Categoria: Uncategorized

  • UFW – Uncomplicated FireWall

    Introdução

    Para uma introdução consultar o artigo Firewall.

    UFW – Uncomplicated FireWall

    A ferramenta de configuração padrão da firewall para o Ubuntu é ufw. Desenvolvido para facilitar a configuração da firewall do iptables, o ufw fornece uma maneira fácil de criar uma firewall baseada em host IPv4 ou IPv6. Por padrão, o UFW está desativado.

    Gufw é uma GUI disponível como front-end.

    Sintaxe e exemplos básicos

    As regras padrão são aceitáveis para o utilizador.

    Quando o UFW for ativo, vai usar um conjunto de regras (perfis) padrão que devem ser aceitáveis para o utilizador doméstico mediano. Esse é o objetivo principal dos desenvolvedores do Ubuntu. Em resumo, todas as ‘entradas’ são rejeitadas, com algumas exceções para facilitar as coisas para os utilizadores domésticos.
    ( Procurar as exceções à data de edição )

    Ativar e desativar

    Ativar UFW

    sudo ufw enable

    Para verificar o status do UFW:

    sudo ufw status verbose

    A saída deve ser assim:

    utilizador@nomecomputador:~$ sudo ufw status verbose
    [sudo] password for youruser:
    Status: active
    Logging: on (low)
    Default: deny (incoming), allow (outgoing)
    New profiles: skip
    utilizador@nomecomputador:~$

    Observar que, por padrão, negar está a ser aplicado à entrada. Há exceções, que podem ser encontradas na informação que gera o proximo comando:

    sudo ufw show raw

    Também podemos ler os ficheiros de regras em /etc/ufw (os arquivos cujos nomes terminam em .rules).

    Desativar UFW

    Para desativar o ufw, usar: sudo ufw disable .

    Permitir e Negar (regras específicas)

    Allow (permitir)

    Sintaxe: sudo ufw allow <port>/[protocol]

    exemplo: para permitir pacotes TCP e UDP recebidos na porta 53

    sudo ufw allow 53

    exemplo: para permitir pacotes TCP recebidos na porta 53

    sudo ufw allow 53/tcp

    exemplo: para permitir pacotes udp recebidos na porta 53

    sudo ufw allow 53/udp

    Permitir IP específico

    Sintaxe: sudo ufw allow from <ip address>

    exemplo: Para permitir pacotes de 207.46.232.182:

    sudo ufw allow from 207.46.232.182

    Permitir por sub-rede

    sudo ufw allow from 192.168.1.0/24

    Permitir por porta e endereço IP específicos

    Sintaxe: sudo ufw allow from <target> to <destination> port <port number>

    exemplo: permitir que o endereço IP 192.168.0.4 aceda a porta 22 para todos os protocolos

    sudo ufw allow from 192.168.0.4 to any port 22

    Permitir por porta, endereço IP e protocolo específicos

    Sintaxe: sudo ufw allow from <target> to <destination> port <port number> proto <protocol name>

    exemplo: permite que o endereço IP 192.168.0.4 aceda à porta 22 e usar TCP

    sudo ufw allow from 192.168.0.4 to any port 22 proto tcp

    Deny

    Em desenvolvimento

    Drop PING

    Nota: A segurança por obscurecimento pode trazer muito pouco benefício real nos scripts modernos dos crackes. Por padrão, o UFW permite solicitações de ping. Pode deixar as solicitações de ping (icmp) ativadas para ajudar a diagnosticar problemas de rede.

    Para desativar as solicitações de ping (icmp), precisa editar o /etc/ufw/before.rules e remover ou comentar as seguintes linhas:

    # ok icmp codes
    -A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
    -A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
    -A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
    -A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
    -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

    ou mudar o “ACCEPT” para “DROP”. E fica:

    # Não ok icmp codes
    -A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
    -A ufw-before-input -p icmp --icmp-type source-quench -j DROP
    -A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
    -A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
    -A ufw-before-input -p icmp --icmp-type echo-request -j DROP

    Fonte: https://help.ubuntu.com/community/UFW

  • Samba como controlador de domínio do Active Directory

    Pré-requisitos:

    • Debian 10 (buster) instalado.
    • É obrigatório que o IP seja estático: Adicionar no router um IP estático no servidor DHCP ou configurar o interface da máquina onde iremos instalar o controlador de domínio.
    • Escolher o nome de acordo com:  https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ

    1 – Pré-instalação

    Verificar se o pacote resolvconf está instalado

    apt search resolvconf

    Verificar que nenhum processo do Samba está a correr:

    ps ax | egrep "samba|smbd|nmbd|winbindd"

    Adicionar a linha que se segue ao ficheiro “/etc/hosts” (Alterar o ip 10.0.0.1 de acordo com com o ip do próprio controlador de domínio):

    10.0.0.1     dc1.empresa.o.teu.dominio dc1

    Fica semelhante a :

    127.0.0.1       localhost
    10.0.0.1        dc1.empresa.o.teu.dominio dc1
    
    ::1             localhost ip6-localhost ip6-loopback
    ff02::1         ip6-allnodes
    ff02::2         ip6-allrouters

    2 – Instalação do samba no Debian 10:

    apt install acl attr samba samba-dsdb-modules samba-vfs-modules winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user dnsutils

    Remover o ficheiro /etc/samba/smb.conf que foi criado durante a instalação:

    rm /etc/samba/smb.conf
    (mais…)