$100,00.

Todo o treinamento é on line e o aluno conta com os seguintes recursos:

  • Portal do aluno, onde ele assiste às aulas;
  • FTP para baixar os vídeos das aulas, assim como os arquivos utilizados nelas;
  • Simulados;
  • Apostilas e e-books em PDF.

O acesso do aluno não expira.

O pagamento pode ser feito via cartão de crédito, saldo do PayPal ou depósito bancário à vista.

Quem quiser adquirir é só acessar este link e seguir as instruções de compra.

Para maiores dúvidas, envie um e-mail para contato@brunoodon.com.br .

ago 25

Hardening GNU/Linux – parte 2 – Kernel

linux_hardening

Dando continuidade á nossa série de posts sobre Hardening no Linux, aí vai um post do amigo Adônis Tarcio Moreira sobre Hardening de Kernel.

E ai galera, blz? Faz um tempo desde o meu ultimo post mas vim aqui dar uma dica sobre Hardening de Kernel.

O arquivo /etc/sysctl.conf ajusta os parâmetros definidos para os processos do Kernel Linux, montados no pseudo-filesystem /proc. Sendo assim, uma vez alterado este arquivo, o ideal é que se remonte o Kernel para que as alterações tenham efeito, ou seja: dê um reboot no servidor.

Essa dica foi testada em servidores: Debian, Ubuntu, CentOS e RedHat.  Alguns dos parâmetros já estão no arquivo e alguns você deve adicionar manualmente.

# Protecao contra ataques ICMP
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Protecao contra mensagens de erro de ICMP
# As vezes roteadores enviam respostas invalidas de broadcast ICMP. Esse comando evita fazer log de mensagens de warning desnecessarias do kernel
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Habilitar syncookies para protecao de ataques SYN Flood
net.ipv4.tcp_syncookies = 1

# Manter log de pacotes suspeitos como spoofed, source-routed, e redirect
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

# Dropar pacotes com opcoes de Strict Source Route (SSR) ou Loose Source Routing (LSR)
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Habilitar verificacao de origem de pacotes por ‘reversed path’. Opcao recomendada por RFC1812
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Garantir que ninguem consegue alterar as tabelas de rotas. #Protecao contra spoof de rede.
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

# Modo ‘host only’. Desabilita redirecionamento de pacotes.
#ATENCAO: Nao habilitar essa opcao se o seu Servidor funciona como router
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Habilitar protecao execshild contra worms, ataques automatizados e outros
kernel.exec-shield = 1
kernel.randomize_va_space = 1

# Melhoria para IPv6
net.ipv6.conf.default.router_solicitations = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_defrtr = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.dad_transmits = 0
net.ipv6.conf.default.max_addresses = 1

# Aumentar o limite de arquivos abertos
fs.file-max = 65535

# Aumentar o numero de PIDs
kernel.pid_max = 65536

# Aumentar o numero maximo de portas para conexoes IP para TCP e UDP
# Opcao importante para quem tem um servidor para banco de dados Oracle
net.ipv4.ip_local_port_range = 2000 65000

# Aumentar o buffer maximo TCP
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608

# Aumentar o auto tuning de buffer TCP
# min, default, e max em bytes
# Definir maximo para pelo menos 4MB
# Opcao essencial se voce tiver conexao de alta velocidade
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000
net.ipv4.tcp_window_scaling = 1

É isso ai pessoal! Espero que essa dica ajude a melhorar o desempenho e protecão do seu servidores.
Recomendo dar uma estudada com atencão nos parâmetros, já que sao muitos e é dificil entrar em detalhes sobre eles.

A documentacão da RedHat é muito boa e explica bem cada um deles.

Abraços e ate o próximo post!!

ago 21

Prorrogado até 26/08 – LPIC1+LPIC2+LPIC3-300 a R$150,00

Banner_chega_IMPERDIVEL

Prorrogada até  26/08 a promoção do nosso pacote de treinamentos preparatórios on line para LPIC1, LPIC2 e LPIC3-300 por apenas R$150,00 . É a grande oportunidade de dar esse grande passo em sua carreira profissional.

O aluno pode fazer o pagamento via depósito bancário, via crédito no PayPal ou via cartão de crédito em até 12x.

Estes treinamentos já estão atualizados com as novas modificações das últimas versões dos exames LPI.

Os exames cobertos por este pacote são: 101, 102, 201, 202 e 300. Além disso, o treinamento também cobre os exames 103 e 104, da certificação CompTIA Linux+.

Aqui o aluno recebe TODO O CONTEÚDO no ato da contratação do curso.

Os recursos do treinamentos são:

  • Vídeo aulas em alta definição e 100% práticas (nossa filosofia é ‘hands on total’;
  • Área de FTP para o aluno baixar os vídeos e os arquivos de laboratório;
  • Apostilas em PDF;
  • Voucher de 15% de desconto nos exames CompTIA Linux+, em parceria com a Matza Education;
  • Acesso que não expira;
  • Treinamentos atualizados com as últimas versões dos exames da LPI.

Para adquirir este pacote ou outro treinamento, basta seguir as instruções deste link.

Vejo vocês por lá!

Grande abraço!

ago 16

Hardening GNU/Linux – parte 1

hardening

Este post é o primeiro de uma série dedicada à ‘blindagem’ do Sistema Operacional após a sua instalação (Hardening). O termo vem do inglês ‘endurecimento’ e é bem isso mesmo.

Um bom Hardening geralmente vem embasado na ISO 27002 , quando ela fala em Segurança da Informação e Controle de Acesso.

Então, o objetivo dessa série de posts é ajudar o leitor a montar uma boa estratégia de Hardening em servidores GNU/Linux.

Conceitos importantes

Minimalismo

É importante fazer uma instalação sempre mínima do sistema operacional, no modo mais cru possível. Sem interface gráfica (apenas em caso de extrema necessidade), evitando as aplicações ‘default’ que possam comprometer os passos seguintes.

Defesa em camadas

Não é prudente confiar apenas no firewall como única camada de segurança de um sistema. O ideal é sempre ter uma sequência de ‘portas’ a serem ultrapassadas até que se consiga causar algum dano.

Um grande exemplo é a prevenção de acessos indesejados na porta padrão do SSH, porta 22. Neste caso o administrador poderia implementar os controles via IPTABLES, TCPWRAPPERS, PAM e também pelo SSHD (daemon do SSH). Perceberam? QUATRO camadas de segurança até que um atacante consiga acessar remotamente o ser servidor. Nesta série, inclusive haverá um post dedicado á segurança no SSH.

Vigilância

Saber quais são as suas vulnerabilidades e mantê-las sempre muito bem vigiadas é de suma importância para uma boa estratégia de Hardening. A observação de logs pode não ser suficiente para que o administrador tenha a real noção do perigo que o cerca, isso porque o LOG se baseia em eventos e, se um ataque ainda não ocorreu, como prevení-lo? Pois algumas ferramentas de scan de vulnerabilidades estão aí disponíveis. Destaco aqui a ferramenta Lynis, que será vista mais à frente também. Ela executa testes de segurança no sistema e o próprio administrador pode definir o nível de segurança a ser considerado nesses testes.

Abaixo segue a interface do Lynis:

Seleção_146

Boas práticas

Há quem diga que é só para encher a paciência do administrador…..até sobre um DOS (Denial Of Service) 🙁

As boas práticas de pós-instalação exisgem algumas providências, como:

  • Particionamento – nada de todos os diretórios de sistema na mesma partição! Principalmente em relação ao diretório /tmp. Essa já é uma prática comum entre administradores certificados LPC1, até porque cai na prova 101;
  • Restrições na montagem de volumes – no diretório de perfil do usuário existe a necessidade de permissão de execução de aplicações? Existe a necessidade de se criarem dispositivos de armazenamento neste diretório? Também vamos ver mais á frente estratégias seguras de montagem de volumes no /etc/fstab .
  • Boot Loader – senha, por favor (para começar)! Prevenção contra aquele recurso maroto de pular o processo INIT editando o GRUB 😉 ;
  • Acesso aos terminais – por padrão o sistema GNU/Linux deixa 63 terminais TTY à disposição. Precisa mesmo disso tudo ao mesmo tempo?
  • Perfis de usuário – existe uma lenda que diz que usuário com UID tem ‘perfil de root’. Não!!!!!!!!!!!!! Usuário com UID 0 É ROOT. Perfil administrativo se concede com uma boa política de permissão de comandos administrativos a determinados usuários e grupos, assim como a permissão de acesso a diretórios e arquivos também seve ser concedida via ACLs ou sólidas polícias de permissionamento;
  • Autenticação – o PAM é seu amigo eterno!! Use-o para habilitar módulos de segurança de acesso e controle de processos;
  • Kernel – essa com certeza é a proteção mais profunda dentro de um sistema operacional Linux. Estando bem compilado e instalado, você pode controlar as opções de Kernel através do sysctl.

Um grande abraço e vejo vocês no próximo post!

ago 15

[Promoção] Até 19/08 – Pacote LPIC1,2 e 3-300 por R$150,00

Banner_chega_150

Baixamos até  19/08 o preço do nosso pacote de treinamentos preparatórios on line para LPIC1, LPIC2 e LPIC3-300 a R$150,00 . É a grande oportunidade de dar esse grande passo em sua carreira profissional.

O aluno pode fazer o pagamento via depósito bancário, via crédito no PayPal ou via cartão de crédito em até 12x.

Estes treinamentos já estão atualizados com as novas modificações das últimas versões dos exames LPI.

Os exames cobertos por este pacote são: 101, 102, 201, 202 e 300. Além disso, o treinamento também cobre os exames 103 e 104, da certificação CompTIA Linux+.

Aqui o aluno recebe TODO O CONTEÚDO no ato da contratação do curso.

Os recursos do treinamentos são:

  • Vídeo aulas em alta definição e 100% práticas (nossa filosofia é ‘hands on total’;
  • Área de FTP para o aluno baixar os vídeos e os arquivos de laboratório;
  • Apostilas em PDF;
  • Voucher de 15% de desconto nos exames CompTIA Linux+, em parceria com a Matza Education;
  • Acesso que não expira;
  • Treinamentos atualizados com as últimas versões dos exames da LPI.

Para adquirir este pacote ou outro treinamento, basta seguir as instruções deste link.

Vejo vocês por lá!

Grande abraço!

ago 09

Lançamento do E-Book – HowTo Online

criar-um-e-book

Nesta segunda-feira, 08/08/16, lançamos o nosso E-book , chamado Guia do Sysadmin GNU/Linux .

O livro conta com uma abordagem prática e dinâmica para quem está estudando a fundo sistemas GNU/Linux e também se preparando para os exames da LPI.

Por enquanto, o livro está disponível apenas para os nossos alunos do treinamento LPIC1 mas não fique triste!! É bem barato fazer parte do nosso time! Nossos preços estão bem abaixo do mercado. Aí vão:

Treinamento LPIC1 – R$157,00

Pacote de treinamentos LPIC1+LPIC2+LPIC3-300 – R$250,00

Características dos treinamentos:

  • Vídeo aulas 100% práticas e em HD;
  • FTP para fazer o download das aulas;
  • Apostilas e livros em PDF;
  • O acesso do aluno não expira;
  • Treinamentos atualizados com os objetivos da nova LPI.

Em caso de dúvidas, envie um e-mail para contato@brunoodon.com.br .

Grande abraço!

ago 02

[FREE!] Treinamento gratuito de Iptables+Squid

HowTo-online-logo-novo-1

É isso mesmo pessoal!!

Mais um treinamento 0800 no HowTo Online!!

Dessa vez é o treinamento de Iptables+Squid

O treinamento é 100% EAD, com vídeo aulas 100% práticas, apostila em PDF e FTP para baixar os arquivos das aulas.

Como você se inscreve?

É só acessar ead.howtoonline.com.br , ir até o treinamento Iptables+Squid e efetuar sua auto-inscrição.

O treinamento aborda os seguintes assuntos:

 

IPTABLES

  • Conceito
  • Tabela Filter
    • CHAIN INPUT
    • CHAIN OUTPUT
    • CHAIN FORWARD
    • Aplicação de controles de acesso a IPs, MACs e nomes DNS
    • Bloqueio de ataques DDOS
    • Mudança de Default Policy das chains
  • Tabela NAT
    • CHAIN PREROUTING
    • CHAIN POSTROUTING
    • CHAIN OUTPUT
    • Redirecionamento de pacotes
    • Source NAT
    • Destination NAT
  •  Tabela Mangle
    • CHAIN INPUT
    • CHAIN OUTPUT
    • CHAIN FORWARD
    • CHAIN PREROUTING
    • CHAIN POSTROUTING

 

SQUID

  • Conceito
  • Instalação e configuração do Squid
  • Configuração de cache
  • ACLs
  • QOS (Controle de banda)
  • Controle de acesso de páginas e download de arquivos
  • Proxy Transparente
  • Proxy Squid autenticado no Linux (PAM)
  • Proxy Squid autenticado no Active Directory (LDAP)

TODO O MATERIAL É ENTREGUE AO ALUNO NO ATO DA AUTO-INSCRIÇÃO

Para dúvidas e sugestões, envie-nos um e-mail:

contato@brunoodon.com.br

 

Um grande abraço!!

jul 19

[Promoção!] Pacote LPIC1+LPIC2+LPIC3-300 por apenas R$250,00

Banner_chega_IMPERDIVEL

Estamos de volta com a promoção da formação on line LPIC1+LPIC2+LPIC3-300 por apenas R$250,00 . É uma economia de R$107,00 , pois o preço normal é de R$357,00 pelo mesmo conteúdo.

Os treinamentos já estão atualizados com as últimas mudanças das certificações LPI.

Os recursos dos treinamentos são:

  • Vídeo aulas 100% práticas;
  • Apostilas em PDF;
  • Simulados;
  • FTP para baixar as aulas se quiser.

Para comprar com cartão de crédito ou saldo do PayPal, é só acessar o botão abaixo.



Se quiser comprar à vista, via depósito bancário, basta fazer o depósito com os seguintes dados:

Banco: Caixa Econômica Federal
Agência: 3223
Conta Poupança: 6530-0
CPF: 054748427-59
Bruno Odon Pires de Brito
Ou

Banco: Itaú 
Ag: 7344 
Conta Corrente: 10686-4
MESMA TITULARIDADE.

Envie o comprovante de depósito (pode ser foto ou print mesmo) para contato@brunoodon.com.br  e faça seu cadastro em ead.howtoonline.com.br. Em menos de 1h você será inscrito em todos os treinamentos.

Um grande abraço!!

jul 06

Implementação de servidor PXE com Debian (Boot pela rede)

fluxo_pxe_citrix

A opção por thin clients como desktop é cada vez mais real no mercado de TI, devido a custo principalmente.

Então por que não ter o sistema operacional no servidor e o thin client dar boot pela rede? Pois eu vou compartilhar aqui com vocês um laboratório que fiz e que promete ser bem promissor e barato com Raspberry Pi.

Objetivo: fazer com que a imagem do cliente abra um navegador em modo KIOSK com o endereço do servidor com Citrix e as aplicações liberadas para o usuário. O modo KIOSK não permite o acesso à barra de navegação do browser. O thin client dá o boot pela rede e carrega tudo em memória RAM.

Servidor

Memória RAM: 512MB;

Uso de disco para a solução: 2,3GB

Sistema Operacional: Debian 8.5 – 64bit

Softwares utilizados para a solução:

  • DHCPD – servidor DHCP;

  • NFS-Kernel-Server – servidor NFS;

  • TFTP – Servidor PXE;

  • ISOLINUX – arquivos de configuração de boot para o PXE Server;

  • SYSLINUX – coleção de boot loaders para Linux;

  • Debootstrap – sistema Debian básico. Foi escolhida a versão 8 para a imagem;

  • Linux-Image-586 – Imagem do Kernel e INTRD;

  • Pxelinux – pacote com o arquivo de inicialização via rede (pxelinux.0);

Thin clients utilizados

HP – T510 – 64bits

HP – T5740 – 32bits

HP – T5570-wi-fi – 64bits

Connec – EZ1000I – 64bits

Connec – EZ700 – 32bits

Instalação e configuração do servidor

#apt-get install nfs-kernel-server isc-dhcp-server tftpd-hpa syslinux isolinux debootstrap linux-image-586 -y

NFS

#vim /etc/exports

#exportfs -a

#exportfs

#/etc/init.d/nfs-kernel-server restart

O root filesystem do cliente está no diretório /pxeroot_i386 do servidor, que vai ser exportado via NFS.

DHCP

#vim /etc/dhcp/dhcpd.conf

O DHCP é essencial para este recurso funcionar pois no ato do boot o desktop ainda não tem endereço IP definido e não tem como ‘achar’ o servidor onde está o boot via rede.

filename “pxelinux.0”;

Indica qual será o arquivo de boot pela rede

netxt-server 10.23.1.41;

Indica qual será o servidor PXE. Não obrigatóriamente ele precisa ser o mesmo host que o DHCP mas no nosso caso é.

TFTP

#vim /etc/default/tftpd-hpa

Como podemos observar acima, o diretório de configuração do TFTP é /srv/tftp e a sua porta é 69/UDP.

#mkdir /srv/tftp/pxeroot.cfgClientes utilizados 

#vim /srv/tftp/pxeroot.cfg/default

A imagem do Kernel (vmlinuz) e a initrd (initrd.img) devem estar sempre dentro do diretório do tftp. Além disso, todos os outros arquivos necessários para o boot via PXE.

#cp -pv /usr/lib/ISOLINUX/* /srv/tftp

#cp -rpv /usr/lib/syslinux/* /srv/tftp

Criar um sistema básico e imagem de kernel e initrd 

#debootstrap jessie /pxeroot_i386

#cp /etc/network/interfaces /pxeroot_i386/etc/network

#cp /etc/network/interfaces /pxeroot_i386/etc

#cp /etc/hostname /pxeroot_i386/etc

#chroot /pxeroot_i386

#apt-get install linux-image-586 (só usei a a imagem 586 por conta da arquitetura de alguns modelos. O ideal é usar a amd64).

#exit

É importante que o arquivo interfaces que via para a imagem PXE esteja definido para IP dinâmico:

#vim /pxeroot_i386/etc/network/interfaces

auto lo

iface lo inet loopback

auto eth0

iface eth0 inte dhcp

Reiniciando os serviços

#service tftpd-hpa restart

#service isc-dhcp-server restart

Preparando o cliente

Instalando interface gráfica e browser:

#chroot /pxeroot_i386

Clientes utilizados #apt-get install xorg iceweasel xfce4

Instalando o ICA Client (cliente do Citrix):

#cd /root

#dpkg -i icaclientWeb<versão>.deb

#dpkg -i icaclient<versão>.deb

Após instalar o complemento RKIOSK e habilitar o aplicativo ICAClient no browser, desinstalar o XFCE4 e configurar para acessar o browser no boot já apontando para o endereço do Citrix7:

#apt-get remove xfce4

#vim /etc/rc.local

sh /usr/local/sbinvideo.sh

#vim /etc/bash.bashrc

iceweasel -url http://brunoodon.com.br/citrix

Criando o script de validação do modelo da placa de vídeo

#vim /usr/local/sbin/video.sh

Dependendo da placa de vídeo, é necessário criar um novo arquivo de configuração apontando para o driver correto e não o genérico para a placa.

Em todos os casos de thin clients testados, os 2 que apresentaram peculiaridades de driver foram esses 2 listados acima.

Sendo assim, foram gerados 2 arquivos de configuração (xorg.conf), um para cada caso:

Agora é só iniciar o cliente.

jul 05

Estude conosco! Conheça nossos pacotes de treinamentos!

Banner_chega_357

As certificações LPI elevam o patamar salarial de profissionais de TI a mais de R$6.000,00 em muitas situações.

Pensando nisso, resolvemos sempre facilitar a vida do aluno e candidato com nossos treinamentos sempre objetivos, completos e de baixo custo.

O mais novo pacote promocional é  LPIC1LPIC2 + LPIC3-300 a R$357,00 .

Também temos o pacote  LPIC1+LPIC2 por R$257,00.

O nosso treinamento de Shell Script é gratuito. Aproveite e veja como funciona nosso método de ensino.

Parcelados em até 12x sem juros no cartão ou via crédito no PayPal.

Estes treinamentos já estão atualizados com as novas modificações das últimas versões dos exames LPI.

Os exames cobertos por este pacote são: 101, 102, 201, 202 e 300. Além disso, o treinamento também cobre os exames 103 e 104, da certificação CompTIA Linux+.

De brinde no pacote, ainda vão os treinamentos abaixo:

 Nagios, Iptables+Squid, Shell Script e Servidores Linux.

Aqui o aluno recebe TODO O CONTEÚDO no ato da contratação do curso.

Os recursos do treinamentos são:

  • Vídeo aulas em alta definição e 100% práticas (nossa filosofia é ‘hands on total’;
  • Área de FTP para o aluno baixar os vídeos e os arquivos de laboratório;
  • Apostilas em PDF;
  • Voucher de 15% de desconto nos exames CompTIA Linux+, em parceria com a Matza Education;
  • Acesso que não expira;
  • Treinamentos atualizados com as últimas versões dos exames da LPI.

Para adquirir este pacote ou outro treinamento, basta seguir as instruções deste link.

Posts mais antigos «