Seguindo a linha do tutorial anterior, que servia apenas para firmwares 2.0 e 2.0.1 (clique para ver), segue aqui um novo, que funciona nos Androids novos do nosso Milestone, versão 2.1.

Tenha as seguintes ferramentas e arquivos em mãos:
- Drivers do Milestone: Para Windows de 32-bits // Para Windows de 64-bits
- RSD Lite: Baixe aqui!
- Este arquivo SBF (que é o sistema operacional básico): Versão da Vivo // Versão da TIM
- Este outro SBF (versão hackeada, que nos permitirá instalar o root): Baixe aqui!
- O arquivo update.zip (que na verdade inicialmente se chama milestone_root.zip: Baixe aqui!

Jogue tudo numa pasta separada no seu HD, para que a bagunça fique menor.
Em seguida, instale os drivers para o Windows que você estiver rodando, e o RSD Lite também.

Agora começa a parte relativamente complicada. Mas seguindo os passos de forma correta não tem erro.

Certifique-se de estar com pelo menos uns 70% da bateria carregados. Você certamente não vai querer que o celular desligue no meio da atualização.

Em primeiro lugar, desligue-o. Em seguida, deslize o teclado QWERTY do seu Milestone, pressione para cima (em direção à sua tela de LCD) naquele direcional que ele tem, e então pressione o power on. Mantenha a combinação apertada até que a tela acenda. Pode soltar os botões.

Você verá na tela do Milestone um texto similar a este:

Bootloader
<versão do seu firmware>

Battery OK
OK to program
Connect USB
Data Cable

Conecte agora o cabo USB no seu computador, e o texto da tela irá mudar para:

Bootloader
<versão do firmware>

Battery OK
OK to Program
Transfer Mode:
USB

Abra agora o RSD Lite, e espere a tela ficar assim:

Clique nas reticências, e escolha o primeiro arquivo SBF que você baixou (o sistema operacional básico (cerca de 150mb (que você sabidamente já terá descompactado))).

Clique então no único dispositivo que você terá na lista grande que fica na parte de baixo, e então clique em start.
Aguarde alguns minutos – seu celular será reiniciado algumas vezes. NÃO interrompa este processo.

Na hora em que você puder ler, na coluna de Progress o status de Finished, e na coluna Result o status de PASS, quer dizer que o processo terminou.

Agora refaça as etapas anteriores, mas com o arquivo SBF que você baixou em segundo lugar (aquele que possui apenas cerca de 5mb).

Desplugue o cabo USB — Desligue o Milestone — Pressione para cima + power on — Aguarde a tela ficar com as mensagens que mencionei acima — Plugue o cabo USB — Use o RSD Lite para “flashear” o celular com o SBF menor.

Mesma coisa aqui. Clique nas reticências, selecione o SBF, clique no seu celular na lista grande do programa, clique em Start, aguarde o processo finalizar com “Finished” e “PASS“.

Estamos quase lá. Se você seguiu as etapas corretamente, falta apenas desbloquear o root, propriamente dito. Tudo o que dizemos até aqui foi abrir uma “brecha” no sistema operacional, para ele aceitar o procedimento a seguir.

Agora pegue o arquivo milestone_root.zip e o renomeie para update.zip. Jogue este arquivo na raíz do seu cartão SD.

Desligue novamente seu Milestone. Em seguida, pressione o botão da câmera fotográfica e Power On juntos. Na hora em que o celular ligar, solte o Power on, mas mantenha o botão da câmera fotográfica apertado, até que a tela a seguir apareça:

Pode soltar o botão da câmera agora.
Em seguida, pressione o botão de aumentar o volume e o da câmera, novamente, para abrir o menu de opções.

Nesta tela, selecione, usando o direcional do tecladinho físico, a opção apply sdcard:update.zip e aperte o botão dourado, no centro do direcional.
Ele irá agora instalar automaticamente alguns arquivos, aplicar uns patches e cozinhar um pernil pra você.

No fim deste processo (ele é bem rápido), escolha a opção de rebootar seu celular.

PRONTO !

Após o processo de boot finalizar, abra seu menu de aplicações (aquele que contém tudo o que você instalou) e verifique se existe lá uma nova opção: Superuser Whitelist. Tente abrí-la, e se conseguir seu telefone está com root liberado.

Agora corre, porque você já pode instalar o Wireless Tether

Se você tiver dúvidas, poste nos comentários. O meu tutorial anterior tem algumas dicas extras, especialmente na área de comentários. Dê uma olhadinha lá antes de entrar em pânico !

Grande abraço;

Leia também:

1. Liberando root no Motorola Milestone 2.0 Furioso por não conseguir comprar os aplicativos pagos no Market,...
2. ClamAV, MailScanner e o MTA Vamos para a segunda etapa das dicas de como melhorar...
3. Dia de grandes atualizações – Firefox, PHP e VirtualBox Hoje foi um dia repleto de boas notícias para o...

Pois bem, ao abrir o ícone do meu WD My Passport no Snow Leopard, já notei que a janela era diferente – Ele não abria o Finder, como de costume.
Copiei os arquivos, e a opção de colar no drive externo não estava disponível. Logo percebi que precisaria de algum suporte extra para conseguir escrever em partições NTFS, que por padrão tem somente suporte a leitura.

Sem mais delongas, vamos ao que é necessário para conseguir acesso completo em NTFS, e outros filesystems também:

- Instale o Macfuse. Os pacotes mais recentes podem ser baixados aqui.
- Instale o port do ntfs-3g pra o Mac OSX. Pacotes DMG podem ser encontrados aqui.

Se você é novo no mundo dos Macs como eu era (e bem, ainda sou) pode ficar feliz em saber que basta clicar duas vezes nos pacotes .pkg que estão dentro dos .dmg recém baixados, e seguir as instruções na(s) caixa(s) de diálogo.

Obviamente, procure sempre instalar os pacotes mais recentes de ambos os softwares. A reinicialização do sistema será necessária.

Ao logar-se novamente após o reboot, a escrita em NTFS já estará habilitada, e o melhor – completamente transparente para você. Antigamente era necessário desmontar o dispositivo e montá-lo novamente usando comandos do ntfs-3g, porém isso foi automatizado nas versões mais novas (ainda bem!)

Bem, é isso. Não poderia ser mais simples.

Nenhum post similar a este [por enquanto!]

Muito mais simples do que fazer jailbreak no iPhone, e igualmente eficaz. Liberando o root, você está modificando o sistema operacional do telefone para aceitar a instalação dos aplicativos diretamente, abrindo-os em formato .apk no próprio celular e escolhendo a opção para o instalar.

O processo é simples e indolor. Vamos lá:

1- Baixe o arquivo Update.zip clicando neste link. Não o descompacte, ele é necessário desta forma mesmo, zipado.
2- Jogue o arquivo baixado para a raíz do seu cartão de memória. A raíz é a pasta principal do SD, assim como C:\ é a pasta raíz no Windows, e o / é no Linux. Se tiver dúvidas de como encontrar essa pasta, avise nos comentários.
3- Desligue seu Milestone.
4- Pressione, ao mesmo tempo, os botões da câmera fotográfica e o botão de ligar o aparelho. Mantenha-os apertados até a tela de recuperação do sistema aparecer. Algo parecido com isto aqui:
5- Quando o celular estiver parado na tela da exclamação, pressione, ao mesmo tempo, os botões da câmera fotográfica e o volume + (o botão que aumenta o volume das diferentes aplicações).
6- Um menu irá aparecer. Selecione a opção Apply Update.zip (ou algo parecido com isso, aqui era a segunda opção). Para escolher e clicar, abra seu Milestone e use o direcional que parece um leitor de digitais.
7- O celular vai processar algumas informações e retornar ao menu acima. Quando tudo estiver pronto, selecione a opção de Reboot, e reinicie normalmente.
8- Prontinho ! Você não vai notar diferença alguma no seu aparelho, exceto um novo ícone no menu principal chamado Superuser Whitelist. Deixe ele quieto lá, não vamos utilizá-lo para nada.

A partir de agora, você pode baixar da internet os aplicativos no formato .APK, jogar no seu cartão de memória e os instalar. O download inclusive pode ser feito diretamente do seu Milestone, caso você tenha um bom plano 3G ou uma conexão Wi-fi disponíveis.

Você pode deletar o arquivo Update.zip da raíz do seu SD, se quiser. Não precisamos mais dele.

Recomendo fortemente a instalação do Openhome, e de algum tema de sua preferência. Eles deixam o celular com uma aparência muito mais bacana.

Abraços e boa sorte !

Leia também:

1. Liberar root no Milestone – firmware 2.1 Boa noite pessoal ! Seguindo a linha do tutorial anterior,...
2. Dia de grandes atualizações – Firefox, PHP e VirtualBox Hoje foi um dia repleto de boas notícias para o...
3. YASG (Yet Another Security Guide) A importância da segurança da informação Tratar da segurança de...

O que é ? Uma tabela enorme de comparação de comandos entre diferentes sistemas POSIX. Você inclusive pode filtrar quais deseja ver.

Se você, como eu, está super acostumado com Linux, Solaris e algum outro Unix, porém nunca viu um IRIX ou SCO na frente, este site é perfeito.
Olhem na screenshot um preview básico, com alguns diferentes UNIX selecionados por mim:

Fica aí a dica.

Abraços a todos.

Leia também:

1. Como remover apenas um grupo de usuário no Unix Olá pessoal ! Ontem foi dia de análise de alguns...
2. Liberando root no Motorola Milestone 2.0 Furioso por não conseguir comprar os aplicativos pagos no Market,...
3. Dia de grandes atualizações – Firefox, PHP e VirtualBox Hoje foi um dia repleto de boas notícias para o...

Três dos grandes ícones da ótima qualidade que programas OpenSource podem atingir lançaram suas novas versões:
- PHP, com o release 5.3.0;
- VirtualBox, chegou ao seu terceiro milestone, na versão 3.0;
- Firefox, na versão 3.5.

Algumas das principais novidades:

Firefox:
- Usando a nova engine TraceMonkey, o Firefox 3.5 é atualmente 2 vezes mais rápido do que a versão 3.0, e 10 vezes mais rápido do que a versão 2.0 em processamento de Javascript.
- Fazendo uso das novas tags HTML 5, o Firefox agora é capaz de exibir vídeos em OGG Theora diretamente no navegador, sem necessidade de plugins proprietários como Flash ou Java.
- Novos recursos de privacidade – Usando o novo recurso de “Esqueça este site”, o Firefox pode automaticamente remover do sistema operacional todo e qualquer vestígio que sites podem deixar no computador. Incluindo histórico, cookies, arquivos temporários..
Link para o changelog completo.

VirtualBox:
- Suporte ao OpenGL 2.0 em máquinas virtuais Linux, Windows e Solaris.
- Suporte ao Direct3D 8 e 9 para máquinas virtuais Windows.
- Suporte a até 32 CPU’s com recursos de VT-x e AMD-V.
Link para o changelog completo.

PHP:
- Suporte a Namespaces, uma forma simples de encapsular ítens.
- Funções Lambda.
- Muitas correções de bug (mais de 140, de acordo com o changelog).
Link para o changelog completo.

E é isso ! Ótimas novidades para todos: Programadores com o PHP, usuários frenéticos de internet com o Firefox, e fãs da virtualização com o VirtualBox.

Um grande abraço a todos !

Leia também:

1. YASG (Yet Another Security Guide) A importância da segurança da informação Tratar da segurança de...
2. Liberando root no Motorola Milestone 2.0 Furioso por não conseguir comprar os aplicativos pagos no Market,...
3. Liberar root no Milestone – firmware 2.1 Boa noite pessoal ! Seguindo a linha do tutorial anterior,...

É sempre bom ter uma listinha dessas por perto. Solaris é moleza, mas eu vivo esquecendo AIX e HP-UX

;]

Solaris:

Lockar conta de usuário:

passwd -l $username

Deslockar conta de usuário:

passwd -u $username

Forçar troca de senha no próximo login:

passwd -f $username

Setar a senha para nunca expirar:

/usr/bin/passwd -w 99999 -x 99999 $username

HP-UX:

Lockar userID:

/usr/lbin/modprpw -e $username

Deslockar userID:

/usr/lbin/modprpw -l -k $username

Setar a senha para nunca expirar:

/usr/lbin/modprpw -l -m mintm=0,exptm=0,expwarn=0,lftm=0 $username

AIX:

Lockar userID:

chuser account_locked=true $username

Deslockar userID:

chuser account_locked=false $username
chsec -f /etc/security/lastlog -a "unsuccessful_login_count=0" -s $username

Verificar as propriedades de um userID:

lsuser $username

Setar a senha para nunca expirar:

chuser expires=0 $username
chuser maxage=0 $username

E é isso !

Espero que seja útil pra mais pessoas também.

Abraços ! :]

Leia também:

1. Como remover apenas um grupo de usuário no Unix Olá pessoal ! Ontem foi dia de análise de alguns...
2. Políticas simples de segurança dentro da empresa Muitas pessoas podem estar numa situação como esta que irei...
3. YASG (Yet Another Security Guide) A importância da segurança da informação Tratar da segurança de...

Bom, pra começar, pegue os binários de instalação do ClamAV aqui.
 
tar xzvf clamav-0.72.tar.gz
 
cd clamav=0.72
 
Para o compilar :
 
./configure –sysconfdir=/etc
 
make
 
make install // como root !
 
E pronto ! Seu ClamAV está instalado bonitinho, do jeito que você precisa.
Se preferir, instale pelo seu empacotador de software favorito.
 
Aqui eu suponho que você já tenha um sendmail ou um postfix funcionando, uma vez que você está querendo protegê-los. Se eu estiver errado , aqui tem alguns bons guias para seguir na instalação dos MTA’s acima.
 
Sendmail : Clique aqui
Postfix : Clique aqui

 
Pronto. Agora é importante deixar claro que você precisa desligar o processo nativo do MTA, com um service postfix stop ou service sendmail stop (Redhat e derivados) e desabilitar a ativação desde processo daqui em diante.
 
Porque ? Simples !
 
Daqui em diante quem vai “subir” o processo correspondente será o MailScanner. Ao invés de você subir ou baixar o MTA, irá fazê-lo com o MailScanner. Ele se encarregará de executar o MTA apropriadamente.
 
Instalando o MailScanner….
 
Baixe os binários, RPM, DEB, ou o que se aplicar ao seu caso, no site http://www.sng.ecs.soton.ac.uk/mailscanner/downloads.shtml
 
Se você optou por baixar os sources, descompacte com “tar xzvf MailScanner-x.xx.x-x.tar.gz” e em seguida execute o script com “sh install.sh”
Nesta url tem um ótimo guia completo de como compilar.
 
Agora vamos aprender a configurar o MailScanner
 
Com o Postfix :
 
Altere o arquivo MailScanner.conf (que está em /etc ou /opt/MailScanner/etc) :

Run As User = postfix
Run As Group = postfix
Incoming Queue Dir = /var/spool/postfix/hold
Outgoing Queue Dir = /var/spool/postfix/incoming
MTA = postfix

Agora faça as alterações NO POSTFIX para trabalhar com o MailScanner:
 
Adicione a seguinte linha no arquivo main.cf da instalação do Postfix:
 
header_checks = regexp:/etc/postfix/header_checks
 
No arquivo /etc/postfix/header_checks adicione esta linha:
 
/^Received:/ HOLD
Se você instalou o MailScanner em RPM, execute apenas “service MailScanner start” e o serviço estará no ar.
 
Para a versão binária, execute “postfix start” e em seguida “check_MailScanner“.
 
Com o Sendmail :

 
Para usar o MailScanner com o sendmail não precisa de muito. Apenas desabilite o servidor Sendmail com
 
“chkconfig sendmail off“;
 
Habilite o MailScanner em todos os run-levels com
 
“chkconfig –level 2345 MailScanner on“;
 
Inicie o serviço com
 
“service MailScanner start“.

Leia a primeira parte deste mini-tutorial aqui:
http://www.lsmod.net/2008/09/politicas-simples-de-seguranca-dentro-da-empresa/

Desta forma simplificada (mais detalhes podem ser amplamente encontrados no Google) suas caixas postais internas estarão muito melhor protegidas, e consequentemente toda a sua infra-estrutura agradecerá.
Abraços !

Leia também:

1. Políticas simples de segurança dentro da empresa Muitas pessoas podem estar numa situação como esta que irei...
2. Liberar root no Milestone – firmware 2.1 Boa noite pessoal ! Seguindo a linha do tutorial anterior,...
3. Liberando root no Motorola Milestone 2.0 Furioso por não conseguir comprar os aplicativos pagos no Market,...

- Trabalham numa empresa onde o número de funcionários é relativamente alto (> 5 utilizadores de internet já é um bom número) e todos tem endereços de e-mail, recebem e enviam mensagens o dia todo.
- Tem algumas unidades de Windows espalhados pela rede toda, vulneráveis _sempre_ às praguinhas virtuais.
- São administradores, técnicos ou analistas, preocupados com a segurança e integridade dos dados de sua rede.

Para essas pessoas, aqui vão minhas recomendações:

1) Bloquear todos os webmails conhecidos do mercado. Ou pelo menos certificar-se de que o webmail que o funcionário tenha acesso possua anti-vírus e anti-spam.

Isto pode ser feito facilmente com “ACL’s” no Squid. Se você usar um proxy transparente, tem também a opção de cortar a conexão com os webmails logo no iptables.

Aqui vai uma ACL fácil de se fazer no Squid:

acl webmails url_regex hotmail webmail mail

// Cuidado ! Esta acl irá bloquear todos os endereços que tenham as expressões citadas, como “hotmail”.. isso pode gerar efeitos colaterais desagradáveis. Este é apenas um exemplo para ilustrar o poder das ACL’s.

Se você não puder, ou não quiser bloquear webmails, temos a opção de instalar o viralator no Squid, para ele checar com o antivirus instalado no seu servidor local, todos os arquivos .exe .zip (entre outros) antes de permitir que o usuário os baixe. Mais detalhes sobre o Viralator em uma próxima matéria.

2) Usar o fetchmail para buscar nos webmails dos funcionários as mensagens, e servi-las a eles pelo POP local.

Esta saída tem o lado negativo deles terem de fornecer o login e senha deles, para o fetchmail conseguir baixar as mensagens.

Na verdade cada usuário pode ter seu arquivo .fetchmail, que fica em seu home directory, e dessa forma você não precisaria saber da senha dele, anulando o lado negativo que citei acima. De qualquer forma, você como root vai poder ler o arquivo depois. Mas é só não contar a eles que você tem essa possibilidade, ou não fazer isto de fato. Infringir os direitos à privacidade alheia é feio

Se você quiser fazer um único arquivo para todas as contas POP dos funcionários, crie um arquivo .fetchmailrc que contenha todas as informações de exemplo:

poll pop3.gmail.com with protocol pop3:
user ‘xxxxx’ there with password ‘xxxx’ is ‘xxxx’ here

Explicação : O comando “poll” significa algo como “ir buscar as mensagens”, seguido pelo endereço do servidor e o protocolo.

Logo a seguir temos “user xxxxx”, que representa o usuário no servidor de webmails. “with password xxxx” representa a senha da conta do usuário, e o “xxxx here”, nome LOCAL do usuario, no seu servidor Linux..

Feito isso, execute o comando :

/usr/bin/fetchmail -f /root/.fetchmailrc -a -s -K -F

Ou coloque-o em sua crontab (altamente recomendado), e assim você sempre terá as mensagens baixadas para o seu servidor.

O fetchmail precisa de um MTA (Mail Transport Agent) que pode ser o Sendmail, Postfix, QMAIL ou outros. No meu caso, estou usando o Postfix + MailScanner, que é uma combinação que deu muito certo no meu caso, apesar de ser meio pesada.

Quando seu servidor baixar as mensagens do POP remoto, ele irá colocá-las dentro da mailbox (ou maildir) do usuário, inicializando uma conexão SMTP de dentro para dentro, ou seja, de uma interface ethX para outra, e nessa hora a mensagem seria escaneada pelo seu ClamAV, já pré-configurado.

Um esboço de como a coisa toda funciona:

O usuario foo tem uma conta no Gmail, e o meu servidor local (Debian) irá, pelo fetchmail. buscar as mensagens no servidor pop3 deles.

Quando ele terminar de baixar, antes do conteúdo ir para a mailbox local do foo, meu servidor escanearia tudo em busca de conteúdo malicioso (por intermédio do MailScanner / ClamAV) e só entregaria de fato as mensagens que estiverem limpas.

Leia a segunda parte deste mini-tutorial clicando no link a seguir:
http://www.lsmod.net/2008/09/clamav-mailscanner-e-o-mta/

Leia também:

1. ClamAV, MailScanner e o MTA Vamos para a segunda etapa das dicas de como melhorar...
2. YASG (Yet Another Security Guide) A importância da segurança da informação Tratar da segurança de...
3. Dicas para administração de usuários – Unix Aqui vai uma mini coleção de dicas para gerenciamento de...

Tratar da segurança de computadores é realmente uma das situações mais complicadas possíveis. Você nunca saberá se está devidamente protegido até que alguém tente invadir sua rede e daí poderá ser tarde demais para um “puxa, eu devia ter caprichado mais no meu firewall”.

Todos sabemos que sistemas operacionais livres como GNU/Linux e *BSD’s são ideais para serem os responsáveis por tratar, filtrar e eventualmente bloquear o tráfego oriundo da Rede Mundial de Computadores antes destas passarem aos micros internos. É pensando nisto que irei tentar com algumas dicas simples, porém valiosas, conscientizá-los a como reforçar suas barreiras contra ataques.

Provavelmente você já conheça o termo Bastion Host. Este é o termo utilizado para definir a(s) máquina(s) que desempenha(m) algum papel crítico e importante na área de segurança de uma rede.

Imagine um Bastion Host como, geralmente, o gateway ou firewall de redes corporativas ou domésticas. É nele que a maior parte do serviço é feita, e ele sempre será considerado um alvo em potencial. É importante saber disso desde o início.

Considere sempre se você, como administrador do Bastion Host da sua empresa, possui os hábitos a seguir, importantes para manter a segurança em ordem:

• Lê sempre os arquivos de log críticos do sistema, como o messages ou o syslog?
• Removeu ou desabilitou os serviços desnecessários do(s) servidor(es): Pra que deixar um FTPd rodando se você não pretende utilizá-lo?
• Educou os usuários internos para um mínimo possível de consciência em navegação segura, não abrindo anexos suspeitos, e cuidando com links maliciosos?
• Possui um Firewall configurado de maneira restrita, correta e fechando todas as portas lógicas, liberando apenas as de extrema necessidade?
• Configurou algum sistema de IDS (Intrusion Detection System) para que ataques sejam automaticamente detectados, barrados e os responsáveis, devidamente bloqueados?

Essas são algumas formas de minimizar os problemas básicos. Como sempre dizemos, não existe host que esteja plugado na internet e seja 100% seguro contra ataques, porém podemos fazer a nossa parte.

A solução começa de dentro – Como lidar com usuários

Usuários internos de grandes empresas costumam ser a pedra no sapato dos administradores e responsáveis pela segurança lógica. Os principais cuidados a serem tomados são simples:

• Instant Messaging: Arquivos contendo instruções maliciosas são freqüentemente transmitidos por este meio. Bloquear as transferências, ou simplesmente impedir o acesso a estas tecnologias são formas de se livrar deste problema.
• E-mail: Spam, scam, worms, spywares e muitas outras coisas chegam diariamente, aos quilos, para muitas caixas postais. Ter um bom servidor de e-mails interno configurado para trabalhar em conjunto com SpamAssassin e Clamav minimiza a ameaça. Algum aplicativo anti-vírus instalado localmente em cada estação também é recomendável. Porém, como sempre, nada melhor do que ensinar ao usuário a pensar antes de sair clicando e abrindo quaisquer sites que deseja. Mostrar a eles como conferirem uma URL real antes de clicar no link é algo simples e mais eficaz do que muitos imaginam.
• Backup: Sim, a famosa cópia de segurança. É relativamente errado afirmarmos que jamais irá acontecer algo inesperado conosco, e para estas ocasiões, o backup é nossa fiel salvação. Ensine-os a gravar pelo menos os dados mais importantes, como aquela planilha que demorou 1 mês para ser feita…

Tenha ciência de que usuários não se importam com segurança. Eles, por natureza, nunca verificam por onde passam, não se preocupam com vírus, não pensam espontaneamente em atualizar o antivírus.
Eles sequer fazem logoff ao saírem de sites bancos ou outros serviços que requerem usuário/senha. Portanto, é seu dever ensinar o básico disso para eles. =) Num mundo ideal, onde todos os usuários-finais seriam cuidadosos, não precisaríamos de muitas precauções. Dependendo no nível de conhecimentos em informática deles, é válido inclusive “enjaulá-los” dentro de um ambiente limitado, como um usuário normal do Windows. Caso seja necessário instalar programas com nível de Administrador, faça você mesmo.

Aprofundando-se na questão: Servidor(es) de serviço(s)

Hoje em dia é raro encontrar uma rede totalmente desconectada da Internet. E nada melhor do que ter um Servidor para compartilhar a conexão entre as máquinas internas e assim economizar dinheiro, e também poder definir as políticas de acesso. Existem redes onde o Firewall, ou Bastion Host, representa vários papéis: Além de proteger a rede interna, também serve páginas na web (por meio de um apache, por exemplo), compartilha arquivos (samba), faz cache de recursos www (squid).
Nestes casos, segurança plena é algo difícil de ser alcançado. Devido a um grande número de portas lógicas e serviços abertos, o número de falhas e exploits a serem utilizados contra você é muito maior. Se este for o seu caso, considere o seguinte:

• Uma máquina exclusiva para firewall não precisa de um hardware poderoso. Aquele Pentium 200 MMX que você tem jogado no canto, com míseros 32mb de RAM é mais do que suficiente;
• Considerando o fator acima, chega-se a conclusão de que o investimento necessário será baixíssimo, e o ganho em segurança será enorme;
• Um firewall stand-alone pode redirecionar os recursos solicitados para as máquinas de dentro, provendo a mesma funcionalidade que você obtinha antes com o servidor que centralizava todos os recursos;

Imagine que a máquina Firewall esteja na frente da máquina Servidor Web, ou seja, Firewall tem o link externo (Speedy, por exemplo). Na máquina Firewall, você, com ajuda do IPTables, definirá que as solicitações feitas por outros, na porta 80, sejam redirecionados para Servidor Web, porém com o devido tratamento do tráfego, e possível bloqueio de IP’s que apresentem um ataque em potencial. E assim você terá seu site na internet, da mesma forma, porém com muito mais tranquilidade.

A moral da história é: O servidor que possui um link externo (com a internet) deverá, para fins de maior segurança, ter o menor número de serviços possível rodando. Ter um sshd por exemplo é relativamente obrigatório para administração remota, e mesmo assim você pode facilmente diminuir os riscos de invasão simplesmente mudando a porta padrão de funcionamento.
Outra questão importante é desativar os serviços desnecessários. Se você não tem muita experiência em Servidores e ainda não sabe desabilitar tudo o que deveria, pergunte em fóruns, leia Howto’s e utilize nosso bom e velho amigo, o Google! Deixar um servidor de FTP, outro de Telnet, Apache, MySQL e outras coisas rodando sem que se faça utilização dos mesmos é conceder aos crackers boas chances de invasão.

Como eu monto um bom firewall para minha rede?

Chegamos à parte técnica da coisa. Irei dividir esta seção em três partes fundamentais: Snort, Guardian e Acid. A explicação de cada um dos serviços é bem simples:

• O Snort analisa o tráfego da rede, trabalhando em conjunto com o IPTables. Caso alguma instrução maliciosa chegue ao Snort, ele dispara um “alerta”, que pode ser gravado num arquivo de textos ou bancos de dados.
• O Guardian necessita do Snort para funcionar. Ele monitora constantemente o destino do log do Snort (arquivos de texto ou databases). Se encontrar alguma coisa que tenha sido qualificada como prejudicial, maliciosa ou suspeita, ele age de acordo com as configurações feitas, como bloquear o IP de origem do ataque.
• O ACID é o responsável por emitir relatórios disso tudo. Se alguma tentativa de invasão, pacotes maliciosos ou coisas do gênero acontecerem, o ACID lê, interpreta e adiciona em um novo banco de dados, preparado para ser exibido de forma elegante via web.

Mãos na massa!

Instalando e configurando as dependências dos pacotes

Em primeiro lugar, certifique-se que possui os pacotes flex e bison instalados no seu sistema. Os sources para compilação podem ser encontrados aqui:

• Flex
• Bison

Usuários de distribuições derivadas de Debian podem instalar estas dependências via apt-get:

# apt-get install flex && apt-get install bison
Fedora e derivados:
# yum install flex && yum install bison

Agora iremos instalar a libpcap, componente necessário para o funcionamento do Snort. Baixe-a neste link: libpcap v0.8.1.
Descompacte o source e em seguida entre no diretório criado. Para compilar:

# ./configure && make && make install

E por último, iremos instalar a libpcre, também necessária para o Snort funcionar de acordo. No Debian e derivados:

# apt-get install libpcre3-dev

Não sei o nome deste pacote para Fedora e outras distribuições, porém deve ser semelhante, ou o mesmo. Pronto, chega de dependências. Vamos ao que interessa.

Compilando e configurando o Snort

Baixe o source do Snort aqui. Descompacte-o com:

# tar xzvf snort-2.6.1.1.tar.gz
Entre na pasta que será criada com os arquivos e então compile com:

# ./configure –with-mysql # make && make install
Agora vamos criar um diretório para depositarmos as regras de análise do tráfego da rede, e demais arquivos de configuração. Ainda dentro do diretório do source do Snort, digite:

# mkdir /etc/snort
# cp etc/* /etc/snort/
Prontinho. Iremos configurar agora o banco de dados aonde o Snort irá salvar os logs:

# mysql -u root -p (Você cairá no console de acesso do MySQL)

Digite:
mysql> CREATE DATABASE SNORT;
mysql> GRANT insert, select ON snort.* TO snort@localhost IDENTIFIED BY ‘senha_do_snort’;
mysql> GRANT insert, select, delete, update, create ON snort.* TO acid@localhost IDENTIFIED BY ‘senha_do_acid’;
mysql>quit;

Lembre-se de trocar a senha “senha_do_snort” por algo que você desejar. E para finalizar (lembre-se: esteja dentro do diretório do source do Snort):
# mysql -u root -p snort < schemas/create_mysql

Este comando irá importar o esquema de tabelas necessárias pro Snort gravar tudo direitinho. Agora é necessário baixar o arquivo de Regras do Snort. Estes arquivos são diretrizes que guiam o Snort na hora de analisar os pacotes, varrendo por ações maliciosas:

# cd /etc/snort/
# wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz # tar xzvf snortrules-pr-2.4.tar.gz # mv rules/* . (Reparem no ponto final existente na última linha. Não esqueçam de digitá-lo) Por fim, é necessário que façamos ajustes no arquivo de configuração do Snort. Edite o arquivo /etc/snort/snort.conf e configure as seguintes variáveis com seus devidos valores:

var HOME_NET [127.0.0.0/16,192.168.100.0/24]
var EXTERNAL_NET !$HOME_NET
output database: log, mysql, user=snort password=senha_do_snort dbname=snort host=localhost

Agora o Snort está pronto para rodar. Certifique-se de que o MySQL está rodando e execute:

# /usr/local/bin/snort -d -c /etc/snort/snort.conf
Este comando irá rodar o Snort em primeiro plano. Verifique se houve conectividade com o banco de dados e se o snort.conf está correto. Caso tudo corra bem, mate o processo e crie um init script chamado “snort” dentro da pasta /etc/init.d/ com o seguinte conteúdo:

• Init Script do Snort

Agora é só configurar o Snort para auto-inicializar em boot-time com o comando: Para Debian:
# update-rc.d snort defaults

Instalando e configurado o Guardian

O Guardian é um perl script que interage em conjunto com o Snort e Iptables para automaticamente bloquear hosts que disparem alertas de segurança. Faça o download do script neste link. Descompacte e entre no diretório criado. Em seguida, execute os comandos:
# mv scripts/iptables_block.sh scripts/guardian_block.sh
# mv scripts/iptables_unblock.sh scripts/guardian_unblock.sh
# cp guardian.pl scripts/guardian_block.sh scripts/guardian_unblock.sh /usr/local/firewall/scripts
# cp guardian.conf /etc/

Agora temos que alterar algumas linhas dentro do arquivo /etc/guardian.conf .

HostIpAddr xxx.xxx.xxx.xxx #preencha com seu IP público
Interface ethX #substitua X pela interface de IP válido
AlertFile /var/log/snort.log #arquivo de log do snort

Pronto, agora é só tentar subir o init-script do Snort. Execute:
# /etc/init.d/snort start
Caso não haja nenhum erro, então o Snort estará logando os possíveis ataques no banco de dados MySQL, e o Guardian irá automaticamente atualizar as regras do Iptables caso seja necessário.

Botando o ACID para funcionar

Você poderá baixar o código do ACID nesta URL. O Acid é um software desenvolvido em PHP que objetiva a visualização dos relatórios gerados pelo Snort. Para começar, descompacte o arquivo baixado e mova a pasta do Acid previamente descompactada para a pasta pública do Apache com o comando:
# mv acid/ /var/www/htdocs/
# cd /var/www/htdocs/acid

Agora teremos que fazer o download do ADODB, que é um conjunto de bibliotecas de conectividade entre o PHP e o MySQL. Digite os comandos a seguir:
# wget http://ufpr.dl.sourceforge.net/sourceforge/adodb/adodb493a.tgz
# tar xzvf adodb493.tgz

Em seguida abra o seu arquivo de configurações acid_conf.php e altere as diretivas a seguir:

$DBlib_path = “./adodb”;
$alert_dbname = “snort”;
$alert_host = “localhost”;
$alert_port = “”;
$alert_user = “acid”;
$alert_password = “senha_do_acid”;
$archive_dbname = “snort”;
$archive_host = “localhost”;
$archive_port = “”;
$archive_user = “snort”;
$archive_password = “senha_do_snort”;

Agora falta uma última etapa. Abra seu navegador e navegue para http://localhost/acid e clique no botão: Create_ACID_AG Pronto! Se tudo ocorreu sem complicações, você verá a tela no Acid com informações sobre alertas adicionados ao banco de dados. Caso você não esteja instalando o Snort num link com bastante acesso, simule um “ataque”, rodando o nmap em si mesmo.

Conclusões, créditos e blá blá blá

Finalmente terminamos de montar nosso firewall um pouco mais seguro.

Um assunto que não abordei aqui (de propósito) foi a criação das regras no Iptables, que simplesmente são o coração disso tudo. Sem elas, o Snort, o Acid, o Guardian e todo o resto não vão segurar o tranco sozinhos. Porém, como o assunto se estende e é bem complexo, talvez eu escreva algum material acerta disso em breve.

Espero que, mais do que ensiná-los o passo-a-passo da instalação, eu (e outros guias mais) tenham alertado a todos da importância da segurança em TODOS os ambientes, desde o primo de 17 anos que acessa sites de pornografia até o chefe do setor comercial que abre e-mails contendo pishing de sites.

Como não me aprofundei completamente neste assunto, espero também que os mais interessados corram atrás, postem dicas e outros guias que possam eventualmente completar este (ou até substituí-lo =P). Este é o caminho para o conhecimento.

Gostaria de parabenizar toda a nossa comunidade. Sermos dessa forma, com essa vontade de compartilhar, de aprender, de ensinar e de guiar os outros é magnífico.

Quem quiser entrar em contato comigo para esclarecimento de dúvidas, pode usar este campo de comentários daqui mesmo, ou me mandar e-mails. Meu endereço é: jzerbini (arroooba) gmail.com

Quem quiser copiar este tutorial, fique à vontade. Manter os créditos da autoria original é sempre bom também.

Abraço a todos!

Jeremias Zerbini Filho.

Leia também:

1. Dia de grandes atualizações – Firefox, PHP e VirtualBox Hoje foi um dia repleto de boas notícias para o...
2. Liberando root no Motorola Milestone 2.0 Furioso por não conseguir comprar os aplicativos pagos no Market,...
3. Liberar root no Milestone – firmware 2.1 Boa noite pessoal ! Seguindo a linha do tutorial anterior,...