1) O documento discute vários tópicos relacionados à segurança em servidores Linux, incluindo hardening da instalação, controle de acesso, firewalls, auditoria e autenticação.
2) A agenda inclui tópicos como hardening da instalação, mecanismos de proteção, controle de acessos, fortalecimento de serviços, soluções de segurança, planejamento do ambiente seguro e certificações.
3) O documento fornece dicas sobre como melhorar a segurança na instalação do Linux, como desat
This document discusses storage management in Linux. It covers disk partitioning, file systems, logical volume management (LVM), and some common tools. It describes:
1. How hard disks can be partitioned into primary, extended, and logical partitions using tools like fdisk and parted.
2. The components of storage including files, directories, file systems, and how logical and physical storage relate.
3. How LVM allows logical volumes to span physical disks, be dynamically resized, and helps solve issues with traditional partitioning.
4. Common commands to manage physical volumes, volume groups, and logical volumes with LVM.
The document discusses the differences between network attached storage (NAS) and storage area network (SAN) solutions for small businesses. It outlines the key benefits and use cases of each technology. NAS is best for file sharing and backup, while SAN provides faster performance for databases and applications. The document also notes that a combination of NAS and SAN can provide the best of both worlds.
CRUSH is the powerful, highly configurable algorithm Red Hat Ceph Storage uses to determine how data is stored across the many servers in a cluster. A healthy Red Hat Ceph Storage deployment depends on a properly configured CRUSH map. In this session, we will review the Red Hat Ceph Storage architecture and explain the purpose of CRUSH. Using example CRUSH maps, we will show you what works and what does not, and explain why.
Presented at Red Hat Summit 2016-06-29.
This document provides an overview of Ceph, a distributed storage system. It defines software defined storage and discusses different storage options like file, object, and block storage. It then introduces Ceph, highlighting that it provides a unified storage platform for block, object, and file storage using commodity hardware in a massively scalable, self-managing, and fault-tolerant manner. The document outlines Ceph's architecture including its components like OSDs, monitors, RADOS, RBD, RGW, and CephFS. It also discusses various access methods and use cases for Ceph like with OpenStack.
2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)Mirantis
Mirantis, the Global Engineering Services leader for OpenStack™ presents 2-day Bootcamp for OpenStack
www.mirantis.com/training
This two-day intensive course provides hands-on technical training for OpenStack aimed at system administrators and IT professionals looking to get started on an OpenStack Cloud deployment. Each of the two days will consist of lecture, demos and group exercises. Topics include:
• OpenStack Overview & Architecture: Project goals and use cases, basic operating and deployment principles
• Cloud Usage Patterns: OpenStack codebase overview; creating networks, tenants, roles, troubleshooting; Nexenta Volume Driver
• In Production: Deploying OpenStack for real-world use, and practice of OpenStack operation on multiple nodes
• Swift Object Storage: use cases, architecture, capabilities, configuration, security and deployment
• Advanced Topics: Software Defined Networking, deployment and issues workshop, VMWare/OpenStack comparison
PRE-REQUISITES: Comfortable with Linux CLI, understanding of virtualization & hypervisors, Some experience with Linux networking
All course materials will be provided by Mirantis, including access to shared compute resources for labs. A light breakfast and lunch will be available to all course participants.
Mirantis instructors are active code committers to the OpenStack project, with proven experience building OpenStack clouds in the real world. In parallel to delivering expert training, they also consult for some of the notable global companies using OpenStack – including Cisco, NASA, Dell and Internap.
Ceph: Open Source Storage Software Optimizations on Intel® Architecture for C...Odinot Stanislas
Après la petite intro sur le stockage distribué et la description de Ceph, Jian Zhang réalise dans cette présentation quelques benchmarks intéressants : tests séquentiels, tests random et surtout comparaison des résultats avant et après optimisations. Les paramètres de configuration touchés et optimisations (Large page numbers, Omap data sur un disque séparé, ...) apportent au minimum 2x de perf en plus.
VMware provides server virtualization software that allows multiple virtual machines to run on a single physical server. The document discusses VMware's history and products, outlines the benefits of server virtualization such as increased hardware utilization and reduced costs, and describes various VMware solutions like VMotion, HA, and DRS that provide capabilities like live migration of VMs and high availability of workloads. It also presents statistics on VMware's business and customer base and shares examples of how organizations have benefited from virtualization.
This document discusses storage management in Linux. It covers disk partitioning, file systems, logical volume management (LVM), and some common tools. It describes:
1. How hard disks can be partitioned into primary, extended, and logical partitions using tools like fdisk and parted.
2. The components of storage including files, directories, file systems, and how logical and physical storage relate.
3. How LVM allows logical volumes to span physical disks, be dynamically resized, and helps solve issues with traditional partitioning.
4. Common commands to manage physical volumes, volume groups, and logical volumes with LVM.
The document discusses the differences between network attached storage (NAS) and storage area network (SAN) solutions for small businesses. It outlines the key benefits and use cases of each technology. NAS is best for file sharing and backup, while SAN provides faster performance for databases and applications. The document also notes that a combination of NAS and SAN can provide the best of both worlds.
CRUSH is the powerful, highly configurable algorithm Red Hat Ceph Storage uses to determine how data is stored across the many servers in a cluster. A healthy Red Hat Ceph Storage deployment depends on a properly configured CRUSH map. In this session, we will review the Red Hat Ceph Storage architecture and explain the purpose of CRUSH. Using example CRUSH maps, we will show you what works and what does not, and explain why.
Presented at Red Hat Summit 2016-06-29.
This document provides an overview of Ceph, a distributed storage system. It defines software defined storage and discusses different storage options like file, object, and block storage. It then introduces Ceph, highlighting that it provides a unified storage platform for block, object, and file storage using commodity hardware in a massively scalable, self-managing, and fault-tolerant manner. The document outlines Ceph's architecture including its components like OSDs, monitors, RADOS, RBD, RGW, and CephFS. It also discusses various access methods and use cases for Ceph like with OpenStack.
2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)Mirantis
Mirantis, the Global Engineering Services leader for OpenStack™ presents 2-day Bootcamp for OpenStack
www.mirantis.com/training
This two-day intensive course provides hands-on technical training for OpenStack aimed at system administrators and IT professionals looking to get started on an OpenStack Cloud deployment. Each of the two days will consist of lecture, demos and group exercises. Topics include:
• OpenStack Overview & Architecture: Project goals and use cases, basic operating and deployment principles
• Cloud Usage Patterns: OpenStack codebase overview; creating networks, tenants, roles, troubleshooting; Nexenta Volume Driver
• In Production: Deploying OpenStack for real-world use, and practice of OpenStack operation on multiple nodes
• Swift Object Storage: use cases, architecture, capabilities, configuration, security and deployment
• Advanced Topics: Software Defined Networking, deployment and issues workshop, VMWare/OpenStack comparison
PRE-REQUISITES: Comfortable with Linux CLI, understanding of virtualization & hypervisors, Some experience with Linux networking
All course materials will be provided by Mirantis, including access to shared compute resources for labs. A light breakfast and lunch will be available to all course participants.
Mirantis instructors are active code committers to the OpenStack project, with proven experience building OpenStack clouds in the real world. In parallel to delivering expert training, they also consult for some of the notable global companies using OpenStack – including Cisco, NASA, Dell and Internap.
Ceph: Open Source Storage Software Optimizations on Intel® Architecture for C...Odinot Stanislas
Après la petite intro sur le stockage distribué et la description de Ceph, Jian Zhang réalise dans cette présentation quelques benchmarks intéressants : tests séquentiels, tests random et surtout comparaison des résultats avant et après optimisations. Les paramètres de configuration touchés et optimisations (Large page numbers, Omap data sur un disque séparé, ...) apportent au minimum 2x de perf en plus.
VMware provides server virtualization software that allows multiple virtual machines to run on a single physical server. The document discusses VMware's history and products, outlines the benefits of server virtualization such as increased hardware utilization and reduced costs, and describes various VMware solutions like VMotion, HA, and DRS that provide capabilities like live migration of VMs and high availability of workloads. It also presents statistics on VMware's business and customer base and shares examples of how organizations have benefited from virtualization.
The document provides an overview of storage technology options including network attached storage (NAS), storage area networks (SANs), and discusses specific NAS and SAN products. It highlights the key features of an iSCSI SAN brick platform including software for snapshots, replication, and continuous data protection. Appliance strategies and partnerships are also summarized.
Integração do Zabbix com Testes AutomatizadosRobert Silva
Este documento apresenta como integrar testes automatizados com o Zabbix para agregar valor à ferramenta de monitoramento. Ele discute os tipos de testes, TDD e BDD e demonstra um exemplo prático usando Behave, Selenium e Zabbix para validar as funcionalidades de cadastro e login de um novo sistema EAD.
IBM Spectrum scale object deep dive trainingSmita Raut
This document provides an overview and agenda for a presentation on object storage capabilities in IBM Spectrum Scale. The summary includes:
1. The agenda covers object protocol, administration including installation methods, object authentication, storage policies, unified file and object, multiregion, S3, creating containers/buckets and objects, and problem determination.
2. Administration of object protocol can be done through the Spectrum Scale installation toolkit or CLI commands. This includes enabling features like S3 and multiregion.
3. Authentication for object access can be configured with options like Active Directory, LDAP, local authentication, or an external Keystone service.
This document provides an overview of various data storage technologies including RAID, DAS, NAS, and SAN. It discusses RAID levels like RAID 0, 1, 5 which provide data striping and redundancy. Direct attached storage (DAS) connects directly to servers but cannot be shared, while network attached storage (NAS) uses file sharing protocols over IP networks. Storage area networks (SAN) use dedicated storage networks like Fibre Channel and iSCSI to provide block-level access to consolidated storage. The key is choosing the right solution based on capacity, performance, scalability, availability, data protection needs, and budget.
Vincent Van der Kussen discusses KVM and related virtualization tools. KVM is a kernel module that allows Linux to function as a hypervisor. It supports x86, PowerPC and s390 architectures. Key tools discussed include libvirt (the virtualization API), virsh (command line tool for libvirt), Qemu (runs virtual machines), and virt-tools like virt-install. The document provides an overview of using these tools to manage virtual machines and storage.
This document discusses disk quotas, procfs, sysfs, and process information on Linux systems. It provides information on setting up and using disk quotas, describes the purpose and structure of the procfs and sysfs filesystems, and lists various files and directories that can be found under procfs for obtaining system and process information. Instructions are given on installing and configuring disk quotas, and examples of files that can be found under procfs and sysfs are provided.
This document provides an overview of OpenStack. It begins with session goals of making the audience familiar with OpenStack, its community and architecture. It then covers the history, terminology, services, architecture, installation methods and risks. Key components discussed include Nova (compute), Neutron (networking), Cinder (block storage), Swift (object storage), Glance (image repository), Keystone (identity), Horizon (dashboard) and Heat (orchestration). The document provides details on each component and the OpenStack project timeline.
The document discusses Linux file security and permissions. It covers users and groups, file ownership and permissions, and tools for managing them like useradd, chown, chmod, and ACLs. Key points include each user having a unique UID and belonging to groups with GIDs. File permissions are controlled by the user, group and other access modes. Tools like chmod and ACLs provide advanced permission control beyond the standard user/group/other model.
Red Hat OpenStack - Open Cloud InfrastructureAlex Baretto
This document provides an overview of Red Hat OpenStack. It discusses market dynamics driving adoption of cloud infrastructure, describes Red Hat's leadership and contributions to the OpenStack community, reviews the core OpenStack components, and demonstrates how an instance is launched across multiple OpenStack services. Red Hat brings enterprise-grade support, stability, and lifecycle management to OpenStack through Red Hat OpenStack.
This document discusses using Grafana to optimize visualization of metrics from Prometheus in a dynamic environment. It describes deploying multiple Prometheus instances to monitor over 100 instances per service across various services running on EC2. Key Grafana features discussed include templating to dynamically filter dashboards, panel repetition to show multiple graphs, and scripted dashboards to generate dashboards from JSON definitions. The document provides examples of using these features to create service trend dashboards, dynamically refresh dashboards based on time range changes, switch data sources, and generate alert dashboards from Prometheus alert views.
O documento descreve o sistema operativo Arch Linux, incluindo sua história, filosofia, gestor de pacotes Pacman, versões em rolling release e repositório comunitário AUR. Aborda também dez comandos Linux como cd, rm, ls, pwd, passwd, chown, man, mkdir, mv e date.
Zabbix: Uma ferramenta para Gerenciamento de ambientes de T.IAécio Pires
Zabbix é uma ferramenta Open Source e multiplataforma. Tem apenas uma versão que é considerada de classe Enterprise e gratuita, sendo utilizada para monitorar e gerenciar a disponibilidade e o desempenho de aplicações, ativos e serviços de rede. Nesta palestra serão apresentadas as características, funcionalidades, as novidades da última versão, os componentes do Zabbix e será feito um "passeio" pela interface web da ferramenta. Na palestra também será falado sobre o livro "De A a Zabbix", escrito por mim, Adail Spinola e André Déo, lançado em fevereiro/2015. O livro ensina a usar desde recursos básicos a avançados.
O documento discute sistemas distribuídos e paralelos. Ele explica que o poder de processamento das máquinas vem crescendo rapidamente e que as máquinas estão cada vez mais interligadas. Sistemas e aplicações estão se tornando mais complexos com maior carga, usuários e demandas por desempenho e confiabilidade. A computação distribuída e paralela permitem executar partes de uma aplicação simultaneamente para atender essas demandas.
[오픈소스컨설팅] Red Hat ReaR (relax and-recover) Quick GuideJi-Woong Choi
본 문서는 RHEL에 내장된 재해복구솔루션 ReaR (Relax and Recover)를 이용하여 OS 영역의 데이터를 백업하고 복구하는 방법을 다루고 있습니다. ReaR는 iso를 비롯한 다양한 백업 데이터 포맷을 지원하나, 이 문서에서는 CD/DVD 미디어 반입/보관이 보안상 대부분 허용되지 않는 기업 환경에서도 원활히 사용할 수 있는 PXE boot를 지원하는 포맷으로 ReaR 백업 데이터를 생성하고 복구하는 방법만을 자세히 설명합니다.
This document provides an overview and tutorial of the pfSense firewall software. It discusses the history and evolution of pfSense from earlier firewall projects. Key features of pfSense are highlighted such as its customized FreeBSD distribution tailored for firewall and routing use. Hardware requirements, popular hardware platforms, installation methods, and initial configuration steps are outlined. Advanced functions like VPN, NAT, firewall rules, aliases, and multi-WAN configurations are also summarized.
This document provides an introduction and overview of Ansible, an open-source automation tool. It discusses how Ansible uses an agentless architecture with YAML files to automate configuration management and deployment tasks across multiple servers. The document also outlines key Ansible concepts like inventory files, modules, playbooks and components that make up playbooks like tasks, handlers, templates and roles.
Este documento apresenta o Zabbix, um software livre e gratuito para monitoramento de rede. O Zabbix permite monitorar a disponibilidade e desempenho de infraestrutura de rede e aplicações de forma distribuída. Foi criado em 1998 por Alexei Vladishev e hoje possui mais de 2 milhões de downloads. O Zabbix tem agentes para diversas plataformas, suporte a protocolos como SNMP, e permite o envio de alertas por email, SMS e scripts.
[발표자료] 오픈소스 Pacemaker 활용한 zabbix 이중화 방안(w/ Zabbix Korea Community) 동현 김
Pacemaker is an open source high-availability and load balancing stack for Linux. It provides unified configuration and management of cluster resources through tools like pcs and crmsh. The document discusses installing and configuring the necessary Pacemaker components - Pacemaker, Corosync, SBD and fence agents - on nodes to enable high availability of a Zabbix server through active-passive replication and fencing. A virtual IP will be configured to fail over between nodes when the active node fails.
This document summarizes a presentation about Ceph, an open-source distributed storage system. It discusses Ceph's introduction and components, benchmarks Ceph's block and object storage performance on Intel architecture, and describes optimizations like cache tiering and erasure coding. It also outlines Intel's product portfolio in supporting Ceph through optimized CPUs, flash storage, networking, server boards, software libraries, and contributions to the open source Ceph community.
Não espere seu sistema ser invadido para torná-lo a prova de balas. Antecipe-se e tome as medidas preventivas para proteger seus dados, sistemas e sua reputação profissional. Conheça alguns dos principais recursos para fortalecer a segurança de servidores Linux e minimizar riscos e ameaças de possíveis invasões.
Monitoramento de Vulnerabilidades com Zabbix, RHEL e Yum Security PluginAlessandro Silva
Vulnerabilidade é uma falha no desenvolvimento de software que pode ser explorada por um potencial atacante para ganhar acesso à sua rede ou sistema. O uso de serviços mal configurados, senhas fracas e a presença de pacotes que contenham bugs ou falhas de segurança são brechas que podem ser exploradas a qualquer momento. O Zabbix Security Insights é uma solução que implementa o monitoramento de vulnerabilidades usando o Zabbix, o recurso nativo conhecido como UserParameter e o plugin de segurança do Yum, disponível no Red Hat Enterprise Linux/CentOS/Fedora e distribuições derivadas, para coletar informações sobre as vulnerabilidades e posteriormente gerar um dashboard com visões de segurança, para o melhor gerenciamento e conformidade. Através de uma apresentação e posteriormente uma demo, Administradores de Sistemas e Gestores de TI serão capazes de entender como usar a solução Zabbix Security Insights para monitorar proativamente as vulnerabilidades e minimizar o risco de possíveis invasões por falhas de segurança já conhecidas.
The document provides an overview of storage technology options including network attached storage (NAS), storage area networks (SANs), and discusses specific NAS and SAN products. It highlights the key features of an iSCSI SAN brick platform including software for snapshots, replication, and continuous data protection. Appliance strategies and partnerships are also summarized.
Integração do Zabbix com Testes AutomatizadosRobert Silva
Este documento apresenta como integrar testes automatizados com o Zabbix para agregar valor à ferramenta de monitoramento. Ele discute os tipos de testes, TDD e BDD e demonstra um exemplo prático usando Behave, Selenium e Zabbix para validar as funcionalidades de cadastro e login de um novo sistema EAD.
IBM Spectrum scale object deep dive trainingSmita Raut
This document provides an overview and agenda for a presentation on object storage capabilities in IBM Spectrum Scale. The summary includes:
1. The agenda covers object protocol, administration including installation methods, object authentication, storage policies, unified file and object, multiregion, S3, creating containers/buckets and objects, and problem determination.
2. Administration of object protocol can be done through the Spectrum Scale installation toolkit or CLI commands. This includes enabling features like S3 and multiregion.
3. Authentication for object access can be configured with options like Active Directory, LDAP, local authentication, or an external Keystone service.
This document provides an overview of various data storage technologies including RAID, DAS, NAS, and SAN. It discusses RAID levels like RAID 0, 1, 5 which provide data striping and redundancy. Direct attached storage (DAS) connects directly to servers but cannot be shared, while network attached storage (NAS) uses file sharing protocols over IP networks. Storage area networks (SAN) use dedicated storage networks like Fibre Channel and iSCSI to provide block-level access to consolidated storage. The key is choosing the right solution based on capacity, performance, scalability, availability, data protection needs, and budget.
Vincent Van der Kussen discusses KVM and related virtualization tools. KVM is a kernel module that allows Linux to function as a hypervisor. It supports x86, PowerPC and s390 architectures. Key tools discussed include libvirt (the virtualization API), virsh (command line tool for libvirt), Qemu (runs virtual machines), and virt-tools like virt-install. The document provides an overview of using these tools to manage virtual machines and storage.
This document discusses disk quotas, procfs, sysfs, and process information on Linux systems. It provides information on setting up and using disk quotas, describes the purpose and structure of the procfs and sysfs filesystems, and lists various files and directories that can be found under procfs for obtaining system and process information. Instructions are given on installing and configuring disk quotas, and examples of files that can be found under procfs and sysfs are provided.
This document provides an overview of OpenStack. It begins with session goals of making the audience familiar with OpenStack, its community and architecture. It then covers the history, terminology, services, architecture, installation methods and risks. Key components discussed include Nova (compute), Neutron (networking), Cinder (block storage), Swift (object storage), Glance (image repository), Keystone (identity), Horizon (dashboard) and Heat (orchestration). The document provides details on each component and the OpenStack project timeline.
The document discusses Linux file security and permissions. It covers users and groups, file ownership and permissions, and tools for managing them like useradd, chown, chmod, and ACLs. Key points include each user having a unique UID and belonging to groups with GIDs. File permissions are controlled by the user, group and other access modes. Tools like chmod and ACLs provide advanced permission control beyond the standard user/group/other model.
Red Hat OpenStack - Open Cloud InfrastructureAlex Baretto
This document provides an overview of Red Hat OpenStack. It discusses market dynamics driving adoption of cloud infrastructure, describes Red Hat's leadership and contributions to the OpenStack community, reviews the core OpenStack components, and demonstrates how an instance is launched across multiple OpenStack services. Red Hat brings enterprise-grade support, stability, and lifecycle management to OpenStack through Red Hat OpenStack.
This document discusses using Grafana to optimize visualization of metrics from Prometheus in a dynamic environment. It describes deploying multiple Prometheus instances to monitor over 100 instances per service across various services running on EC2. Key Grafana features discussed include templating to dynamically filter dashboards, panel repetition to show multiple graphs, and scripted dashboards to generate dashboards from JSON definitions. The document provides examples of using these features to create service trend dashboards, dynamically refresh dashboards based on time range changes, switch data sources, and generate alert dashboards from Prometheus alert views.
O documento descreve o sistema operativo Arch Linux, incluindo sua história, filosofia, gestor de pacotes Pacman, versões em rolling release e repositório comunitário AUR. Aborda também dez comandos Linux como cd, rm, ls, pwd, passwd, chown, man, mkdir, mv e date.
Zabbix: Uma ferramenta para Gerenciamento de ambientes de T.IAécio Pires
Zabbix é uma ferramenta Open Source e multiplataforma. Tem apenas uma versão que é considerada de classe Enterprise e gratuita, sendo utilizada para monitorar e gerenciar a disponibilidade e o desempenho de aplicações, ativos e serviços de rede. Nesta palestra serão apresentadas as características, funcionalidades, as novidades da última versão, os componentes do Zabbix e será feito um "passeio" pela interface web da ferramenta. Na palestra também será falado sobre o livro "De A a Zabbix", escrito por mim, Adail Spinola e André Déo, lançado em fevereiro/2015. O livro ensina a usar desde recursos básicos a avançados.
O documento discute sistemas distribuídos e paralelos. Ele explica que o poder de processamento das máquinas vem crescendo rapidamente e que as máquinas estão cada vez mais interligadas. Sistemas e aplicações estão se tornando mais complexos com maior carga, usuários e demandas por desempenho e confiabilidade. A computação distribuída e paralela permitem executar partes de uma aplicação simultaneamente para atender essas demandas.
[오픈소스컨설팅] Red Hat ReaR (relax and-recover) Quick GuideJi-Woong Choi
본 문서는 RHEL에 내장된 재해복구솔루션 ReaR (Relax and Recover)를 이용하여 OS 영역의 데이터를 백업하고 복구하는 방법을 다루고 있습니다. ReaR는 iso를 비롯한 다양한 백업 데이터 포맷을 지원하나, 이 문서에서는 CD/DVD 미디어 반입/보관이 보안상 대부분 허용되지 않는 기업 환경에서도 원활히 사용할 수 있는 PXE boot를 지원하는 포맷으로 ReaR 백업 데이터를 생성하고 복구하는 방법만을 자세히 설명합니다.
This document provides an overview and tutorial of the pfSense firewall software. It discusses the history and evolution of pfSense from earlier firewall projects. Key features of pfSense are highlighted such as its customized FreeBSD distribution tailored for firewall and routing use. Hardware requirements, popular hardware platforms, installation methods, and initial configuration steps are outlined. Advanced functions like VPN, NAT, firewall rules, aliases, and multi-WAN configurations are also summarized.
This document provides an introduction and overview of Ansible, an open-source automation tool. It discusses how Ansible uses an agentless architecture with YAML files to automate configuration management and deployment tasks across multiple servers. The document also outlines key Ansible concepts like inventory files, modules, playbooks and components that make up playbooks like tasks, handlers, templates and roles.
Este documento apresenta o Zabbix, um software livre e gratuito para monitoramento de rede. O Zabbix permite monitorar a disponibilidade e desempenho de infraestrutura de rede e aplicações de forma distribuída. Foi criado em 1998 por Alexei Vladishev e hoje possui mais de 2 milhões de downloads. O Zabbix tem agentes para diversas plataformas, suporte a protocolos como SNMP, e permite o envio de alertas por email, SMS e scripts.
[발표자료] 오픈소스 Pacemaker 활용한 zabbix 이중화 방안(w/ Zabbix Korea Community) 동현 김
Pacemaker is an open source high-availability and load balancing stack for Linux. It provides unified configuration and management of cluster resources through tools like pcs and crmsh. The document discusses installing and configuring the necessary Pacemaker components - Pacemaker, Corosync, SBD and fence agents - on nodes to enable high availability of a Zabbix server through active-passive replication and fencing. A virtual IP will be configured to fail over between nodes when the active node fails.
This document summarizes a presentation about Ceph, an open-source distributed storage system. It discusses Ceph's introduction and components, benchmarks Ceph's block and object storage performance on Intel architecture, and describes optimizations like cache tiering and erasure coding. It also outlines Intel's product portfolio in supporting Ceph through optimized CPUs, flash storage, networking, server boards, software libraries, and contributions to the open source Ceph community.
Não espere seu sistema ser invadido para torná-lo a prova de balas. Antecipe-se e tome as medidas preventivas para proteger seus dados, sistemas e sua reputação profissional. Conheça alguns dos principais recursos para fortalecer a segurança de servidores Linux e minimizar riscos e ameaças de possíveis invasões.
Monitoramento de Vulnerabilidades com Zabbix, RHEL e Yum Security PluginAlessandro Silva
Vulnerabilidade é uma falha no desenvolvimento de software que pode ser explorada por um potencial atacante para ganhar acesso à sua rede ou sistema. O uso de serviços mal configurados, senhas fracas e a presença de pacotes que contenham bugs ou falhas de segurança são brechas que podem ser exploradas a qualquer momento. O Zabbix Security Insights é uma solução que implementa o monitoramento de vulnerabilidades usando o Zabbix, o recurso nativo conhecido como UserParameter e o plugin de segurança do Yum, disponível no Red Hat Enterprise Linux/CentOS/Fedora e distribuições derivadas, para coletar informações sobre as vulnerabilidades e posteriormente gerar um dashboard com visões de segurança, para o melhor gerenciamento e conformidade. Através de uma apresentação e posteriormente uma demo, Administradores de Sistemas e Gestores de TI serão capazes de entender como usar a solução Zabbix Security Insights para monitorar proativamente as vulnerabilidades e minimizar o risco de possíveis invasões por falhas de segurança já conhecidas.
O documento fornece uma introdução ao sistema de monitoramento Zabbix e suas funcionalidades. Em 3 frases ou menos:
O documento apresenta o sistema de monitoramento Zabbix, discutindo seu histórico, arquitetura, componentes e funcionalidades como monitoramento de desempenho, aplicações e dispositivos de rede. O palestrante também discute tópicos como implantação, desempenho e modelos de negócio para Zabbix.
O documento fornece uma visão geral do DNS, discutindo sua implementação no Linux usando o software Bind e os principais arquivos de configuração e bancos de dados. É apresentada a estrutura hierárquica do DNS e os tipos comuns de servidores.
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...Bruno Alexandre
Este documento resume uma palestra sobre como fortalecer a segurança de servidores Linux. Ele discute a importância de proteger servidores, apresenta conceitos de segurança como confidencialidade, integridade e disponibilidade. Ele também fornece detalhes sobre como configurar ferramentas como SSH e OSSEC HIDS para monitoramento e detecção de intrusos.
i-TEC surgiu com o objectivo de se distinguir pela inovação dos seus produtos, assim como pelos seus padrões de qualidade aliados às novas tecnologias e novos materiais.
Foi desenvolvida de forma a criar soluções personalizadas às necessidades específicas, sendo inovadora na adaptação de uma gama de controlo de acessos com toda a garantia de segurança que se exige nos dias de hoje.
Soluções que se distinguem, desde o simples controlo de uma fechadura de armário, com a possibilidade de configuração de todos os acessos sem software ou com software através de programação intuitiva, até ao mais completo sistema de controlo de Hotéis.
Contando também na nossa linha com opções de Código Digital e de Leitura Biométrica.
Reúne uma equipa jovem, com atitudes empreendedoras, de forma a desenvolver e levar até Si as soluções mais inteligentes e adaptadas ao Seu quotidiano.
O documento descreve o projeto pfSense, uma distribuição de firewall gratuita e de código aberto baseada no FreeBSD. O pfSense oferece funcionalidades como firewall, roteamento, balanceamento de carga e VPN através de uma interface gráfica fácil de usar. Ele pode substituir firewalls comerciais e rodar em hardware compatível com FreeBSD.
Este documento descreve como instalar o Zabbix Proxy 3 no PFSense para permitir que usuários do PFSense aproveitem os recursos da nova versão do Zabbix. Ele fornece instruções passo a passo para baixar e executar um script de instalação no PFSense e registrar o proxy no servidor Zabbix.
Instalação e configuração servidor dns - ubuntu serverAparicio Junior
O documento descreve os passos para instalar e configurar um servidor DNS usando o Ubuntu Linux, incluindo: 1) instalar o servidor BIND9, 2) editar arquivos de configuração como named.conf e db.danilo, 3) configurar o nome do servidor, 4) testar a resolução de nomes.
O documento descreve:
1) A estrutura básica de diretórios do sistema Linux, incluindo diretórios como /bin, /boot, /dev, /etc, /home, /lib, /proc, /sys, /root, /sbin, /srv, /tmp, /usr, /var.
2) Os principais tipos de arquivos no Linux, suas características e informações.
3) Vários comandos Linux para manipulação de arquivos e diretórios, como cat, more, less, tac, touch, cp, ln.
Apostila auto cad_2013_2d_comandos_de_desenho_e_modificacaoReinaldo Santos
Este documento fornece um resumo dos principais comandos de desenho e modificação do AutoCAD 2013 em português. Ele explica a interface do usuário e lista vários comandos como linha, arco, círculo e modificação como copiar, espelhar e alongar.
O documento descreve os serviços oferecidos pela empresa Mint Image Group, que integra design e comunicação para oferecer soluções criativas. A empresa possui equipes multidisciplinares de designers, programadores e outros profissionais para desenvolver identidade visual, produtos, embalagens, sites e outras soluções de design e comunicação digital. Seu objetivo é ser uma oficina de ideias que leva o cliente do conceito inicial até o lançamento do produto.
O documento descreve a distribuição Linux Mint, incluindo suas características como o uso do desktop Gnome e ferramentas como "Canais de Software" e "Driver Manager". Detalha também algumas aplicações incluídas como GIMP, Gthumb e Firefox, além de listar referências bibliográficas sobre a distribuição.
O documento lista e descreve comandos Linux Mint comuns, incluindo sudo su para entrar como administrador, apt/apt-get para gerenciar pacotes, apt search para pesquisar pacotes, man para visualizar manuais de comandos, free para ver uso de memória, shutdown para desligar o sistema e clear, tree, useradd, passwd e du para gerenciar arquivos e diretórios.
O documento discute o Linux Mint, uma popular distribuição Linux. Ele fornece uma visão geral do Mint, notando que é baseado no Ubuntu e focado em facilitar o uso do Linux para usuários. Também discute as opções de interface gráfica, facilidade de instalação e atualização, e opiniões positivas de usuários sobre o Mint.
O Linux Mint foi criado em 2006 para produzir um sistema operativo moderno e fácil de usar, é o quarto sistema operativo mais popular atualmente e oferece suporte completo para multimídia, é de código aberto e baseado no Debian/Ubuntu com atualizações seguras e confiáveis.
Apresentação do Curso de GNU/Linux Mint DesktopRobson Vaamonde
O documento discute o sistema operacional Linux Mint, incluindo sua história, características, ambientes gráficos, versões, hardware compatível e periféricos testados. O professor Robson Vaamonde irá conduzir um curso sobre a instalação e configuração do Linux Mint 17.1.
O documento discute ferramentas de segurança, incluindo tipos como ferramentas de segurança de hosts e de rede. Ele também lista e descreve várias ferramentas populares de segurança para Windows e Linux, como Comodo Firewall Pro, NoScript, e distribuições focadas em segurança como BackBox, Kali e Madriux.
CRIPTOGRAFIAS NA HISTÓRIA
- O QUE É E PRA QUE SERVE
- LINHA DO TEMPO
- HIEROGLIFOS (EGIPCIO E MAIA)
- ATBASH
- CIFRA DE CESAR
- CIFRA DE VIGENERE
- MÁQUINA ENIGMA
EXEMPLOS DE CRIPTOGRAFIA
- SIMÉTRICA
- ASSIMÉTRICA
- PROTOCOLOS TSL E SSL
- REDES SEM FIO: WEP, WPA E WPA2
- ASSINATURA DIGITAL E CRIPTOGRAFIA QUÂNTICA
HACKERS E CRACKERS
SEGURANÇA FISICA E VIRTUAL
- VIRUS
- INVASÕES
- CAVALOS DE TROIA
- ANTI SPAM E CAPTCHA
NORMAS E POLITICAS DE SEGURANÇA (-)
- ISO
- COBIT
- REGULAMENTAÇÕES ESPECÍFICAS
- ITIL
- POLÍTICAS DE SEGURANÇA
TÉCNICAS DE INVASÃO
- SPOOFING
- SNIFFER
- DOS E DDOS
- QUEBRA DE SENHAS
PGP
ENGENHARIA SOCIAL
- MÉTODOS
SOFTWARES PARA INVASÃO
- TROJAN
- TURKOJAN, TROJAN FIRST AID KIT E ANTI TROJAN ELITE
- BACKTRACK/KALI
MANIFESTO HACKER
HALL DA FAMA
- MARK ABENE
- SHIMOMURA
- KEVIN MITNICK
- SHIMOMURA X MITNICK
- ALBERT GONZALES
- KEVIN POULSEN
O documento discute estratégias de segurança para servidores Linux, abordando tópicos como: 1) Hardening da instalação, configurações pós-instalação e controle de acessos; 2) Ferramentas de firewall e filtragem de tráfego; 3) Auditoria de acessos e configurações de senhas. O objetivo é fornecer uma visão geral dos principais aspectos de segurança a serem considerados.
Este documento fornece informações sobre segurança em servidores Linux de acordo com a norma ISO 27002. Resume as principais técnicas para garantir a segurança dos servidores, incluindo hardening do sistema, políticas de acesso, monitoramento e logs.
O documento discute procedimentos para fortalecer a segurança de sistemas Linux, incluindo manter softwares e patches atualizados, limitar permissões de arquivos, reforçar login com senhas fortes e instalar ferramentas de detecção de intrusos. Ele também fornece exemplos práticos como proteger o GRUB com senha e habilitar o uso de sudo para administração do sistema.
A apresentação resume os principais serviços e treinamentos oferecidos pela empresa 4Linux, como cursos de Linux à distância e certificações LPI. Ela também destaca a importância do planejamento e hardening na instalação e configuração de servidores Linux, listando diversas técnicas para tornar o sistema mais seguro, como particionamento adequado, uso de RAID, configurações de senha, remoção de serviços desnecessários e limitação de recursos para usuários.
Este documento fornece instruções sobre como proteger sistemas disponibilizados na web. Ele descreve uma metodologia chamada PDHM (Planejar, Implantar, Fortalecer, Monitorar) para garantir a segurança dos sistemas, incluindo remover serviços desnecessários, usar senhas fortes, monitorar atividades e detectar intrusões. Ferramentas como Ossec HIDS, Munin e Nmap são recomendadas para monitoramento e detecção de ameaças.
Aceleração em Hardware para OpenSSL em Sistemas Embarcados: Introdução e conc...Bruno Castelucci
-> Introdução - aceleração de hardware para OpenSSL em sistemas embarcados.
1) Sistema embarcados.
2) Aceleradores de hardware
3) SSL - OpenSSL
4) Linux
5) Acelerando
6) IPSec, DPI e segurança sistemica
7) Conclusões
8) Referências
A) Referência de chamadas de código para cifrador AES.
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...Jeronimo Zucco
1. O documento discute a implementação da pilha ELK (Elasticsearch, Logstash, Kibana) para centralizar logs e detectar incidentes de segurança nos frontends Nginx da UCS.
2. É descrita a estrutura de rede da UCS e como a pilha ELK foi utilizada para criar dashboards e visualizações que permitem monitorar e identificar ataques.
3. O documento também fornece detalhes sobre como configurar o Nginx para bloquear acessos maliciosos e sobre as funcionalidades avançadas disponíveis no X
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...Jeronimo Zucco
O documento descreve como a UCS implementou a pilha ELK (Elasticsearch, Logstash, Kibana) para centralizar logs, criar dashboards de monitoramento e detectar incidentes de segurança nos frontends Nginx. Ele detalha a estrutura de rede da UCS, a rotina inicial de notificação de incidentes, a centralização de logs com ELK e como configurar o Nginx para bloquear ataques e extrair logs para notificação via Kibana.
O documento descreve a configuração de alta disponibilidade utilizando o Pacemaker e o DRBD. O Pacemaker é usado para implementar failover de serviços como Apache e IP virtual entre dois nós, enquanto o DRBD replica o armazenamento entre os nós para prover alta disponibilidade dos dados.
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLfgsl
Segurança de Informações é uma área abrangente e importante para as corporações, pois visa garantir a continuidade de negócio, zelando da imagem da Empresa perante o mercado. O maior patrimônio das Empresas, sem dúvida nenhuma, são suas informações. E nela, devemos estar sempre atentos para prevenir as ameaças e diminuir os riscos em falhas. Mitigar os riscos, ameaças, falhas ou panes, devemos implementar controles no GNU/Linux. Os controles vão desde a nível de kernel até políticas de conta de usuários. Estes controles chamamos de "Hardening Linux". A palestra sobre "Hardening Linux" exibirá as melhores práticas das dezenas de controles a serem aplicados no GNU/Linux e a explicação técnica de como implementá-los, fazendo um paralelo com as normas ISO 27001 e ISO 17799.
O documento fornece um guia passo-a-passo para instalar o MySQL em 10 minutos ou menos. Ele explica como baixar o pacote binário do MySQL, descompactá-lo, criar o usuário e diretórios necessários, configurar as permissões e parâmetros, inicializar o banco de dados e realizar ajustes básicos de segurança antes de deixar o servidor pronto para uso.
O documento discute a administração de redes locais, incluindo configuração de políticas de segurança, backup e restauração de dados, reposição de senhas, sistemas de tolerância a falhas, e relatórios de discos e cópias de segurança. Ele também menciona ferramentas como Edraw, Wireshark, RAC, e Nagios.
O documento discute técnicas de evasão para varreduras de rede com o scanner Nmap para evitar detecção por firewalls e sistemas de detecção de intrusão. Ele apresenta métodos como varreduras indiretas através de intermediários, contornando técnicas de detecção usando pacotes especiais e dificultando a identificação da origem com ruído de rede. O objetivo é testar a segurança da rede de forma ética sem ser detectado.
Este documento fornece instruções para configurar um servidor proxy Squid em Linux. Ele explica como instalar e configurar o Squid para fornecer acesso à Internet para uma rede interna, bloquear sites indesejados e gerar relatórios de uso. Também descreve funções adicionais como restringir acesso por horário e autenticar usuários.
Alta Disponibilidade na Prática utilizando servidores Linuxelliando dias
O documento discute programas livres para alta disponibilidade em servidores, incluindo:
1) Heartbeat que detecta falhas de hosts e gerencia clusters;
2) DRBD que replica discos entre nós através da rede;
3) MON que monitora a disponibilidade de serviços e envia alertas.
O documento discute o que é um firewall e como funciona o Netfilter e IPTables no Linux. Em resumo:
1) Um firewall é um mecanismo de segurança que filtra pacotes de rede de acordo com regras definidas para proteger redes internas.
2) No Linux, o Netfilter e IPTables fornecem recursos de firewall no kernel, permitindo filtrar pacotes e fazer tradução de endereços de rede (NAT).
3) O IPTables permite definir regras usando comandos como -A, -D, -L para adicionar, remover e list
Netfilter e Iptables são ferramentas de firewall para Linux que permitem filtrar pacotes de rede, mascarar endereços e redirecionar portas. Iptables fornece uma interface para configurar as regras de filtragem implementadas pelo kernel Linux através do módulo Netfilter. O documento explica como essas ferramentas funcionam e como podem ser usadas para proteger redes e aplicar políticas de segurança.
2. @alessssilva
Segurança em Servidores Linux
Sobre o palestranteSobre o palestrante
● Bacharel em Informática e Especialista em TI Aplicada a Educação pelo NCE/UFRJ.
● Pós-graduando em Gerência de Segurança da Informação – NCE/UFRJ
● Mais de 10 anos na indústria de TI
● Certificações: LPIC-3, RHCE, RHCSA, Novell CLA e DCTS, Zabbix Certified
Specialist e Zabbix for Large Enviroments.
● Desde 2011 trabalhando com projetos de monitoração com Zabbix.
● Principais interesses:
● Linux e Certificações
● Segurança
● Zabbix
● Drupal
3. @alessssilva
Segurança em Servidores Linux
AgendaAgenda
● Hardening da Instalação
● Mecanismos de proteção
● Controle de acessos
● Fortalecendo serviços
● Soluções de segurança para Linux
● Planejamento do ambiente seguro
● Hardening de Kernel
● Monitoramento
● Planos de Contingência e Recuperação de Desastres
● Certificações em Segurança para Linux
6. @alessssilva
Segurança em Servidores Linux
InstalaçãoInstalação
● Se existe acesso físico à máquina, a segurança é inexistente!
● Acesso ao servidor
– Rack
– Segurança física e controle de acesso
● Fonte redundante
● No-break
● Desabilitar periféricos não usados no setup
● Senha no setup
● Implementar RAID para redundância
– Preferencialmente por hardware (performance)
7. @alessssilva
Segurança em Servidores Linux
InstalaçãoInstalação
● Escolha sua distribuição!
– Confiabilidade
– Suporte
– Atualização
– Estabilidade
8. @alessssilva
Segurança em Servidores Linux
InstalaçãoInstalação
● Qual a fonte da imagem ISO?
– Instalação Minimal/Netinstall
● Particionamento dos discos
– Planejamento do particionamento
● Diminui o tempo de acesso aos dados
● Facilita a recuperação de desastres
● Minimiza problemas de indisponibilidade por espaço em disco
● Swap
– Prefira não usar. Se não tiver escolha, usar SSD!
10. @alessssilva
Segurança em Servidores Linux
InstalaçãoInstalação
● Instale apenas os pacotes necessários
● Pacotes do sistema precisam vir de fonte segura
12. @alessssilva
Segurança em Servidores Linux
Segurança no Acesso à RedeSegurança no Acesso à Rede
● Retirar a máquina da rede
● Identificar os serviços com suporte
● Alterar a configuração do sistema de modo que apenas os
serviços necessários estejam ativos
– Dependência
● Reinicializar o sistema
● Verificar se serviços desnecessários estão sendo executados
● Retornar a máquina à rede e verificar a conectividade
15. @alessssilva
Segurança em Servidores Linux
Ativando e desativando serviçosAtivando e desativando serviços
● Debian
– rcconf
– chkconfig
● Red Hat
– ntsysv
– chkconfig
root@thinktoy:/home/alessandro# chkconfig --list apache2
apache2 0:off 1:off 2:on 3:on 4:on 5:on 6:off
16. @alessssilva
Segurança em Servidores Linux
Ativando e desativando serviçosAtivando e desativando serviços
● Debian
– rcconf
– chkconfig
● Red Hat
– ntsysv
– chkconfig
root@thinktoy:/home/alessandro# chkconfig --list apache2
apache2 0:off 1:off 2:on 3:on 4:on 5:on 6:off
17. @alessssilva
Segurança em Servidores Linux
Ativando e desativando serviçosAtivando e desativando serviços
HTOP ( Hisham's Top) – Criado por um brasileiro
● netstat
● ps
● top, htop, nmon
● lsof, pgrep
NMON
18. @alessssilva
Segurança em Servidores Linux
Ativando e desativando serviçosAtivando e desativando serviços
root@myserver [~]# netstat -tnap
Conexões Internet Ativas (servidores e estabelecidas)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:40001 0.0.0.0:* OUÇA 6041/java
tcp 0 0 0.0.0.0:1 0.0.0.0:* OUÇA 4904/portsentry
tcp 0 0 0.0.0.0:993 0.0.0.0:* OUÇA 4332/dovecot
tcp 0 0 0.0.0.0:10050 0.0.0.0:* OUÇA 4017/zabbix_agentd
tcp 0 0 0.0.0.0:80 0.0.0.0:* OUÇA 2412/httpd
tcp 0 0 0.0.0.0:995 0.0.0.0:* OUÇA 4332/dovecot
root@myserver [~]# netstat -napu
Conexões Internet Ativas (servidores e estabelecidas)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 184.172.190.78:53 0.0.0.0:* 3561/named
udp 0 0 184.172.190.79:53 0.0.0.0:* 3561/named
udp 0 0 184.172.190.80:53 0.0.0.0:* 3561/named
TCP
UDP
19. @alessssilva
Segurança em Servidores Linux
Limitando os recursosLimitando os recursos
● Limitando o acesso root aos terminais
– /etc/securetty
● Forçar logout para o usuário
– .bashrc ou /etc/profile
● TMOUT=360
● Limitando o acesso aos recursos
– /etc/security/limits.conf
– Evite o forkbomb
● :(){ :|: &};:
20. @alessssilva
Segurança em Servidores Linux
Limitando os recursosLimitando os recursos
● Máximo de processos executados simultaneamente
● Tempo máximo de utilização da CPU
● Máximo de arquivos que podem ser criados pelo usuário
root@thinktoy:/home/alessandro# ulimit -u
46601
root@thinktoy:/home/alessandro# ulimit -t
Unlimited
root@thinktoy:/home/alessandro# ulimit -f
unlimited
21. @alessssilva
Segurança em Servidores Linux
Firewalls e FiltrosFirewalls e Filtros
● Servir como separação entre sua rede e a Internet
● Permitir o uso legítimo da rede
● Impedir tráfego indevido ao servidor (malicioso)
● Iptables
– Avaliação
– Busca de regras existentes
● # iptables -nL
– Identificação das necessidades de proteção
– Definição da estratégia
23. @alessssilva
Segurança em Servidores Linux
Firewalls e FiltrosFirewalls e Filtros
● Endian
● Smoothwall
● BrasilFW
● Vyatta
● ClearOS
● Untangle
● PFSense (Free BSD)
24. @alessssilva
Segurança em Servidores Linux
Firewalls e FiltrosFirewalls e Filtros
● Utilização de Proxy
– Performance
– Controle de acesso
● Autenticação e autorização
● Filtro de conteúdo (por página, por usuário...)
● Relatórios de acessos com SARG
25. @alessssilva
Segurança em Servidores Linux
TCP WrappersTCP Wrappers
● TCP Wrapers
– Ferramenta para autorizar ou negar acesso aos serviços.
– Utiliza a biblioteca Libwrap
– Para fins de controle utiliza os arquivos:
● /etc/hosts.allow
● /etc/hosts.deny
– Pode ser utilizada em conjunto com firewall
26. @alessssilva
Segurança em Servidores Linux
Controle de AcessosControle de Acessos
● MAC (Mandatory Access Control)
– SELINUX (Security-Enhanced Linux)
– Padrão no Red Hat Enterprise Linux
● DAC (Discricionary Access Control)
– Chmod
– Chattr
● ACL (Access Control List)
– Filesystem
27. @alessssilva
Segurança em Servidores Linux
● Permissões
● Permissões especiais
– SUID, SGID e Stick bit
● Atributos
– chattr, lsattr
● Revisão nos controles de acesso
● SUDO
root@thinktoy:/home/alessandro# find / -type d -perm -1000 -ls
6422529 4 drwxrwxrwt 20 root root 4096 Jun 13 12:20 /tmp
6438915 4 drwxrwxrwt 2 root root 4096 Jun 13 12:19 /tmp/.ICE-unix
Controle de AcessosControle de Acessos
28. @alessssilva
Segurança em Servidores Linux
AuditoriaAuditoria
● Visualizando os últimos comandos
– apt-get install Acct
– lastcomm
● Registrando todos os comandos
– apt-get install snoopy
– tail -f /var/log/auth
root@thinktoy:~# lastcomm root
ls root pts/2 0.00 secs Sat Jun 22 13:30
cat root pts/2 0.00 secs Sat Jun 22 13:30
bash F root pts/2 0.00 secs Sat Jun 22 13:30
ifconfig root pts/2 0.00 secs Sat Jun 22 13:29
apt-get root pts/2 2.03 secs Sat Jun 22 13:29
dpkg root pts/2 0.00 secs Sat Jun 22 13:29
29. @alessssilva
Segurança em Servidores Linux
AuditoriaAuditoria
Política de senhas
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
LOGIN_RETRIES 5
LOGIN_TIMEOUT 60
LOGIN_TIMEOUT 60
/etc/login.defs
Última mudança de senha : Mar 16, 2013
Senha expira : nunca
Senha inativa : nunca
Conta expira : nunca
Número mínimo de dias entre troca de senhas : 0
Número máximo de dias entre troca de senhas : 99999
Número de dias de avisos antes da expiração da senha : 7
root@thinktoy:/home/alessandro# chage -l alessandro
30. @alessssilva
Segurança em Servidores Linux
AuditoriaAuditoria
root@espiritolivre [~]# who
root pts/0 2013-06-29 12:53 (186.241.100.67)
root pts/1 2013-06-29 12:08 (200.97.200.182)
root@espiritolivre [~]# last
root pts/0 186.241.219.201 Sat Jun 29 12:53 still logged in
root pts/1 200.97.237.48 Sat Jun 29 12:08 still logged in
root pts/0 146.164.2.145 Wed Jun 26 10:37 - 11:45 (01:07)
root pts/0 173.193.65.163 Tue Jun 25 16:23 - 16:26 (00:03)
Who
Last
31. @alessssilva
Segurança em Servidores Linux
Segurança no Armazenamento de DadosSegurança no Armazenamento de Dados
● OpenSSL
● GPG
– Útil para validar a autenticidade e integridade dos pacotes
● Criptografia do Filesystem
– Um notebook do EB foi esquecido em um taxi com informações
confidenciais. E agora?
puppy# gpg --verify gnupg-1.2.4.tar.bz2.sig
gpg: Signature made Wed 24 Dec 2003 07:24:58 EST using DSA key ID 57548DCD
gpg: Good signature from "Werner Koch (gnupg sig) <dd9jn@gnu.org>"
gpg: checking the trustdb
gpg: no ultimately trusted keys found
gpg: WARNING: This key is not certified with a trusted signature!
There is no indication that the signature belongs to the owner.
Fingerprint: 6BD9 050F D8FC 941B 4341 2DCC 68B7 AB89 5754 8DCD
32. @alessssilva
Segurança em Servidores Linux
Segurança no Armazenamento de DadosSegurança no Armazenamento de Dados
● Backup
● Estratégia de backup
– Storage, fita …
– Rotina de backup
– Software para backup
● Bacula
● Amanda
33. @alessssilva
Segurança em Servidores Linux
Autenticação de usuários e gruposAutenticação de usuários e grupos
● PAM
● OpenLDAP
● Politica de controle de acesso
– Existe processo para desabilitar um usuário desligado da empresa?
● Política de senhas
– Senhas seguras com letras, números e caracteres especiais
– Evitar senhas do tipo: empresa@2013, 123qwe, 123456, etc.
– Senhas conhecidas por constarem em wordlists
● Engenharia social
34. @alessssilva
Segurança em Servidores Linux
Serviços – Alguns dos riscosServiços – Alguns dos riscos
● Serviços inseguros
– Denial of Service Attack (DoS)
– Distributed Denial of Service Attack (DDoS)
– Script Vunerability Attacks
– Buffer Overflow Attacks
35. @alessssilva
Segurança em Servidores Linux
Serviços – SSHServiços – SSH
● Manter atualizado!
● Acesso remoto ao shell dos servidores
● Tráfego criptografado
● Faz tunelamento com segurança
● Autenticação por senha ou certificado
● Indispensável para SysAdmins Linux
36. @alessssilva
Segurança em Servidores Linux
Serviços – SSHServiços – SSH
● /etc/ssh/sshd_config
● USE CHAVES!!!
Port 22
Protocol 2
PermitRootLogin yes
LoginGraceTime 60
PermitEmptyPasswords no
Allow users tux linus
Banner /etc/issue
37. @alessssilva
Segurança em Servidores Linux
Serviços – SSHServiços – SSH
● Banner de boas-vindas
– /etc/issue e /etc/issue.net
root@APPTDO43SPOAS:~# cat /etc/issue.net
Debian GNU/Linux 6.0
● Configure no SSH
– /etc/ssh/sshd_config
Banner /etc/issue
● Conceito deve ser aplicado a outros serviços
38. @alessssilva
Segurança em Servidores Linux
FTP - VSFTPDFTP - VSFTPD
● VSFTPD (Very Secure FTP Daemon)
● Existem várias soluções
– ProFTPD, Pure-Ftpd, etc.
● Performance
● Estabilidade
● Amplamente utilizado
● Manter atualizado!
● Enjaular (CHROOT)
39. @alessssilva
Segurança em Servidores Linux
FTP - VSFTPDFTP - VSFTPD
● ftpd_banner=FTP Server
– Esconder banner
● anonymous_enable=NO
– Desabilita o login anônimo
● write_enable=YES
– Permite que o usuário grave informações
● userlist_enable=YES
– userlist_file=/etc/vsftpd.allowed_users
● chroot_local_user=YES
– Enjaule usuários
40. @alessssilva
Segurança em Servidores Linux
FTP - VSFTPDFTP - VSFTPD
● Controle de acesso
– /etc/ftpusers
● Prevenindo ataques de DoS
– ls_recurse_enable=NO
– max_clients=200
– max_per_ip=4
● FTP com SSL
41. @alessssilva
Segurança em Servidores Linux
Web ServerWeb Server
● Manter o software atualizado!
● Adicionar suporte a conexões criptografadas
● Observar os módulos de segurança disponíveis
– Mod_security, mod_evasive, mod_access, mod_authz
● Ajuste das configurações adequadamente
● Diretórios restritos
– .htaccess e htpasswd
● Testar as configurações antes de aplicar em produção
– apachectl configtest
– apachectl graceful!
43. @alessssilva
Segurança em Servidores Linux
Tunando o KernelTunando o Kernel
● /proc/sys/net/ipv4/tcp_syncookies
– Tenta evitar SYN ATACK que causa uma negação de serviço
● /proc/sys/net/ipv4/ip_default_ttl
– Engana o “OS guessing” em scans
● /proc/sys/net/ipv4/icmp_echo_ignore_all
– Bloqueio de pacotes ICMP
● /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
– Ignora mensagens enviadas para brodcast
● /proc/sys/net/ipv6/conf/all/disable_ipv6
– Desabilita IPV6
44. @alessssilva
Segurança em Servidores Linux
Software de apoio a HardeningSoftware de apoio a Hardening
● Fortalecimento da instalação
– Bastile
– Harden
45. @alessssilva
Segurança em Servidores Linux
Gestão de AtualizaçõesGestão de Atualizações
● Aplicar atualizações
– A maior parte dos ataques bem-sucedidos ocorrem em softwares não
atualizados
● Monitoramento após a aplicação
● Gestão de mudanças
● Viabilidade
46. @alessssilva
Segurança em Servidores Linux
Monitoramento da InfraestruturaMonitoramento da Infraestrutura
● Possíveis Modelos
- Versões enterprise e community
- Tudo incluído
● Open Source de verdade
● Sem add-ons proprietários
● Sem versões enterprise ou demo
47. @alessssilva
Segurança em Servidores Linux
MonitoramentoMonitoramento
Notificações
Controle
Centralizado
Configuração
Status
Checagens
Monitoração SNMP
Monitoração com agente
Monitoração com ping e porta
Dispositivos monitorados
Dispositivos de rede
Servidores com
Agente Zabbix
Servidores sem
Agente Zabbix
48. @alessssilva
Segurança em Servidores Linux
Soluções de Segurança para LinuxSoluções de Segurança para Linux
● TCPDUMP
● Wireshark
● Ngrep
● Ethereal
● Snort
● Tripwire
● Aide
● Netcat
● Nmap
● John the Ripper
● OpenVAS
● CHKRootkit
● OpenVPN
● Backtrack Linux
49. @alessssilva
Segurança em Servidores Linux
BIA - Business Impact AnalisysBIA - Business Impact Analisys
● Quanto tempo pode ficar parado em caso de um incidente?
● Qual o impacto da indisponibilidade no negócio?
● Quais os requisitos mínimos para retorno a normalidade?
● Há contingência?
● Em caso de um desastre, qual o tempo necessário para
retorno a normalidade?
50. @alessssilva
Segurança em Servidores Linux
Planejamento do ambientePlanejamento do ambiente
● Quais serviços serão hospedados?
● Qual os níveis de acesso?
● Quantos usuários terão acesso?
– Quantos simultâneos?
● Qual a criticidade do servidor?
51. @alessssilva
Segurança em Servidores Linux
PCO – Plano de ContingênciaPCO – Plano de Contingência
● Quais os componentes mínimos para manutenção dos
serviços do servidor até o retorno a normalidade?
● Contingência não significa 100% de funcionamento
– 100% significa redundância!
● Contingência pode ser “não fazer nada”
● Contingência pode ser ...
52. @alessssilva
Segurança em Servidores Linux
PRD – Plano de Recuperação de DesastresPRD – Plano de Recuperação de Desastres
● Aplicado ao componente
● Construir ou não um kernel personalizado?
● Kickstart
● Clonezilla
53. @alessssilva
Segurança em Servidores Linux
Especialista em Segurança - LinuxEspecialista em Segurança - Linux
LPIC-2LPIC-1 LPIC-3
Provas 101 e 102 Provas 201 e 202 Prova 301 (core)
LPIC-3
(Especialização)
Security Speciaslist
Certificação LPICertificação LPI
Prova 303
54. @alessssilva
Segurança em Servidores Linux
Certificação em Segurança - LinuxCertificação em Segurança - Linux
RHCSA
RHCERHCE
RHCSARHCSA
RH429RH429
RH423RH423
RH333RH333
Network Services
Directory Services
SELINUX
Certificação Red HatCertificação Red Hat
55. @alessssilva
Segurança em Servidores Linux
ReferênciasReferências
● Hardening Linux – Packet Publisher
● Segurança para Linux, Mc Grall Hill
● Backtrack Linux – Auditora de teste de invasão, CM
● Guia de Segurança do RHEL
● Palestra: Certificação em Linux: O que é e como se certificar
● Palestra: Monitoramento de Infraestrutura com Zabbix
56. @alessssilva
Segurança em Servidores Linux
Obrigado!Obrigado!
Alessandro Silva
E-mail: contato@alessandrosilva.info
Facebook: http://alessandrosillva.info/facebook
Twitter: http://alessandrosilva.info/twitter
Linkedin: http://alessandrosilva.info/linkedin