guia do linux.doc

7/22/2019 Guia do Linux.doc

1/30

Guia do Linux/Iniciante+Intermedirio/Sistemade gerenciamento de pacotes/apt

Origem: Wikilivros, livros abertos por um mundo aberto.

< Guia do Linux | Iniciante+Intermedirio | Sistema de gerenciamento depacotes

ndice 1 apt

o 1.1 O arquivo /etc/apt/sources.list

1.1.1 Endereos de servidores e mirrors nacionais daDebian

1.1.2 Um modelo de arquivo sources.listo 1.2 O arquivo /etc/apt/apt.conf

o 1.3 Copiando a lista de pacotes dispon veis

o 1.4 Utilizando CDs oficiais/no-oficiais/terceiros com o apt

o 1.5 Instalando novos pacotes

o 1.6 Removendo pacotes instalado

o 1.7 Atualizando sua distribuio

o 1.8 Removendo pacotes baixados pelo apt

o 1.9 Procurando por pacotes atravs da descrio

o 1.10 Procurando um pacote que contm determinado arquivo

o 1.11 Modos eficazes de compilao do cdigo fonte para aDebian

o 1.12 Verificando pacotes corrompidoso 1.13 Corrigindo problemas de dependncias e outros erros

apt

O apt sistema de gerenciamento de pacotes de programas que possui resoluo automticade dependncias entre pacotes, mtodo fcil de instalao de pacotes, facilidade de operao permite atualizar facilmente sua distribuio, etc. Ele funciona atravs de linha de comandosendo bastante fcil de usar. Mesmo assim, existem interfaces grficas para oapt comoo synaptic (modo grfico) e oaptitude (modo texto) que permitem poderosas manipulaesde pacotes sugeridos, etc.
http://pt.wikibooks.org/wiki/Guia_do_Linuxhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante%2BIntermedi%C3%A1riohttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante%2BIntermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacoteshttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante%2BIntermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacoteshttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#apthttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#O_arquivo_.2Fetc.2Fapt.2Fsources.listhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Endere.C3.A7os_de_servidores_e_mirrors_nacionais_da_Debianhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Endere.C3.A7os_de_servidores_e_mirrors_nacionais_da_Debianhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Um_modelo_de_arquivo_sources.listhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#O_arquivo_.2Fetc.2Fapt.2Fapt.confhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Copiando_a_lista_de_pacotes_dispon.C3.AD.C2.ADveishttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Copiando_a_lista_de_pacotes_dispon.C3.AD.C2.ADveishttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Utilizando_CDs_oficiais.2Fn.C3.A3o-oficiais.2Fterceiros_com_o_apthttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Instalando_novos_pacoteshttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Removendo_pacotes_instaladohttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Atualizando_sua_distribui.C3.A7.C3.A3ohttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Removendo_pacotes_baixados_pelo_apthttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Procurando_por_pacotes_atrav.C3.A9s_da_descri.C3.A7.C3.A3ohttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Procurando_um_pacote_que_cont.C3.A9m_determinado_arquivohttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Modos_eficazes_de_compila.C3.A7.C3.A3o_do_c.C3.B3digo_fonte_para_a_Debianhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Modos_eficazes_de_compila.C3.A7.C3.A3o_do_c.C3.B3digo_fonte_para_a_Debianhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Verificando_pacotes_corrompidoshttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Corrigindo_problemas_de_depend.C3.AAncias_e_outros_erroshttp://pt.wikibooks.org/wiki/Guia_do_Linuxhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante%2BIntermedi%C3%A1riohttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante%2BIntermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacoteshttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante%2BIntermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacoteshttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#apthttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#O_arquivo_.2Fetc.2Fapt.2Fsources.listhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Endere.C3.A7os_de_servidores_e_mirrors_nacionais_da_Debianhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Endere.C3.A7os_de_servidores_e_mirrors_nacionais_da_Debianhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Um_modelo_de_arquivo_sources.listhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#O_arquivo_.2Fetc.2Fapt.2Fapt.confhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Copiando_a_lista_de_pacotes_dispon.C3.AD.C2.ADveishttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Utilizando_CDs_oficiais.2Fn.C3.A3o-oficiais.2Fterceiros_com_o_apthttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Instalando_novos_pacoteshttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Removendo_pacotes_instaladohttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Atualizando_sua_distribui.C3.A7.C3.A3ohttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Removendo_pacotes_baixados_pelo_apthttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Procurando_por_pacotes_atrav.C3.A9s_da_descri.C3.A7.C3.A3ohttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Procurando_um_pacote_que_cont.C3.A9m_determinado_arquivohttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Modos_eficazes_de_compila.C3.A7.C3.A3o_do_c.C3.B3digo_fonte_para_a_Debianhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Modos_eficazes_de_compila.C3.A7.C3.A3o_do_c.C3.B3digo_fonte_para_a_Debianhttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Verificando_pacotes_corrompidoshttp://pt.wikibooks.org/wiki/Guia_do_Linux/Iniciante+Intermedi%C3%A1rio/Sistema_de_gerenciamento_de_pacotes/apt#Corrigindo_problemas_de_depend.C3.AAncias_e_outros_erros


2/30

O apt pode utilizar tanto com arquivos locais como remotos na instalao ou atualizao,desta maneira possvel atualizar toda a sua distribuioDebian via ftp ou http com apenas2 simples comandos!

recomendvel o uso do mtodoapt no programadselect pois ele permite a ordem corretade instalao de pacotes e checagem e resoluo de dependncias, etc. Devido a sua

facilidade de operao, oapt o mtodo preferido para os usurios manipularem pacotesda Debian .

O apt exclusivo da distribuioDebian e distribuies baseadas nela e tem por objetivotornar a manipulao de pacotes poderosa por qualquer pessoa e tem dezenas de opes que podem ser usadas em sua execuo ou configuradas no arquivo/etc/apt/apt.conf .Explicarei aqui como fazer as aes bsicas com oapt , portanto se desejar maiores detalhessobre suas opes, veja a pgina de manualapt-get .

O arquivo /etc/apt/sources.list

Este arquivo contm os locais onde oapt encontrar os pacotes, a distribuio que serverificada (stable, testing, unstable, Woody, Sarge) e a seo que ser copiada (main, non-free, contrib, non-US).

Woody (Debian 3.0) eSarge (Debian 3.1) so os nomes das versesenquanto stable e unstable so links para as versesestvel e testing respectivamente. Sedesejar usar sempre uma distribuio estvel (como aWoody ), modifique oarquivosources.list e coloqueWoody como distribuio. Caso voc desejar estar sempreatualizado mas uma pessoa cuidadosa e deseja ter sempre a ltima distribuio estvelda Debian , coloque stable como verso. Assim que a nova verso for lanada, os links queapontam de stable paraWoody sero alterados apontando paraSarge e voc ter seu sistemaatualizado.

Abaixo um exemplo simples de arquivo/etc/apt/sources.list com explicao das sees:

deb http://www.debian.org/debian stable main contrib non-freedeb http://nonus.debian.org/debian-non-US stable non-US

Voc pode interpretar cada parte da seguinte maneira:

deb - Identifica um pacote da Debian. A palavra deb-src identifica ocdigo fonte.

http://www.debian.org/debian - Mtodo de acesso aos arquivosda Debian , site e diretrio principal. O caminho pode ser http:// , ftp:// ,file:/.

stable - Local onde sero procurados arquivos para atualizao.Voc pode tanto usar o nome de sua distribuio ( Woody , Sarge ) ousua classificao ( stable , testing ou unstable . Note que unstable recomendada somente para desenvolvedores, mquinas de testes ese voc tem conhecimentos para corrigir problemas. Nuncautilize unstable em ambientes de produo ou servidores crticos,use a stable .
http://pt.wikibooks.org/wiki/Redes_de_computadores/FTPhttp://pt.wikibooks.org/wiki/Redes_de_computadores/FTPhttp://www.debian.org/debianhttp://nonus.debian.org/debian-non-UShttp://www.debian.org/debianhttp://pt.wikibooks.org/wiki/Redes_de_computadores/FTPhttp://www.debian.org/debianhttp://nonus.debian.org/debian-non-UShttp://www.debian.org/debian


3/30

main contrib non-us - Sees que sero verificadas no site remoto.

Note que tudo especificado aps o nome da distribuio ser interpretado como sendo assees dos arquivos (main, non-free, contrib, non-US). As linhas so processadas na ordemque esto no arquivo, ento recomendvel colocar as linhas que fazem referncia a pacoteslocais primeiro e mirrors mais perto de voc para ter um melhor aproveitamento de banda. O

caminho percorrido peloapt para chegar aos arquivos ser o seguinte:

http://www.debian.org/debian/dists/stable/main/binary-i386 http://www.debian.org/debian/dists/stable/non-free/binary-i386 http://www.debian.org/debian/dists/stable/contrib/binary-i386

Voc notou que o diretriodists foi adicionadoentrehttp://www.debian.org/debian e stable , enquanto as seesmain , non-

free e contrib so processadas separadamente e finalizando com o caminhobinary-[arquitetura] , onde[arquitetura] pode ser i386, alpha, sparc, powerpc, arm , etc.dependendo do seu sistema. Entendendo isto, voc poder manipular oarquivosources.list facilmente.

OBS: Caso tenha mais de uma linha em seu arquivosources.list de onde um pacote podeser instalado, ele ser baixado da primeira encontrada no arquivo. recomendvel colocar primeiro repositrios locais ou mais perto de voc, como recomendado nesta seo.

Endereos de servidores e mirrors nacionais da Debian

Segue abaixo uma relao de servidores que podem ser colocados em seuarquivosources.list :

Endereo Diretrio Principal-------- --------- ---------

ftp://ftp.debian.org.br /debian ftp://ftp.br.debian.org /debian ftp://ftp.debian.org /debian ftp://download.sourceforge.net /debian ftp://ftp.quimica.ufpr.br /debian ftp://download.unesp.br /linux/debian

Um modelo de arquivo sources.list

Voc pode copiar o modelo dosources.list abaixo para ser usado em sua distribuioStable ou personaliza-lo modificando a distribuio utilizada e servidores:

# Arquivos principais da stabledeb ftp://ftp.debian.org.br/debian stable main non-free contrib

# Non-US da Stabledeb ftp://ftp.debian.org.br/debian-non-US stable/non-US main non-free contrib

# Atualizaes propostas para Stable main e non-USdeb ftp://ftp.debian.org.br/debian dists/proposed-updates/deb ftp://ftp.debian.org.br/debian-non-US dists/proposed-updates/

# Atualizaes de segurana da Stabledeb ftp://nonus.debian.org/debian-security stable/updates main
http://www.debian.org/debian/dists/stable/main/binary-i386http://www.debian.org/debian/dists/stable/non-free/binary-i386http://www.debian.org/debian/dists/stable/contrib/binary-i386http://www.debian.org/debianftp://ftp.debian.org.br/ftp://ftp.br.debian.org/ftp://ftp.debian.org/ftp://download.sourceforge.net/ftp://ftp.quimica.ufpr.br/ftp://download.unesp.br/ftp://ftp.debian.org.br/debianftp://ftp.debian.org.br/debian-non-USftp://ftp.debian.org.br/debianftp://ftp.debian.org.br/debian-non-USftp://nonus.debian.org/debian-securityhttp://www.debian.org/debian/dists/stable/main/binary-i386http://www.debian.org/debian/dists/stable/non-free/binary-i386http://www.debian.org/debian/dists/stable/contrib/binary-i386http://www.debian.org/debianftp://ftp.debian.org.br/ftp://ftp.br.debian.org/ftp://ftp.debian.org/ftp://download.sourceforge.net/ftp://ftp.quimica.ufpr.br/ftp://download.unesp.br/ftp://ftp.debian.org.br/debianftp://ftp.debian.org.br/debian-non-USftp://ftp.debian.org.br/debianftp://ftp.debian.org.br/debian-non-USftp://nonus.debian.org/debian-security


4/30

# Ximian um conjunto de pacotes atualizados frequentemente e compatveis# com a distribuio Debian. Entre estes programas esto o Gimp 1.2 e outros# mais atuais e compatveis com a Debian. Para usa-los inclua a seguinte linha

no# seu sources.list# deb ftp://spidermonkey.ximian.com/pub/red-carpet/binary/debian-22-i386/ ./

# Kde 1 e 2# deb ftp://kde.tdyc.com/pub/kde/debian woody main crypto optional qt1apps

O arquivo /etc/apt/apt.conf

Voc pode especificar opes neste arquivo que modificaro o comportamento do programaapt durante a manipulao de pacotes (ao invs de especificar na linha decomando). Se estiver satisfeito com o funcionamento do programaapt , no necessriomodifica-lo. Para detalhes sobre o formato do arquivo, veja a pgina de manual doapt.conf . Na pgina de manual doapt-get so feitas referncias a parmetros que podem ser especificados neste arquivo ao invs da linha de comando.

Copiando a lista de pacotes disponveis

O apt utiliza uma lista de pacotes para verificar se os pacotes existentes no sistema precisamou no ser atualizados. A lista mais nova de pacotes copiada atravs do comando apt-getupdate.

Este comando pode ser usado com alguma frequncia se estiver usando a distribuio stablee sempre se estiver usando a unstable (os pacotes so modificados com muita frequncia).

Sempre utilize o apt-get update antes de atualizar toda a distribuio.Utilizando CDs oficiais/no-oficiais/terceiros com o apt

Para usar CDs daDebian ou de programas de terceiros, use o seguinte comando com cadaum dos CDs que possui:

apt-cdrom add

Este comando adicionar automaticamente uma linha para cada CD noarquivo/etc/apt/sources.list e atualizar a lista de pacotes em/var/state/apt/lists . Por padro, a unidade acessada atravs de/cdrom usada. Use a opo -d /dev/scd? paraespecificar um outra unidade de CDs (veja [ch-disc.html#s-disc-id Identificao de discos e parties em sistemas Linux, Seo 5.12] para detalhes sobre essa identificao).

Durante a instalao de um novo programa, oapt pede que o CD correspondente sejainserido na unidade e pressionado para continuar. O mtodo acessodo apt atravs de CDs inteligente o bastante para instalar todos os pacotes necessriosdaquele CD, instalar os pacotes do prximo CD e iniciar a configurao aps instalar todos

os pacotes necessrios.Observao: - CDs de terceiros ou contendo programas adicionais tambm podem ser usadocom o comando "apt-cdrom add".
ftp://spidermonkey.ximian.com/pub/red-carpet/binary/debian-22-i386/ftp://kde.tdyc.com/pub/kde/debianftp://spidermonkey.ximian.com/pub/red-carpet/binary/debian-22-i386/ftp://kde.tdyc.com/pub/kde/debian


5/30

Instalando novos pacotes

Use o comando apt-get install [pacotes] para instalar novos pacotes em sua distribuio.Podem ser instalados mais de um pacotes ao mesmo tempo separando os nomes por espaos.Somente preciso especificar o nome do pacote (sem a verso e reviso).

Se preciso, oapt instalar automaticamente as dependncias necessrias para ofuncionamento correto do pacote. Quando pacotes alm do solicitado pelo usurio sorequeridos para a instalao, oapt mostrar o espao total que ser usado no disco e perguntar ao usurio se ele deseja continuar. Aps a instalao, o pacote serautomaticamente configurado pelodpkg para ser executado corretamente em seu sistema.

Removendo pacotes instalado

Use o comando apt-get remove [pacotes] para remover completamente um pacote dosistema. Podem ser removidos mais de um pacote ao mesmo tempo separando os nomes dos pacotes com espaos. O apt-get remove remove completamente o pacote mas mantm osarquivos de configurao, exceto se for adicionada a opopurge.

preciso especificar somente o nome do pacote (sem a verso e reviso).

Atualizando sua distribuio

O apt tem uma grande caracterstica: Atualizar toda a sua distribuio de uma formainteligente e segura. Oapt l a listagem de pacotes disponveis no servidor remoto, verificaquais esto instalados e suas verses, caso a verso do pacote seja mais nova que a jinstalada em seu sistema, o pacote ser imediatamente atualizado.

A cpia dos arquivos peloapt pode ser feita via FTP, HTTP ou atravs de uma cpia localdos arquivos no disco rgido (ummirror local). Em nenhuma circunstncia os pacotesexistentes em seu sistema sero removidos ou sua configurao apagada durante um upgradena distribuio.

Os arquivos de configurao em/etc que foram modificados so identificados e podem ser mantidos ou substitudos por verses existentes nos pacotes que esto sendo instalado, esta

escolha feita por voc. Se estiver atualizando a Debian Potato (2.2) para Woody (3.0) (ouverso superior), execute os seguintes comandos antes de iniciar a atualizao:

export LANG=Cexport LC_ALL=Cexport LC_MESSAGES=C

para retornar as variveis de localizao ao valor padro (ingls). Isto necessrio por causade modificaes no sistema de locales, e o excesso de mensagens de erro do perl causaramalguns problemas em meus testes.

Aps isto, a atualizao da distribuioDebian pode ser feita atravs de dois simplescomandos:


6/30

apt-get update #Para atualizar a lista de pacotes (obrigatrio)apt-get -f dist-upgrade #Para atualizar a distribuio

A opo -f faz com que oapt verifique e corrija automaticamente problemas dedependncias entre pacotes. Recomendo executa o comando apt-get -f --dry-run dist-upgrade|less para ver o que vai acontecer sem atualizar a distribuio, se tudo ocorrer bem,retire o --dry-run e v em frente.

A distribuio usada na atualizao pode ser:

Para a mesma verso que utiliza - Para quem deseja manter ospacotes sempre atualizados entre revises, copiar pacotes quecontm correes para falhas de segurana (veja a pgina webem http://www.debian.org/ para acompanhar o boletim de segurana).

Para uma distribuio stable - Mesmo que o acima, mas quandouma nova distribuio for lanada, o link simblico de stable serapontado para prxima distribuio, atualizando instantaneamenteseu sistema.

Para a distribuio testing - Atualiza para a futuradistribuio Debian que ser lanada, como a unstable , mas seuspacotes passam por um perodo de testes de 2 semanasna unstable antes de serem copiados para esta.

unstable - Verso em desenvolvimento, recomendada somente paradesenvolvedores ou usurios que conhecem a fundo osistema GNU/Linux e saibam resolver eventuais problemas queapaream.

A unstable uma distribuio em constante desenvolvimento e podem haver pacotes problemticos ou com falhas de segurana. Aps o perodo de desenvolvimento, adistribuio unstable se tornar frozen.

frozen - Verso congelada, nenhum pacote novo aceito e somenteso feitas correes de falhas. Aps todas as falhas estaremcorrigidas, a distribuio frozen se tornar stable

A distribuio que ser usada na atualizao pode ser especificada noarquivo/etc/apt/sources.list (veja a seo correspondente acima). Caso o mtodo deatualizao usado seja via HTTP ou FTP, ser necessrio usar o comando apt-get clean pararemover os pacotes copiados para seu sistema (para detalhes veja a seo seguinte).

Removendo pacotes baixados pelo apt

Use o comando apt-get clean para apagar qualquer arquivo baixado durante uma atualizaoou instalao de arquivos com oapt . Os arquivos baixados residem

em /var/cache/apt/archives (download completo)e/var/cache/apt/archives/partial (arquivos sendo baixados - parciais).
http://www.debian.org/http://www.debian.org/


7/30

Este local de armazenamento especialmente usado com o mtodo http e ftp paraarmazenamento de arquivos durante o download para instalao (todos os arquivos so primeiro copiados para serem instalados e configurados).

O apt-get clean automaticamente executado caso seja usado o mtodo deacessoapt do dselect .

Procurando por pacotes atravs da descrio

O utilitrioapt-cache pode ser usado para esta funo. Ele tambm possui outras utilidadesinteressante para a procura e manipulao da lista de pacotes.

Por exemplo, o comando apt-cache search clock mostrar todos os pacotes que possuem a palavraclock na descrio do pacote.

Procurando um pacote que contm determinado arquivo

Suponha que algum programa esteja lhe pedindo o arquivo perlcc e voc no tem a mnimaidia de que pacote instalar no seu sistema. O utilitrio auto-apt pode resolver esta situao.Primeiro instale o pacoteauto-apt e execute o comando auto-apt update para que ele copie oarquivoContents-i386.gz que ser usado na busca desses dados.

Agora, basta executar o comando:

auto-apt search perlcc

para que ele retorne o resultado:usr/bin/perlcc interpreters/perl

O pacote que contm este arquivo operl e se encontra na seointerpreters dos arquivosda Debian . Para uma pesquisa que mostra mais resultados (como auto-apt search a2ps), interessante usar o grep para filtrar a sada:

auto-apt search a2ps|grep bin/

usr/bin/psmandup text/a2psusr/bin/pdiff text/a2psusr/bin/psset text/a2psusr/bin/composeglyphs text/a2psusr/bin/a2psj text/a2ps-perl-jausr/bin/a2ps text/a2psusr/bin/fixps text/a2psusr/bin/ogonkify text/a2psusr/bin/fixnt text/a2psusr/bin/card text/a2psusr/bin/texi2dvi4a2ps text/a2ps

Sero mostrados somente os binrios, diretrios de documentao, manpages, etc. no seromostradas.


8/30

Modos eficazes de compilao do cdigo fonte para a Debian

O Debian como qualquer distribuio de Linux, possui o diretrio/usr/local que segundo aFHS o local apropriado para colocao de programas que no fazem parte da distribuio,que seria no caso o de fontes compilados manualmente. Um dos grandes trabalhos de quem pega o cdigo fonte para compilao a instalao de bibliotecas de desenvolvimento para a

compilao ocorrer com sucesso.O auto-apt facilita magicamente o processo de compilao da seguinte forma: durante o passo ./configure no momento que pedida uma bibliotecas, dependncia, etc. oauto-apt para o processo, busca por pacotes no repositrio daDebian , pergunta qual pacote serinstalado (caso tenha mais de uma opo), instala e retorna o ./configure do ponto ondehavia parado.

Para fazer isso, execute o comando:

auto-apt run ./configure

E ele se encarregar do resto :-)

Verificando pacotes corrompidos

Use o comando apt-get check para verificar arquivos corrompidos. A correo feitaautomaticamente. A lista de pacotes tambm atualizada quando utiliza este comando.

Corrigindo problemas de dependncias e outros erros

Use o comando apt-get -f install (sem o nome do pacote) para que oapt-get verifique ecorrija problemas com dependncias de pacotes e outros problemas conhecidos.


9/30

Configurando Ubuntu 13.04

Eu escrevi um artigo falando como instalar o Ubuntu 13.04 nestelinkhttp://bentoizaldo.wordpress.com/2013/05/29/instalando-ubuntu-13-04/ . Masvoc pode estar se perguntando como eu vou configur-lo agora. A primeira coisa quevoc deve fazer depois de instalar o Ubuntu atualizar as fontes dos programas. Se voctiver instalado o Ubuntu online, provavelmente as fontes j esto atualizadas. Mas, paraevitar qualquer dvida, abra o Terminal e d o comando: sudo apt-get update . Essecomando atualizar as fontes. Agora voc deve baixar os pacotes e instalar asatualizaes. Para isso, digite o comando: sudo apt-get upgrade . Com o sistemainstalado e atualizado, agora voc comea a configur-lo. Se voc estiver usando oKubuntu em vez do Ubuntu, eu acho que voc deve desabilitar o sistema de carteiras doKDE. Ele uma segurana a mais. Mas pode atrapalhar seus uploads.

Para desabilitar o sistema de carteiras do KDE, abra o System Settings e clique emAccount Details.
http://bentoizaldo.wordpress.com/2013/05/29/instalando-ubuntu-13-04/http://bentoizaldo.wordpress.com/2013/05/29/instalando-ubuntu-13-04/


10/30

Na janela que abrir, clique em KDE Wallet e desmarque a opo Enable the walletsubsystem.

Agora clique em Apply.


11/30

Depois de desabilitar o sistema de carteiras do KDE, necessrio instalar a linguagem.Para isso, clique em Locale.

Na janela que abrir, marque Brazilian Portuguese e clique na seta azul que aponta para adireita.

O programa lhe pedir sua senha. Digite-a e clique em OK.


12/30

Espere a instalao da linguagem at o final.

Quando a instalao terminar, clique em Apply.

Nesta outra janelinha, clique em OK.


13/30

Espere que o sistema atualize as configuraes.

Depois que o sistema estiver em portugus, o ideal que voc transforme o diretrio /optem um link simblico apontando para /usr/share. Porque os programas que voc instalarque fazem parte dos repositrios do Ubuntu colocar seus arquivos em /usr/share,enquanto que os programa que voc instalar de outros lugares colocar seus arquivosem /opt. Para transformar o /opt em um link simblico apontando para /usr/share, bastadar no Terminal os comandos: sudo rmdir /opt e s udo ln -s /usr/share /opt . Agoravoc poder comear a instalar os programas. A primeira coisa que voc deve instalaragora so os codecs. Para isso, d o comando: sudo apt-get install kubuntu-restricted-extras se voc estiver usando o Kubuntu e: sudo apt-get install ubuntu-restricted-extras se voc estiver usando o Ubuntu. Depois de instalar os codecs, vocdeve instalar o Java. Instale o Java 6 com o comando: sudo apt-get install openjdk-6-

jre e o Java 7 com o comando: sudo apt-get install openjdk-7-jre . Depois de instalaros codecs e o Java, agora voc pode instalar qualquer programa que voc quiser entreaqueles que esto nos repositrios do sistema Ubuntu. Voc pode escolher entre muitos.Basta abrir o Central de Aplicativos no Kubuntu ou o Central de programas do Ubuntu. Ouvoc pode pode instalar direto do Terminal. Veja s como fcil instalar o Chromium,famoso navegador da web. s dar o comando: sudo apt-get install chromium-browser . Todos os outros programas podem ser instalados com o mesmo comando,bastando mudar o nome do pacote. Ou seja, para instalar DVD Styler basta dar ocomando: sudo apt-get install dvdstyler .

Squid - Servidor ProxySquid um servidor de aplicativos full-featured web proxy de cache, que fornece servios de proxye cache para Hyper Text Transport Protocol (HTTP), File Transfer Protocol (FTP), e outros protocolosde rede populares. Squid pode implementar cache e proxy de Secure Sockets Layer pedidos ecache de Domain Name Server (DNS) (SSL), e realizar o cache transparente. Lula tambm suportauma ampla variedade de protocolos de armazenamento em cache, como o Internet Cache Protocol(ICP), o Hyper Text Cache Protocol (HTCP), a matriz de cache de roteamento Protocol (CARP), eoWeb Cache Coordenao Protocol (WCCP).O servidor proxy cache Squid uma excelente soluo para uma variedade de proxy e cachenecessidades do servidor, e as escalas da filial para as redes de nvel empresarial, proporcionandoextensas, os mecanismos de controle de acesso granular e monitoramento de parmetros crticosatravs da Rede Management Protocol (Simple SNMP). Ao selecionar um sistema de computadorpara uso como um Squid dedicado servidor proxy cache para muitos usurios garantir que ele estconfigurado com uma grande quantidade de memria fsica como sustenta Squid um cache namemria para aumentar o desempenho.

1. Instalao2. Configurao
https://help.ubuntu.com/13.10/serverguide/squid.html#squid-installationhttps://help.ubuntu.com/13.10/serverguide/squid.html#squid-configurationhttps://help.ubuntu.com/13.10/serverguide/squid.html#squid-installationhttps://help.ubuntu.com/13.10/serverguide/squid.html#squid-configuration


14/30

3. Referncias

InstalaoEm um prompt de terminal, digite o seguinte comando para instalar o servidor Squid:sudo apt-get install squid3

ConfiguraoSquid est configurado editando as diretrizes contidas no / etc/squid3/squid.conf arquivo deconfigurao. Os exemplos seguintes ilustram algumas das diretrizes que podem ser modificadaspara afetar o comportamento do servidor Squid. Para mais configurao em profundidade do Squid,consulte a seo de Referncias.Antes de editar o arquivo de configurao, voc deve fazer uma cpia do arquivo original eproteg-lo de escrever, assim voc ter as configuraes originais como referncia, e re-utilizar, senecessrio. Fazer essa cpia e proteg-lo de escrever usando os seguintes comandos:sudo cp / etc/squid3/squid.conf / etc/squid3/squid.conf.originalsudo chmod aw / etc/squid3/squid.conf.original

1. Para configurar o servidor Squid para escutar na porta TCP 8888 em vez da porta TCPpadro 3128, alterar a directiva http_port como tal:

2. http_port 88883. Altere a diretiva visible_hostname, a fim de dar ao servidor Squid um nome de host

especfico. Esta mquina no precisa necessariamente ser o computador hostname. Nesteexemplo, ele definido como weezie

4. Weezie visible_hostname5. Usando o controle de acesso do Squid, voc pode configurar o uso de servios de Internet

por proxy Squid para ser apenas usurios com endereos disponveis (IP) determinadoInternet Protocol. Por exemplo, vamos ilustrar o acesso pelos usurios do 192.168.42.0/24nica sub-rede:Adicione o seguinte ao final da seo ACL do seu / etc/squid3/squid.conf arquivo:acl fortytwo_network src 192.168.42.0/24

Em seguida, adicione o seguinte no topo da seo http_access do seu /etc/squid3/squid.conf arquivo:http_access allow fortytwo_network

6. Usando as excelentes caractersticas do Squid controle de acesso, voc pode configurar ouso de servios de Internet por proxy Squid para estar disponvel apenas durante o horriocomercial normal. Por exemplo, vamos ilustrar o acesso de empregados de uma empresa queest operando 9h00 - 17:00, de segunda a sexta-feira, e que utiliza a sub-rede 10.1.42.0/24:Adicione o seguinte ao final da seo ACL do seu / etc/squid3/squid.conf arquivo:acl biz_network src 10.1.42.0/24acl biz_hours tempo MTWTF 9:00-17:00

Em seguida, adicione o seguinte no topo da seo http_access do seu /etc/squid3/squid.conf arquivo:http_access allow biz_network biz_hours

Depois de fazer alteraes no / etc/squid3/squid.conf arquivo, salve o arquivo e reinicieo squid aplicativo de servidor para efetuar as alteraes usando o seguinte comando digitado emum prompt de terminal:servio sudo squid3 reiniciar

Ruby on RailsRuby on Rails um framework web de cdigo aberto para o desenvolvimento de aplicaes web debanco de dados suportados. Ele otimizado para a produtividade sustentvel do programador,uma vez que permite ao programador escrever cdigo por conveno favorecendo mais deconfigurao.

1. Instalao
https://help.ubuntu.com/13.10/serverguide/squid.html#squid-referenceshttps://help.ubuntu.com/13.10/serverguide/ruby-on-rails.html#ruby-on-rails-installationhttps://help.ubuntu.com/13.10/serverguide/squid.html#squid-referenceshttps://help.ubuntu.com/13.10/serverguide/ruby-on-rails.html#ruby-on-rails-installation


15/30

2. Configurao3. Referncias

InstalaoAntes de instalar o Rails , voc deve instalar o Apache e MySQL . Para instalar o Apache pacote,consulte HTTPD - Apache2 Web Server . Para obter instrues sobre como instalaro MySQL referem-se a MySQL .Uma vez que voc tem Apache e MySQL pacotes instalado, voc est pronto para instalar o Ruby on Rails pacote.Para instalar os rubi pacotes base e Ruby on Rails , voc pode digitar o seguinte comando noterminal:sudo apt-get install rails

ConfiguraoModifique o / etc/apache2/sites-available/default arquivo de configurao para configurar seusdomnios.A primeira coisa a mudar o DocumentRoot directiva:DocumentRoot / caminho / para / rails / application / pblicoEm seguida, altere a directiva "/path/to/rails/application/public">


16/30

Onde est a raiz?Desenvolvedores do Ubuntu tomou uma deciso consciente para desativar a conta rootadministrativo por padro em todas as instalaes do Ubuntu. Isso no significa que a conta rootfoi excludo ou que no podem ser acessados. Ele simplesmente foi dada uma senha que combinacom qualquer possvel valor criptografado, portanto, no pode entrar diretamente por si s.Em vez disso, os usurios so incentivados a fazer uso de uma ferramenta com o nomede sudo para realizar tarefas administrativas do sistema. Sudo permite que um usurio autorizado aelevar temporariamente os seus privilgios, utilizando sua prpria senha, em vez de ter que sabera senha pertencente conta root. Esta metodologia simples, mas eficaz fornece responsabilidadepor todas as aes do usurio, e d o controle granular administrador sobre as aes que umusurio pode executar com privilgios disse.

1. Se por algum motivo voc quiser ativar a conta root, basta dar-lhe uma senha:Configuraes com senha root no so suportados.sudo passwdSudo pedir sua senha e, em seguida, pedir-lhe para fornecer uma nova senha para o rootcomo mostrado abaixo:[Sudo] password para o usurio: (digite sua senha)Digite a nova senha UNIX: (inserir uma nova senha para o root)Confirme a nova senha UNIX: (repita a nova senha para o root)passwd: senha atualizada com sucesso

2. Para desativar a senha da conta root, use a seguinte sintaxe passwd:

3. sudo passwd-l raiz

No entanto, para desativar a prpria conta root, use o seguinte comando:usermod - expiredate 1

4. Voc deve ler mais sobre o Sudo , verificando sua pgina de man:

5. homem sudo

Por padro, o usurio inicial criado pelo instalador do Ubuntu um membro do grupo " sudo ", que

adicionada ao arquivo / etc / sudoerssudo como um usurio autorizado. Se voc deseja darqualquer outra conta de acesso root completo atravs de sudo , basta adicion-los ao sudo grupo.

Adio e excluso de usuriosO processo de gerenciamento de usurios e grupos locais sempre em frente e pouco difere damaioria dos outros sistemas operacionais GNU / Linux. Ubuntu e outras distribuies baseadas noDebian, incentivar o uso do pacote "adduser" para gerenciamento de contas.

1. Para adicionar uma conta de usurio, use a seguinte sintaxe, e siga as instrues para darconta de uma senha e caractersticas identificveis, tais como nome completo, nmero detelefone, etc

2. nome de usurio sudo adduser

3. Para excluir uma conta de usurio e seu grupo primrio, use a seguinte sintaxe:

4. nome de usurio deluser sudo

Excluindo uma conta no remove a sua pasta pessoal respectivo. Cabe a voc decidir sedeseja ou no excluir a pasta manualmente ou mant-lo de acordo com suas polticas dereteno desejados.Lembre-se, qualquer usurio adicionado mais tarde, com o mesmo UID / GID como o anteriorproprietrio ter agora acesso a esta pasta, se voc no tiver tomado as precauesnecessrias.Voc pode querer alterar esses valores UID / GID para algo mais apropriado, como a contaroot, e talvez at mesmo mudar o local da pasta para evitar conflitos futuros:raiz chown-R sudo: root / home / username /sudo mkdir / home / archived_users /mv / home / username / home / archived_users / sudo

5. Para bloquear ou desbloquear temporariamente uma conta de usurio, use a seguintesintaxe, respectivamente:


17/30

6. sudo passwd-l username7. sudo passwd-u username

8. Para adicionar ou excluir um grupo personalizado, use a seguinte sintaxe, respectivamente:

9. sudo addgroup nomedogrupo10. sudo delgroup nomedogrupo

11. Para adicionar um usurio a um grupo, use a seguinte sintaxe:

12. sudo adduser nome de usurio nomedogrupo

Perfil do usurio SeguranaQuando um novo usurio criado, o utilitrio adduser cria um novo diretrio chamado / home /username , respectivamente. O perfil padro modelado aps os contedos encontrados nodiretrio / etc / skel , que inclui todos os princpios bsicos de perfil.Se o seu servidor ser o lar de vrios usurios, voc deve prestar muita ateno para aspermisses do diretrio home do usurio para garantir a confidencialidade. Por padro, o diretriohome do usurio no Ubuntu so criados com o mundo de leitura / permisses de execuo. Istosignifica que todos os usurios podem navegar e acessar o contedo de outros usuriosdiretrios. Isto pode no ser adequado para o seu ambiente.

1. Para verificar seus usurios permisses atuais diretrio home, use a seguinte sintaxe:

2. ls-ld / home / username

O seguinte resultado mostra que o diretrio / home / username tem permisses legveismundo:drwxr-xr-x 2 username username 4096 2007-10-02 20:03 nome de usurio

3. Voc pode remover as permisses de leitura mundo usando a seguinte sintaxe:

4. sudo chmod 0750 / home / username

Algumas pessoas tendem a usar a opo recursiva (-R) de forma indiscriminada que modificatodas as pastas e arquivos de criana, mas isso no necessrio, e pode produzir outrosresultados indesejveis. O diretrio pai suficiente para prevenir o acesso no autorizado aqualquer coisa abaixo do pai.Uma abordagem muito mais eficiente para o problema seria a de modificaras adduser permisses padro mundial ao criar pastas base de usurios. Basta editar oarquivo / etc / adduser.conf e modificar o DIR_MODEvarivel para algo apropriado, demodo que todos os novos diretrios receber as permisses corretas.DIR_MODE = 0750

5. Depois de corrigir as permisses do diretrio, utilizando qualquer uma das tcnicasmencionadas anteriormente, verificar os resultados usando a seguinte sintaxe:

6. ls-ld / home / username

Os resultados abaixo mostram que as permisses de leitura mundo foram removidos:drwxr-x --- 2 username username 4096 2007-10-02 20:03 nome de usurio

Poltica de SenhaA poltica de senha forte um dos aspectos mais importantes de sua postura de segurana. Muitasfalhas de segurana bem-sucedidas envolvem simples fora bruta e ataques de dicionrio contrasenhas fracas. Se voc pretende oferecer alguma forma de acesso remoto, envolvendo o seusistema de senha local, certifique-se de tratar adequadamente os requisitos mnimos decomplexidade de senha, tempo de vida mximo de senha e auditorias freqentes de seus sistemasde autenticao.Comprimento mnimo da senhaPor padro, o Ubuntu exige um comprimento mnimo da senha de 6 caracteres, bem como algumasverificaes bsicas de entropia. Estes valores so controlados no arquivo -password common /etc / pam.d / , que descrita abaixo.password [sucesso = 1 default = ignore] pam_unix.so obscuro SHA512Se voc gostaria de ajustar o comprimento mnimo de 8 caracteres, mude a varivel apropriadapara min = 8. A modificao descrita abaixo.


18/30

password [sucesso = 1 default = ignore] pam_unix.so obscuro SHA512 minLen = 8Cheques entropia de senhas e as regras bsicas de comprimento mnimo no se aplicam aoadministrador usando comandos do sudo para configurar um novo usurio.Expirao de senhaAo criar contas de usurio, voc deve fazer uma poltica para ter uma idade mnima e mxima dasenha forar os usurios a alterar suas senhas quando elas expiram.

1. Para visualizar facilmente o estado atual de uma conta de usurio, use a seguinte sintaxe:

2. sudo chage-l nome de usurioA sada abaixo mostra fatos interessantes sobre a conta do usurio, ou seja, que no existempolticas aplicadas:ltima alterao de senha: 20 de janeiro de 2008Senha expira: nuncaSenha inativa: nuncaConta expira: nuncaNmero mnimo de dias entre a alterao de senha: 0O nmero mximo de dias entre a alterao de senha: 99999Nmero de dias de aviso antes da senha expirar: 7

3. Para configurar qualquer um destes valores, basta usar a seguinte sintaxe, e siga ointerativo prompts:

4. nome de usurio sudo chage

A seguir, tambm um exemplo de como voc pode alterar manualmente a data de validadeexplcita (-E) para 01/31/2008, a idade mnima da senha (-m) de cinco dias, a idade mximada senha (-M) de 90 dias, a inatividade perodo (-I) de 5 dias aps a expirao de senha, e umperodo de tempo de aviso (-W) de 14 dias antes da expirao da senha.

chage-E 01/31/2011 sudo-m 5-M 90-I-30 W 14 nome de usurio5. Para verificar as alteraes, utilize a mesma sintaxe como mencionado anteriormente:

6. sudo chage-l nome de usurio

A sada abaixo mostra as novas polticas que foram estabelecidas para a conta:ltima alterao de senha: 20 de janeiro de 2008Senha expira: 19 abr 2008Senha inativa: 19 mai 2008Conta expira: 31 de janeiro de 2008Nmero mnimo de dias entre a alterao de senha: 5O nmero mximo de dias entre a alterao de senha: 90Nmero de dias de aviso antes da senha expirar: 14

Outras Consideraes sobre seguranaMuitos aplicativos usam mecanismos de autenticao alternativos que podem ser facilmente

ignorados pelos administradores de sistema, mesmo experientes. Portanto, importante entendere controlar como os usurios autenticar e ter acesso a servios e aplicaes em seu servidor.Acesso SSH por utilizadores com deficinciaBasta desativar / bloquear uma conta de usurio no vai impedir que um usurio efetuar login noseu servidor remotamente, se tiver configurado a autenticao de chave pblica RSA. Eles aindaser capaz de ganhar acesso escudo para o servidor, sem a necessidade de qualquer palavra-passe. Lembre-se de verificar o diretrio home do usurio para arquivos que permitem este tipo deacesso SSH autenticado.eg / home / username / .ssh / authorized_keys .Remover ou renomear o diretrio . ssh / na pasta home do usurio para evitar que recursos deautenticao mais SSH.Certifique-se de verificar se h conexes SSH estabelecidos pelo usurio com deficincia, como possvel que eles podem ter conexes de entrada ou de sada existentes. Mate qualquer que soencontrados.que | grep nome de usurio (para chegar ao terminal pts / #)sudo pkill-f pts / #


19/30

Restrinja o acesso SSH apenas a contas de usurio que deve t-lo. Por exemplo, voc pode criarum grupo chamado "sshlogin" e adicionar o nome do grupo como o valor associadoao AllowGroups varivel localizada no arquivo / etc / ssh / sshd_config .AllowGroups sshloginEm seguida, adicione os usurios SSH permitido ao grupo "sshlogin", e reiniciar o servio SSH.sudo adduser nome de usurio sshloginsudo servio ssh reiniciar

Database User Authentication externoA maioria das redes corporativas exigem autenticao e controle de acesso centralizado para todosos recursos do sistema. Se voc tiver configurado o servidor para autenticar os usurios contrabancos de dados externos, certifique-se de desativar as contas de usurio externamente elocalmente, assim voc ter certeza de que a autenticao fallback local no possvel.

Console de SeguranaComo com qualquer outra barreira de segurana que voc colocou no lugar para proteger oservidor, muito difcil de se defender contra danos incalculveis causados por algum com acesso

fsico ao seu ambiente, por exemplo, o roubo de discos rgidos, de energia ou interrupo doservio, e assim por diante . Portanto, a segurana do console deve ser tratado apenas como umcomponente da sua estratgia global de segurana fsica. A bloqueado "porta de tela" pode deterum criminoso casual, ou pelo menos retardar um determinado um, por isso ainda aconselhvelrealizar cuidados bsicos em relao ao console de segurana.As instrues a seguir iro ajudar a defender seu servidor contra problemas que poderiam produzirconsequncias muito graves.

1. Desabilitar Ctrl + Alt + Delete

Desabilitar Ctrl + Alt + DeleteEm primeiro lugar, qualquer pessoa que tenha acesso fsico ao teclado pode simplesmente usaro Ctrl + Alt + Apagar combinao de teclas para reiniciar o servidor sem precisar fazerlogon. Claro, algum poderia simplesmente desligar a fonte de energia, mas voc ainda deve evitar

a utilizao desta combinao de teclas em um servidor de produo. Isto obriga a um atacantetomar medidas mais drsticas para reiniciar o servidor, e evitar reboots acidentais ao mesmotempo.

1. Para desativar a ao reinicializao feita pelo pressionandoo Ctrl + Alt + Apagar combinao de teclas, comente a seguinte linha no arquivo / etc /init / control-alt-delete.conf .

# Exec shutdown-r now "Control-Alt-Delete pressionada"

Firewall1. Introduo2. PFM - Firewall no complicada3. Mascaramento IP4. Logs5. Outras Ferramentas6. Referncias

IntroduoO kernel do Linux inclui o Netfilter subsistema, que usado para manipular ou decidir o destino dotrfego de rede dirigido para ou atravs do seu servidor. Todas as solues de firewall Linuxmodernas usam este sistema para filtragem de pacotes.Sistema de filtragem de pacotes do kernel seria de pouca utilidade para os administradores semuma interface espao de usurio para gerenci-lo.Este o propsito do iptables. Quando umpacote chega ao servidor, ele ser entregue para o subsistema Netfilter para aceitao,manipulao ou rejeio com base nas regras fornecidas a ele de userspace via iptables. Assim, oiptables tudo que voc precisa para gerenciar o firewall, se voc estiver familiarizado com ele,mas muitos frontends esto disponveis para simplificar a tarefa.
https://help.ubuntu.com/13.10/serverguide/console-security.html#disable-ctrl-alt-deletehttps://help.ubuntu.com/13.10/serverguide/firewall.html#firewall-introductionhttps://help.ubuntu.com/13.10/serverguide/firewall.html#firewall-ufwhttps://help.ubuntu.com/13.10/serverguide/firewall.html#ip-masqueradinghttps://help.ubuntu.com/13.10/serverguide/firewall.html#firewall-logshttps://help.ubuntu.com/13.10/serverguide/firewall.html#other-firewall-toolshttps://help.ubuntu.com/13.10/serverguide/firewall.html#firewall-referenceshttps://help.ubuntu.com/13.10/serverguide/console-security.html#disable-ctrl-alt-deletehttps://help.ubuntu.com/13.10/serverguide/firewall.html#firewall-introductionhttps://help.ubuntu.com/13.10/serverguide/firewall.html#firewall-ufwhttps://help.ubuntu.com/13.10/serverguide/firewall.html#ip-masqueradinghttps://help.ubuntu.com/13.10/serverguide/firewall.html#firewall-logshttps://help.ubuntu.com/13.10/serverguide/firewall.html#other-firewall-toolshttps://help.ubuntu.com/13.10/serverguide/firewall.html#firewall-references


20/30

PFM - Firewall no complicadaA ferramenta de configurao de firewall padro do Ubuntu ufw . Desenvolvido para facilitar aconfigurao de firewall iptables, ufw fornece uma maneira fcil de usar para criar um firewallbaseado em host IPv4 ou IPv6.ufw por padro inicialmente est desativada. Desde o ufw pgina man:"Ufw no se destina a fornecer a funcionalidade de firewall completo atravs de sua interface decomando, mas fornece uma maneira fcil de adicionar ou remover regras simples. Atualmente usado principalmente para firewalls baseados em host. "A seguir esto alguns exemplos de como usar ufw :

1. Primeiro, ufw precisa ser ativado. A partir de um prompt de terminal digite:

2. sudo ufw enable

3. Para abrir uma porta (ssh neste exemplo):

4. ufw sudo permitir 22

5. As regras tambm pode ser adicionado usando um numerados formato:

6. insert ufw sudo permitir um 80

7. Da mesma forma, para fechar uma porta aberta:

8. ufw sudo negar 229. Para remover uma regra, use apagar seguido pela regra:

10. sudo ufw apagar negar 22

11. tambm possvel para permitir o acesso a partir de hospedeiros ou redes especficas parauma porta. O exemplo a seguir permite o acesso ssh a partir do host 192.168.0.2 paraqualquer endereo IP neste host:

12. ufw sudo permitir proto tcp de 192.168.0.2 a qualquer porta 22

Substitua 192.168.0.2 com 192.168.0.0/24 para permitir o acesso ssh a partir de toda a sub-rede.

13. Adicionando o - dry-run opo para um ufw comando ir imprimir as regras resultantes, masno aplic-las. Por exemplo, o seguinte o que seria aplicada se a abertura da porta http:

14. ufw sudo - dry-run permitir http15. * Filtro16. : PFM-user-entrada - [00:00]17. : PFM-user-output - [00:00]18. : PFM-user-forward - [00:00]19. : PFM-user-limit - [00:00]20. : PFM-user-limite para aceitar - [00:00]21. # # # # # # REGRAS22.23. # # # # # # Tupla permitir tcp 80 0.0.0.0 / 0 qualquer 0.0.0.0 / 024. -A PFM-user-input-p tcp - dport 80-j ACCEPT25.26. # # # END REGRAS # # #27. -A RETURN ufw-user-input-j28. -A RETURN ufw-user-output-j29. -A RETURN ufw-user-forward-j30. -A limite ufw-user-limit-m - limite 3/minute-j LOG - log-prefix "[UFW LIMIT]:"31. -A PFM-user-limit-j REJECT32. -A PFM-user-limit-aceitar-j ACCEPT33. COMMIT34. Regras atualizadas

35. ufw pode ser desativado por:36. ufw sudo desativar

37. Para ver o status do firewall, digite:

38. estado ufw sudo


21/30

39. E para mais informaes sobre o status detalhado usar:

40. sudo ufw estado detalhado

41. Para visualizar a numerao formato:

42. estado ufw sudo contados

Se a porta que voc deseja abrir ou fechar definido em / etc / services , voc pode usar o nomede porta em vez do nmero. Nos exemplos acima, substituir 22 com ssh .

Esta uma breve introduo ao uso de PFM . Por favor, consulte o ufw pgina man para obter maisinformaes.Integrao de Aplicaes ufwOs aplicativos que abrem portas podem incluir uma ufw perfil, que detalha as portas necessriaspara que o aplicativo funcione corretamente.Os perfis so mantidos em / etc / PFM / applications.d ,e pode ser editado se as portas padro foram alterados.

1. Para ver quais aplicativos instalar um perfil, digite o seguinte em um terminal:

2. lista de app ufw sudo

3. Semelhante ao que permite o trfego para uma porta, usando um perfil de aplicao realizado atravs da introduo:

4. ufw sudo permitir Samba

5. Uma sintaxe prolongado est disponvel, bem como:

6. ufw allow from 192.168.0.0/24 para qualquer aplicativo Samba

Substitua Samba e 192.168.0.0/24 com o perfil de aplicao que voc est usando eointervalo IP para a sua rede.No h necessidade de especificar o protocolo para a aplicao, porque essa informao detalhado no perfil. Alm disso, observe que o aplicativo substitui o nome da porta nmero.

7. Para visualizar detalhes sobre quais portas, protocolos, etc so definidas por um aplicativo,digite:

8. sudo ufw aplicativo Informaes Samba

Nem todas as aplicaes que exigem a abertura de uma porta de rede vm com ufw perfis, mas sevoc tem perfil de um aplicativo e deseja que o arquivo a ser includo com o pacote, por favor,envie um bug contra o pacote no Launchpad.nameofpackage ubuntu-bug

Mascaramento IPO objetivo do Mascaramento IP permitir que mquinas com, os endereos IP no-roteveisprivados na sua rede para acessar a Internet atravs da mquina de fazer o mascaramento. Otrfego de sua rede privada destinado Internet deve ser manipulado para respostas a seremroteados de volta para a mquina que fez a solicitao. Para fazer isso, o kernel deve modificara fonte endereo IP de cada pacote de modo que as respostas sero encaminhadas de volta paraele, ao invs de para o endereo IP privado, que fez o pedido, o que impossvel atravs da

Internet.Linux utiliza rastreamento de conexo (conntrack) para manter o controle de quaisconexes pertencem a quais mquinas e redirecionar cada pacote de retorno emconformidade. Trfego deixando sua rede privada assim "mascarado" como tendo se originado apartir de sua mquina gateway Ubuntu. Este processo referido na documentao da Microsoftcomo o Internet Connection Sharing.PFM MascaradoMascaramento de IP pode ser conseguido usando personalizados ufw regras. Isso possvel porqueo back-end atual para ufw iptables-restore com os arquivos de regras localizados em / etc / ufw /*. regras . Esses arquivos so um timo lugar para adicionar legados iptables regras utilizadassem ufw e regras que so mais gateway de rede ou ponte relacionados.As regras so divididas em dois arquivos diferentes, regras que devem ser executadasantes ufw regras de linha de comando e as regras que so executadas aps ufw regras de linha decomando.

1. Em primeiro lugar, o encaminhamento de pacotes precisa ser ativado em ufw . Doisarquivos de configurao ter de ser ajustado, em / etc / default / ufw mudaro DEFAULT_FORWARD_POLICY para "ACEITAR" :

2. = DEFAULT_FORWARD_POLICY "ACEITAR"


22/30

Em seguida, edite / etc / PFM / sysctl.conf e descomente:net/ipv4/ip_forward = 1Da mesma forma, para descomentar encaminhamento IPv6:net/ipv6/conf/default/forwarding = 1

3. Agora vamos adicionar regras para o / etc / PFM / before.rules arquivo. As regras padro sconfigurar o filtro da tabela, e para permitir que o mascaramento nat mesa ter de ser

configurado. Adicione o seguinte ao incio do arquivo, logo aps os comentrios de cabealho:4. # Regras tabela NAT5. * Nat6. : POSTROUTING ACCEPT [00:00]7.8. # Encaminhar o trfego de eth1 por eth0.9. -A POSTROUTING-s 192.168.0.0/24-o eth0-j MASQUERADE10.11. # No exclua a linha 'COMMIT' ou essas regras tabela NAT no ser processado12. COMMIT

Os comentrios no so estritamente necessrias, mas considerada uma boa prtica paradocumentar a sua configurao. Alm disso, ao modificar qualquer uma das regrasde arquivos em / etc / PFM , certifique-se estas linhas so a ltima linha de cada tabelamodificada:# No exclua a linha 'COMMIT' ou estas regras no sero processadosCOMMITPara cada mesa um correspondente COMMIT necessria declarao. Nestes exemplosapenas os nat e filtro tabelas so mostrados, mas voc tambm pode adicionar regras paraas matrias e mangle tabelas.No exemplo acima, substitua eth0 , eth1 e 192.168.0.0/24 com as interfaces apropriadas efaixa de IP da sua rede.

13. Finalmente, desativar e reativar ufw para aplicar as alteraes:

14. ufw sudo desativar && sudo ufw enable

Mascaramento IP agora deve ser ativado. Voc tambm pode adicionar quaisquer regrasreencaminhar para o / etc / PFM / before.rules . Recomenda-se que estas regras adicionais seradicionada ao PFM-antes-forward chain.iptables Masqueradingiptables tambm pode ser usado, para permitir Mascaramento.

1. Semelhante ao PFM , o primeiro passo habilitar o encaminhamento de pacotes IPv4editando / etc / sysctl.conf e descomente a seguinte linha

2. net.ipv4.ip_forward = 1Se voc quiser habilitar o encaminhamento IPv6 tambm descomente:net.ipv6.conf.default.forwarding = 1

3. Em seguida, executar o sysctl comando para ativar as novas configuraes no arquivo deconfigurao:

4. sudo sysctl-p

5. Mascaramento de IP pode agora ser feito com uma nica regra de iptables, que pode serligeiramente diferente com base na sua configurao de rede:

6. sudo iptables-t nat-A POSTROUTING-s 192.168.0.0/16-o ppp0-j MASQUERADEO comando acima assume que o seu espao de endereo privado 192.168.0.0/16 e se odispositivo Internet-facing ppp0. A sintaxe dividido da seguinte forma:

1. -T nat - a regra ir para a tabela nat2. -A POSTROUTING - a regra deve ser adicionada (-A) para a cadeia POSTROUTING3. -S 192.168.0.0/16 - a regra se aplica ao trfego proveniente do espao de endereo

especificado4. -O ppp0 - a regra se aplica ao trfego prevista para ser encaminhado atravs do

dispositivo de rede especificado


23/30

5. -J MASQUERADE - O trfego correspondente a essa regra a "saltar" (-j) para o alvoMASQUERADE para ser manipulado como descrito acima

7. Alm disso, cada cadeia na tabela filter (a tabela padro, e onde a maior parte ou toda afiltragem de pacotes ocorre) tem um padro de poltica de aceitar, mas se voc estivercriando um firewall, alm de um dispositivo de gateway, voc pode ter definido as polticaspara GOTA ou rejeitar, caso em que o seu trfego mascarado precisa ser autorizado pelachain FORWARD para a regra acima para o trabalho:

8. iptables-A FRENTE sudo-s 192.168.0.0/16-o ppp0-j ACCEPT9. iptables-A FRENTE sudo-d estado 192.168.0.0/16-m \10. - State ESTABLISHED, RELATED-i ppp0-j ACCEPT

O comando acima ir permitir que todas as conexes de rede local Internet e todo o trfegorelacionado a essas conexes para regressar mquina que os iniciados.

11. Se voc quiser disfarado para ser habilitado na reinicializao, o que provavelmente voc,edite / etc / rc.local e adicione os comandos usados anteriormente. Por exemplo, adicione oprimeiro comando sem filtragem:

12. iptables-t nat-A POSTROUTING-s 192.168.0.0/16-o ppp0-j MASQUERADE

LogsLogs de firewall so fundamentais para o reconhecimento de ataques, solucionar suas regras de

firewall, e percebendo atividade incomum em sua rede. Voc deve incluir regras de registro em seufirewall para serem gerados, porm, e as regras de registro deve vir antes de qualquer regra determinao aplicvel (uma regra com um alvo que decide o destino do pacote, como ACCEPT,DROP, ou rejeitar).Se voc estiver usando ufw , voc pode ativar o registro, digitando o seguinte em um terminal:registro ufw sudo emPara desativar o log de PFM , basta substituir on com off no comando acima.Se estiver usando o iptables em vez de PFM , digite:sudo iptables-A INPUT-m estado - state NEW-p tcp - dport 80 \-J LOG - log-prefix "NEW_HTTP_CONN:"Um pedido na porta 80 da mquina local, ento, iria gerar um log no dmesg parecido com este(linha split single em trs para caber neste documento):[4304885.870000] NEW_HTTP_CONN: IN = lo OUT = MAC =00:00:00:00:00:00:00:00:00:00:00:00:08:00SRC = 127.0.0.1 DST = 127.0.0.1 LEN = 60 TOS = 0x00 PREC = 0x00 TTL = 64 ID = 58288 DFPROTO = TCPSPT = 53981 DPT = 80 WINDOW = 32767 RES = 0x00 SYN URGP = 0O log acima tambm aparecer em / var / log / messages , / var / log / syslog e / var / log /kern.log . Este comportamento pode ser modificado editando / etc / syslog.conf apropriadamenteou instalando e configurando ulogd e usando o alvo ULOG em vez de LOG. O ulogd daemon umservidor userspace que escuta as instrues para o registro a partir do kernel especificamente parafirewalls, e pode entrar a qualquer arquivo que voc gosta, ou at mesmo para

um PostgreSQL ou MySQL banco de dados. Fazer o sentido de seus logs de firewall pode sersimplificada usando uma ferramenta de anlise de log, como logwatch , fwanalog , fwlogwatch ,ou lire .

Outras FerramentasExistem muitas ferramentas disponveis para ajud-lo a construir um firewall completo sem oconhecimento ntimo de iptables. Para a GUI-inclinado:

1. fwbuilder muito poderoso e vai parecer familiar para um administrador que tenha usadoum utilitrio comercial firewall como Checkpoint FireWall-1 .

Se voc preferir uma ferramenta de linha de comando com os arquivos de configurao de textosimples:

1. Shorewall uma soluo muito poderosa para ajud-lo a configurar um firewall avanadopara qualquer rede.

Referncias1. O Firewall Ubuntu wiki contm informaes sobre o desenvolvimento do PFM .2. Alm disso, o ufw pgina de manual contm algumas informaes muito teis: homem ufw .3. Veja o packet-filtragem-HOWTO para mais informaes sobre o uso iptables .4. O nat-HOWTOcontm mais detalhes sobre disfarado.
http://www.fwbuilder.org/http://www.shorewall.net/http://www.shorewall.net/https://wiki.ubuntu.com/UncomplicatedFirewallhttps://wiki.ubuntu.com/UncomplicatedFirewallhttp://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.htmlhttp://www.netfilter.org/documentation/HOWTO/NAT-HOWTO.htmlhttp://www.fwbuilder.org/http://www.shorewall.net/https://wiki.ubuntu.com/UncomplicatedFirewallhttp://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.htmlhttp://www.netfilter.org/documentation/HOWTO/NAT-HOWTO.html


24/30

5. O IPTables HowTo no Ubuntu wiki um timo recurso.

AppArmor AppArmor uma implementao do Mdulo de Segurana Linux de controles de acessoobrigatrios nome de base. AppArmor confina os programas individuais para um conjunto dearquivos listados e posix projectos capacidades 1003.1e.

AppArmor est instalado e carregado por padro. Ele usa perfis de um aplicativo para determinarquais arquivos e permisses o aplicativo requer.Alguns pacotes iro instalar seus prprios perfis eperfis adicionais podem ser encontradas no apparmor perfis de pacote.Para instalar o apparmor perfis de pacote a partir de um prompt de terminal:sudo apt-get install apparmor-profilesPerfis do AppArmor tem dois modos de execuo:

1. Reclamar / Aprendizagem: violaes perfil so permitidas e registrado. til para testar edesenvolver novos perfis.

2. Poltica perfil refora bem como registrar a violao: Forados / confinado.1. Usando AppArmor2. Perfis3. Referncias

Usando AppArmor O AppArmor-utils contm utilitrios de linha de comando que voc pode usar para mudaro AppArmor modo de execuo, localizar o status de um perfil, criar novos perfis, etc

1. apparmor_status usado para exibir o status atual de perfis do AppArmor.2. sudo apparmor_status

3. aa-reclamar coloca um perfil para reclamar modo.4. sudo aa-complain / path / to / bin

5. aa-impor coloca um perfil em cumprir modo.

6. sudo aa-enforce / path / to / bin7. O / etc / apparmor.d diretrio onde os perfis do AppArmor esto localizados. Ela pode ser

utilizada para manipular o modo de todos os perfis.Digite o seguinte para colocar todos os perfis no modo de reclamao:sudo aa-complain / etc / apparmor.d / *Para colocar todos os perfis no modo de aplicar:

sudo aa-enforce / etc / apparmor.d / *

8. apparmor_parser usado para carregar um perfil no kernel. Ele tambm pode ser usadopara recarregar um perfil actualmente carregado usando a -r opo. Para carregar um perfil:

9. cat / etc / apparmor.d / profile.name | sudo apparmor_parser-aPara recarregar um perfil:

cat / etc / apparmor.d / profile.name | sudo apparmor_parser-r

10. servio AppArmor pode ser usado para recarregar todos os perfis:11. servio sudo AppArmor recarga

12. O / etc / apparmor.d / desativar diretrio pode ser usado junto com o apparmor_parser-R opo de desativar um perfil.

13. sudo ln-s / etc / apparmor.d / profile.name / etc / apparmor.d / desativar /14. sudo apparmor_parser-R / etc / apparmor.d / profile.name

Para reativar um perfil deficientes remover o link simblico para o perfil em / etc / apparmor.d/ / desativar . Em seguida, coloque o perfil usando o -a opo.rm / etc sudo / apparmor.d / desativar / profile.namecat / etc / apparmor.d / profile.name | sudo apparmor_parser-a
https://help.ubuntu.com/community/IptablesHowTohttps://help.ubuntu.com/13.10/serverguide/apparmor.html#apparmor-usagehttps://help.ubuntu.com/13.10/serverguide/apparmor.html#apparmor-profileshttps://help.ubuntu.com/13.10/serverguide/apparmor.html#apparmor-referenceshttps://help.ubuntu.com/community/IptablesHowTohttps://help.ubuntu.com/13.10/serverguide/apparmor.html#apparmor-usagehttps://help.ubuntu.com/13.10/serverguide/apparmor.html#apparmor-profileshttps://help.ubuntu.com/13.10/serverguide/apparmor.html#apparmor-references


25/30

15. AppArmor pode ser desativado, eo mdulo do kernel descarregado, digitando o seguinte:16. servio sudo AppArmor parar17. sudo update-rc.d-f AppArmor remove

18. Para reativar AppArmor digite:

19. servio sudo AppArmor comear20. sudo update-rc.d apparmor defaults

Substitua profile.name com o nome do perfil que voc deseja manipular. Alm disso, substitua /path / to / bin / com o caminho do arquivo executvel real. Por exemplo, para o pingue usocomando / bin / ping

Perfis AppArmor perfis so arquivos de texto simples, localizados em / etc / apparmor.d / . Os arquivosso nomeados aps o caminho completo para o executvel que o perfil substituindo o "/" com".". Por exemplo etc / / apparmor.d / bin.ping o perfil AppArmor para o / bin / ping comando.Existem dois tipos principais de regras usadas nos perfis:

1. Entradas de caminho: que detalham quais arquivos um aplicativo pode acessar no sistemade arquivos.

2. Entradas de capacidades: determinar quais os privilgios de um processo confinado

permitido usar.Como exemplo, d uma olhada no / etc / apparmor.d / bin.ping :# Include / Bin / ping flags = (reclamar) {

# Include # Include # Include

capacidade net_raw,setuid capacidade,rede inet cru,

/ Bin / ping mixr,/ Etc / modules.conf r,

}

1. # Include : incluir depoimentos de outros arquivos. Isso permite quedeclaraes relativas a vrias aplicaes para ser colocado em um arquivo comum.

2. / Bin / ping flags = (reclamar): caminho para o programa perfilado, tambm definir o modode reclamar .

3. capacidade net_raw,: permite o acesso do aplicativo capacidade POSIX.1e CAP_NET_RAW.4. / Bin / ping mixr,: permite que o aplicativo ler e executar o acesso ao arquivo.

Depois de editar um arquivo de perfil do perfil deve ser recarregado. Consulte UsandoAppArmor para mais detalhes.Criando um perfil

1. Criar um plano de teste: Tente pensar sobre como o aplicativo deve ser exercido. O plano deteste deve ser dividida em casos de teste de pequeno porte. Cada caso de teste deve ter umapequena descrio e listar os passos a seguir.Alguns casos de teste padro so:

1. Iniciando o programa.2. Parar o programa.3. Recarregar o programa.4. Teste todos os comandos suportados pelo script de init.

2. Gerar o novo perfil: Use aa-genprof para gerar um novo perfil. A partir de um terminal:3. executvel aa-genprof sudo

Por exemplo:sudo aa-genprof slapd

4. Para obter o seu novo perfil includo no apparmor perfis de pacote, um bugno Launchpad contra o AppArmor pacote:

1. Inclua seu plano de teste e casos de teste.
https://help.ubuntu.com/13.10/serverguide/apparmor.html#apparmor-usagehttps://help.ubuntu.com/13.10/serverguide/apparmor.html#apparmor-usagehttps://help.ubuntu.com/13.10/serverguide/apparmor.html#apparmor-usagehttps://bugs.launchpad.net/ubuntu/+source/apparmor/+filebughttps://help.ubuntu.com/13.10/serverguide/apparmor.html#apparmor-usagehttps://help.ubuntu.com/13.10/serverguide/apparmor.html#apparmor-usagehttps://bugs.launchpad.net/ubuntu/+source/apparmor/+filebug


26/30

2. Fixe seu novo perfil para o bug.Atualizando PerfisQuando o programa est se comportando mal, as mensagens de auditoria so enviadas para osarquivos de log. O programa aa-logprof pode ser usado para digitalizar arquivos de logpara AppArmor mensagens de auditoria, analis-los e atualizar os perfis. A partir de um terminal:sudo aa-logprof

Referncias1. Consulte o Guia de Administrao do AppArmor para opes avanadas de configurao.1. Para mais detalhes, utilizando AppArmor com outras verses do Ubuntu veja o Wiki da

Comunidade AppArmor pgina.1. O OpenSUSE AppArmor pgina outra introduo ao AppArmor.1. Um timo lugar para pedir AppArmor assistncia, e se envolver com a comunidade Ubuntu

Server, o # ubuntu-server canal de IRC na Freenode .

CertificadosUma das formas mais comuns de criptografia hoje de chave pblica criptografia. Criptografia dechave pblica utiliza uma chave pblica e uma chave privada . O sistema funcionapor criptografar informaes usando a chave pblica. A informao s pode ser decifrada com achave privada.Um uso comum para criptografia de chave pblica criptografar o trfego de aplicativos usandoum protocolo Secure Socket Layer (SSL) ou Camada ligao Transport Security (TLS). Por exemplo,configurar o Apache para fornecer HTTPS , o protocolo HTTP sobre SSL. Isto permite um modo paraencriptar trfego que utiliza um protocolo que no proporciona ele prprio criptografia.Um certificado um mtodo utilizado para distribuir a chave pblica e outras informaes sobre oservidor e da organizao que responsvel por ela. Os certificados podem ser assinadosdigitalmente por uma Autoridade de Certificao ou CA. A CA uma terceira parte confivel, queconfirmou que as informaes contidas no certificado preciso.

1. Tipos de Certificados2. Gerando um Pedido de Assinatura de Certificado (CSR)3. Criao de um certificado auto-assinado4. Instalando o Certificado5. Autoridade de Certificao6. Referncias

Tipos de CertificadosPara configurar um servidor seguro usando criptografia de chave pblica, na maioria dos casos,voc pode enviar seu pedido de certificado (incluindo sua chave pblica), prova de identidade dasua empresa, eo pagamento de uma CA. A CA verifica o pedido de certificado e sua identidade, e,em seguida, envia um certificado para o seu servidor seguro. Alternativamente, voc pode criarsua prpria auto-assinado certificado.Note-se, que os certificados auto-assinados no devem ser usados na maioria dos ambientes deproduo.Continuando o exemplo HTTPS, um certificado assinado pela CA fornece dois recursos importantesque um certificado auto-assinado no faz:

1. Browsers (normalmente) reconhecer automaticamente o certificado e permitem umaconexo segura a ser feita sem avisar o usurio.

2. Quando um CA emite um certificado assinado, garantir a identidade da organizao queest fornecendo as pginas da web para o navegador.

A maioria dos navegadores da Web e computadores, que suportam SSL tem uma lista de CAs cujoscertificados so aceitos automaticamente. Se um navegador encontra um certificado cujo CAautorizao no esteja na lista, o navegador pede ao usurio para aceitar ou recusar aconexo.Alm disso, outras aplicaes podem gerar uma mensagem de erro ao utilizar umcertificado auto-assinado.O processo de obteno de um certificado de uma CA bastante fcil. A viso geral a seguinte:

1. Criar um par de pblico e privado chave de criptografia.

2. Criar uma solicitao de certificado com base na chave pblica. O pedido de certificadocontm informaes sobre o servidor ea empresa que o hospeda.3. Envie a solicitao de certificado, juntamente com documentos que comprovem sua

identidade, a uma CA. No podemos dizer que autoridade de certificao para escolher. Suadeciso pode ser baseada em suas experincias passadas, ou nas experincias de seus amigosou colegas, ou puramente em fatores monetrios.
http://www.novell.com/documentation/apparmor/apparmor201_sp10_admin/index.html?page=/documentation/apparmor/apparmor201_sp10_admin/data/book_apparmor_admin.htmlhttps://help.ubuntu.com/community/AppArmorhttps://help.ubuntu.com/community/AppArmorhttp://en.opensuse.org/SDB:AppArmor_geekshttp://freenode.net/http://freenode.net/https://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#types-of-certificateshttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#generating-a-csrhttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#creating-a-self-signed-certificatehttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#installing-the-certificatehttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#certificate-authorityhttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#certificate-referenceshttp://www.novell.com/documentation/apparmor/apparmor201_sp10_admin/index.html?page=/documentation/apparmor/apparmor201_sp10_admin/data/book_apparmor_admin.htmlhttps://help.ubuntu.com/community/AppArmorhttps://help.ubuntu.com/community/AppArmorhttp://en.opensuse.org/SDB:AppArmor_geekshttp://freenode.net/https://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#types-of-certificateshttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#generating-a-csrhttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#creating-a-self-signed-certificatehttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#installing-the-certificatehttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#certificate-authorityhttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#certificate-references


27/30

Depois de ter decidido sobre a CA, voc precisa seguir as instrues que eles fornecem sobrecomo obter um certificado deles.

4. Quando o CA est convencida de que voc realmente quem diz ser, voc envia umcertificado digital.

5. Instalar este certificado em seu servidor seguro, e configurar os aplicativos apropriados parausar o certificado.

Gerando um Pedido de Assinatura de Certificado (CSR)Se voc est recebendo um certificado de uma CA ou gerar seu prprio certificado auto-assinado, oprimeiro passo gerar uma chave.Se o certificado ser usado por daemons de servios, tais como Apache, Postfix, Dovecot, etc, umachave sem senha muitas vezes apropriado.No ter uma senha permite que os servios sejaminiciados sem interveno manual, geralmente a melhor maneira de iniciar um daemon.Esta seo ir cobrir gerando uma chave com uma senha, e um sem. A chave no-frase, ento, serutilizado para gerar um certificado que pode ser usado com vrios servios daemon.Executando o seu servio seguro, sem uma senha conveniente, porque voc no vai precisardigitar a senha toda vez que voc iniciar o seu servio seguro. Mas insegura e um compromissoda chave significa um compromisso do servidor tambm.Para gerar as chaves para o pedido de assinatura de certificado (CSR), execute o seguintecomando em um prompt de terminal:openssl genrsa-des3-out server.key 2048Gerando chave privada RSA de 2048 bits longo mdulo.......................... + + + + + +....... + + + + + +e 65537 (0x10001)Digite passar frase para server.key:Agora voc pode digitar sua senha. Para maior segurana, deve conter, no mnimo, oitocaracteres. O comprimento mnimo quando especificando-des3 de quatro caracteres. Ela deveincluir nmeros e / ou pontuao e no ser uma palavra em um dicionrio. Lembre-se tambm quea sua senha sensvel a maisculas.Re-digite a senha para verificar. Uma vez que voc re-digitado corretamente, a chave do servidor gerada e armazenada no server.keyarquivo.Agora crie a chave insegura, o que, sem uma senha, e embaralhar os nomes das teclas:openssl rsa-in server.key-out server.key.insecuremv server.key server.key.securemv server.key.insecure server.keyA chave insegura agora se chama server.key , e voc pode usar este arquivo para gerar o CSR semsenha.Para criar o CSR, execute o seguinte comando em um prompt de terminal:

openssl req-new-key server.key-out server.csrEle pedir que voc digite a senha. Se voc digitar a senha correta, ele ir solicitar que voc digiteo nome da empresa, nome do site, e-mail Id, etc Uma vez que voc entra em todos esses detalhes,seu CSR ser criado e ele ser armazenado no server.csr arquivo.

Agora voc pode enviar esse arquivo CSR para uma CA para processamento. O CA vai usar essearquivo CSR e emitir o certificado. Por outro lado, voc pode criar certificado auto-assinado usandoesse CSR.

Criao de um certificado auto-assinadoPara criar um certificado auto-assinado, execute o seguinte comando em um prompt de terminal:openssl x509-req-days 365-in-server.csr signkey server.key-out server.crtO comando acima ir pedir que voc digite a senha. Uma vez que voc inserir a senha correta, oseu certificado ser criado e ser armazenado noserver.crt arquivo.Se o seu servidor seguro para ser usado em um ambiente de produo, voc provavelmenteprecisar de um certificado assinado pela CA. No recomendado usar o certificado auto-assinado.

Instalando o CertificadoVoc pode instalar o arquivo de chave server.key e arquivo de certificado server.crt , ou o arquivode certificado emitido pelo seu CA, executando comandos a seguir em um prompt de terminal:server.crt sudo cp / etc / ssl / certsserver.key sudo cp / etc / ssl / private


28/30

Agora, basta configurar todas as aplicaes, com a capacidade de usar criptografia de chavepblica, para usar o certificado ea chave arquivos. Por exemplo, o Apache pode fornecerHTTPS,Dovecot pode fornecer IMAPS e POP3S, etc

Autoridade de CertificaoSe os servios de sua rede exigir mais do que alguns certificados auto-assinados pode valer a penao esforo adicional para configurar o seu prprio interno Autoridade de Certificao (CA) . Usandocertificados assinados por sua prpria CA, permite que os vrios servios que utilizam oscertificados de confiar facilmente outros servios que utilizam certificados emitidos a partir domesmo CA.

1. Primeiro, crie os diretrios para guardar o certificado da CA e arquivos relacionados:

2. mkdir / etc sudo / ssl / CA3. sudo mkdir / etc / ssl / newcerts

4. O CA precisa de alguns arquivos adicionais para funcionar, um para acompanhar o ltimonmero de srie utilizado pelo CA, cada certificado deve ter um nmero de srie nico, e outroarquivo para registrar quais tenham sido emitidos certificados:

5. sudo sh-c "echo '01 '> / etc / ssl / CA / serial"6. toque sudo / etc / ssl / CA / index.txt

7. O terceiro arquivo um arquivo de configurao do CA. Embora no seja estritamentenecessrio, muito conveniente quando a emisso de vrios certificados. Editar / etc / ssl /openssl.cnf , e no [CA_default] a mudana:

8. dir = / etc / ssl / # Onde tudo mantido9. arquivo de ndice # banco de dados database = $ dir / CA / index.txt.10. certificado = $ dir / certs / cacert.pem # O certificado CA11. srie = $ dir / CA / serial # O atual nmero de srie12. private_key = $ dir / private / cakey.pem # A chave privada13. Em seguida, crie o certificado raiz auto-assinado:

14. openssl req-new-x509-extenses v3_ca-keyout cakey.pem-out cacert.pem dias de 3650

Voc ser solicitado a digitar os detalhes sobre o certificado.

15. Agora instale o certificado ea chave root:16. cakey.pem sudo mv / etc / ssl / private /17. cacert.pem sudo mv / etc / ssl / certs /

18. Agora voc est pronto para comear a assinar certificados. O primeiro item necessrio um Pedido de Assinatura de Certificado (CSR), veja Gerando um Pedido de Assinatura deCertificado (CSR) para mais detalhes. Uma vez que voc tem um CSR, digite o seguinte paragerar um certificado assinado pela CA:

19. sudo openssl ca-in server.csr-config / etc / ssl / openssl.cnf

Aps digitar a senha para a chave CA, voc ser solicitado a assinar o certificado, e novamente acometer o novo certificado. Voc dever ver um pouco grande quantidade de sada relacionadacom a criao do certificado.

20. Deve existir agora um novo arquivo, / etc/ssl/newcerts/01.pem , contendo a mesmasada. Copie e cole tudo o que comea com a linha: ----- BEGIN CERTIFICATE ----- e continuandoat a linha: ---- END CERTIFICATE ----- linhas para um arquivo chamado aps o hostname doservidor onde o certificado ser instalado. Por exemplo mail.example.com.crt , um nomedescritivo agradvel.Certificados subseqentes sero nomeados 02.pem , 03.pem , etcSubstitua mail.example.com.crt com seu prprio nome descritivo.

21. Finalmente, copie o novo certificado para o host que precisa dele, e configurar os aplicativosapropriados para us-lo. O local padro para instalar certificados / etc / ssl / certs . Isso permiteque vrios servios para usar o mesmo certificado, sem permisses de arquivo excessivamentecomplicados.Para aplicaes que podem ser configurados para usar um certificado CA, voc tambm deve

copiar o / etc / ssl / certs / cacert.pem arquivo para o / etc / ssl / certs / diretrio em cadaservidor.

Referncias1. Para obter instrues mais detalhadas sobre como usar criptografia ver a Certificados SSL

HOWTOpor tlpd.org
https://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#generating-a-csrhttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#generating-a-csrhttp://tldp.org/HOWTO/SSL-Certificates-HOWTO/index.htmlhttp://tldp.org/HOWTO/SSL-Certificates-HOWTO/index.htmlhttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#generating-a-csrhttps://help.ubuntu.com/13.10/serverguide/certificates-and-security.html#generating-a-csrhttp://tldp.org/HOWTO/SSL-Certificates-HOWTO/index.htmlhttp://tldp.org/HOWTO/SSL-Certificates-HOWTO/index.html


29/30

2. A Wikipedia HTTPSpgina tem mais informaes sobre HTTPS.3. Para mais informaes sobre OpenSSL ver o OpenSSL Pgina Inicial .4. Alm disso, da O'Reilly Network Security com OpenSSL uma boa referncia em

profundidade.

eCryptfseCryptfs uma empresa de classe empilhados sistema de arquivos criptogrfico compatvel comPOSIX para Linux. Mergulhar no topo da camada de sistema de arquivos eCryptfs protege osarquivos, no importa o sistema de arquivos subjacente, tipo de partio, etcDurante a instalao h uma opo para criptografar o / home partio. Isto ir configurarautomaticamente tudo o necessrio para criptografar e montar a partio.Como exemplo, esta seo ir cobrir configurando / srv ser criptografadas usando eCryptfs .

1. Usando eCryptfs2. Montando automaticamente parties criptografadas3. Outros Utilitrios4. Referncias

Usando eCryptfsPrimeiro, instale os pacotes necessrios. A partir de um prompt de terminal digite:

sudo apt-get install ecryptfs-utilsAgora montar a partio a ser criptografada:sudo mount-t ecryptfs / srv / srvVoc ser solicitado a fornecer alguns detalhes sobre como ecryptfs deve criptografar os dados.Para testar se os arquivos colocados em / srv so realmente cpia criptografada o / etc / default apasta / srv :sudo cp-r / etc / default / srvAgora desmonte / srv , e tentar visualizar um arquivo:sudo umount / srvcat / srv / default / cronRemontando / srv usando ecryptfs vai tornar os dados visveis novamente.

Montando automaticamente parties criptografadasH um par de maneiras de montar automaticamente um ecryptfs sistema de arquivoscriptografados durante o boot. Este exemplo vai usar uma / root / .ecryptfsrc arquivo contendoopes de montagem, junto com um arquivo senha residente em uma chave USB.Primeiro, crie / root / .ecryptfsrc contendo:key = senha: passphrase_passwd_file = / mnt / usb / passwd_file.txtecryptfs_sig = 5826dd62cf81c615ecryptfs_cipher = aesecryptfs_key_bytes = 16ecryptfs_passthrough = necryptfs_enable_filename_crypto = nAjuste o ecryptfs_sig assinatura em / root / .ecryptfs / sig-cache.txt .Em seguida, crie o / mnt / usb / passwd_file.txt arquivo de senha:passphrase_passwd = [segredos]Agora adicione as linhas necessrias para / etc / fstab :/ Dev/sdb1 / mnt / usb ext3 ro 0 0/ Srv / srv ecryptfs defaults 0 0Verifique se a unidade USB montado antes da partio criptografada.

Finalmente, reiniciar e / srv deve ser montado utilizando eCryptfs .Outros UtilitriosO ecryptfs-utils pacote inclui vrios outros utilitrios:
http://en.wikipedia.org/wiki/Httpshttp://www.openssl.org/http://oreilly.com/catalog/9780596002701/https://help.ubuntu.com/13.10/serverguide/ecryptfs.html#ecryptfs-usagehttps://help.ubuntu.com/13.10/serverguide/ecryptfs.html#ecryptfs-automounthttps://help.ubuntu.com/13.10/serverguide/ecryptfs.html#ecryptfs-other-utilshttps://help.ubuntu.com/13.10/serverguide/ecryptfs.html#eCryptfs-referenceshttp://en.wikipedia.org/wiki/Httpshttp://www.openssl.org/http://oreilly.com/catalog/9780596002701/https://help.ubuntu.com/13.10/serverguide/ecryptfs.html#ecryptfs-usagehttps://help.ubuntu.com/13.10/serverguide/ecryptfs.html#ecryptfs-automounthttps://help.ubuntu.com/13.10/serverguide/ecryptfs.html#ecryptfs-other-utilshttps://help.ubuntu.com/13.10/serverguide/ecryptfs.html#eCryptfs-references


30/30

1. ecryptfs-setup-private: cria um ~ / Private diretrio para conter informaescriptografadas. Este utilitrio pode ser executado por usurios sem privilgios para manter osdados privados de outros usurios no sistema.

2. ecryptfs-mount-private e ecryptfs-umount-privada: vai montar e desmontar,respectivamente, um usurio ~ / Privado diretrio.

3. ecryptfs-adicionar-passphrase: adiciona uma nova senha para o chaveiro kernel.4. ecryptfs-manager: gerencia eCryptfs objetos como chaves.5. ecryptfs-stat: permite que voc visualize o ecryptfs meta informaes para um arquivo.

Referncias1. Para mais informaes sobre eCryptfs ver a pgina do projeto Launchpad .2. H tambm um Linux Journal artigo cobrindo eCryptfs .3. Alm disso, para mais ecryptfs opes ver a pgina man ecryptfs .4. O eCryptfs Ubuntu Wiki pgina tambm tem mais detalhes.
https://launchpad.net/ecryptfshttp://www.linuxjournal.com/article/9400http://manpages.ubuntu.com/manpages/saucy/en/man7/ecryptfs.7.htmlhttps://help.ubuntu.com/community/eCryptfshttps://launchpad.net/ecryptfshttp://www.linuxjournal.com/article/9400http://manpages.ubuntu.com/manpages/saucy/en/man7/ecryptfs.7.htmlhttps://help.ubuntu.com/community/eCryptfs

guia do linux.doc

Documents