Feeds:
Posts
Comentários

DNS – Instalação Prática e Rápida

Como foi explicado no artigo anterior como funciona o dns na teoria, nós vamos precisar de doi endereços ips para configurar o dns master e slave. Neste tutorial, irei utilizar o bind9 no ubuntu como teste.

Existem 3 arquivos que somos obrigados a configurar (sendo que 2 teremos que criar). O primeiro a ser modificado é o /etc/bind/named.conf.local, que vai ser onde vamos configurar o arquivo que vai conter as configurações das zonas de nosso servidor dns. A função entre o named.conf e o named.conf.local é as mesmas, e nada impede que seja inserido as zonas diretamente no named.conf, mas é recomendado que você use o arquivo “/etc/bind/named.conf.local” (que é processado como se fosse parte do named.conf principal). A existência deste arquivo separado, visa separar a configuração geral do servidor, da configuração dos domínios, minimizando a possibilidade de erros. Mas, na verdade, o efeito de editar qualquer um dos dois arquivos é o mesmo. Os outros
arquivos que devemos criar / configurar são os arquivos de zona propiramente ditos – esses arquivos podem ter qualquer nome que voce queira – e o arquivo de dns revers (não é obrigatorio, mas é extremamente importante).

Vamos começar pelo named.conf.local. Um modelo simples seria:
zone “fulano.com.br” IN {
type master;
file “/etc/bind/db.zonas”;
allow-transfer { 10.1.1.53; };
};

Vamos entender as linhas do código acima.
Começando pelo zone “fulano.com.br” que indica o domínio que estamos configurando, e que esta registrado na fapesp.
A linha type master server para dizer que é o servidor master.
O file “/etc/bind/db.zonas”; especifica onde está o arquivo de configuração deste domínio. Voce pode salvá-lo em qualquer local.
allo-transfer é usado para o dns secundário (slave) assuma a responsabilidade pelo domínio em caso de problemas com o master.

Algumas observações importantes: Ao registrar um domínio na fapesp, você precisa fornecer dois endereços de dns. Em muitos casos, o segundo DNS não é obrigatório, ele é apenas uma segurança para o caso do primeiro sair fora do ar. Uma opção muito usada para o segundo DNS é pedir para que algum amigo que também possua um servidor dedicado seja seu DNS secundário. Ele precisará apenas adicionar a configuração do seu domínio na configuração do DNS, o
que é rápido e indolor. Caso você não tenha um amigo que possa fornecer um segundo endereço de dns para você, existe mais uma alternativa: conecte-se via modem na hora de fazer o registro, assim você terá dois endereços (o do link e o do modem) e conseguirá concluir o registro. Naturalmente, neste caso, você perde a redundância: se o seu DNS principal cair seu site ficará fora do ar.

Note que nem sempre esta questão da redundância é realmente um problema, pois se o servidor DNS está hospedado no mesmo servidor que seu site, não faz muita diferença ter dois servidores DNS, pois se o servidor principal cair, o site ficará fora do ar de qualquer forma.

Ok, feito isso, podemos criar / configurar o domínio no arquivo /etc/bind/db.zonas como foi falado anteriormente.
@ IN SOA servidor.fulano.com.br. hostmaster.fulano.com.br.(
2008020820 3H 15M 1W 1D )
NS servidor.fulano.com.br.
NS ns2.fualno.com.br.
IN MX 10 servidor.fulano.com.br.
IN MX 20 beltrano.ciclano.com.br.
fulano.com.br. A 10.1.1.53
www A 10.1.1.53
ftp A 10.1.1.53
smtp A 10.1.1.53
ns2 A 10.1.1.54
renato A 200.200.200.200
beltrano IN CNAME renato

Neste arquivo, a formatação é importante. Você pode usar espaços e tabs (ambos tem o mesmo efeito) para organizar as opções, mas existem algumas regras. As linhas “IN SOA” até “IN MX” precisam ficar justificadas (como no exemplo), e você não pode esquecer dos espaços entre as opções. Caso queira incluir comentários, use “;” ao invés de “#”, como em outros arquivos.

Agora vamos intender o código que digitamos acima.
@ IN SOA servidor.fulano.com.br. hostmaster.fulano.com.br. (
O @ indica a origem do domínio e o início da configuração. É sempre usada, assim como em endereço de emails.
O “IN” é abreviação de “internet” e o “SOA” de “Start of autority”. Em seguida vem o nome do servidor (que você checa usando o comando “hostname”), seguido do e-mail de contato do administrador. Note também que existe um ponto depois do “servidor.kurumin.com.br” e do “hostmaster.kurumin.com.br”, que faz parte da configuração. O ponto se refere ao domínio raiz, de responsabilidade dos rootservers.
O 2008020820 é o valor de sincronismo que permite que o servidor dns secundário mantenha-se sincronizado com o principal. Sempre que modificar ou instalar um servidor dns, lembre-se de atualizar esta data.
Os próximos campos 3H 15M 1W 1D ) orientam o dns secundario (caso você tenha um). O primeiro campo indica o tempo que o servidor aguarda entre as atualizações.

Caso ele perceba que o servidor principal está fora do ar, ele tenta fazer uma transferência de zona, ou seja, tenta assumir a responsabilidade sob o domínio. Caso a transferência falhe e o servidor principal continue fora do ar, ele aguarda o tempo especificado no segundo campo (2 horas) e tenta novamente. O terceiro campo indica o tempo máximo que ele pode responder pelo domínio, antes que as informações expirem (1 semana, tempo mais do que suficiente para você arrumar o servidor principal ;) e o tempo mínimo antes de devolver o domínio para o servidor principal quando ele retornar (1 dia).

Muita gente prefere especificar estes valores em segundos. Uma configuração muito comum é separar os valores por linha, incluindo comentários, como em:
2006061645; serial
28800; refresh, seconds
7200; retry, seconds
604800; expire, seconds
86400 ); minimum, seconds

O resultado é exatamente o mesmo. A única diferença é que você vai acabar digitando várias linhas a mais ;).
IN MX 10 servidor.fulano.com.br.
fulano.com.br. A 10.1.1.53

As duas linhas acima mostram quem são as máquinas responsáveis pelo domínio. Se estiver usando dois servidores, é necessário especificar ambos.
A linha “IN MX” é necessária sempre que você pretende usar um servidor de e-mails.
fulano.com.br. A 10.1.1.53
www A 10.1.1.53
ftp A 10.1.1.53
smtp A 10.1.1.53

Nas linhas acima, a primeira linha especifíca o ip do servidor, e as outras três, subdomínios que eu cadastrei. Com isso, estou permitindo que visitantes possam digitar http://ftp.fulano.com.br, http://www.fulano.com.br etc.
A directiva IN CNAME na verdade é apenas um alias (apelido) de beltrano para renato. Com isso, quando você utilizar o subdominio beltrano, na verdade, você será redirecionado para o servidor onde se encontra o dominio renato.
renato A 200.200.200.200
beltrano IN CNAME renato

O DNS reverso é um recurso que permite que outros servidores verifiquem a autenticidade do seu servidor, checando se o endereço IP atual bate com o endereço IP informado pelo servidor DNS. Isso evita que alguém utilize um domínio que não lhe pertence para enviar spam, por exemplo.
Qualquer um pode enviar e-mails colocando no campo do remetente o servidor do seu domínio, mas um servidor configurado para checar o DNS reverso vai descobrir a farsa e classificar os e-mails forjados como spam. O problema é que os mesmos servidores vão recusar seus e-mails, ou classificá-los como spam caso você não configure seu servidor DNS corretamente para responder às checagens de DNS reverso.

No arquivo “/etc/hosts” deve conter duas entradas, uma para a interface de loopback, o 127.0.0.1, e outra para o IP de internet do seu servidor, que está vinculado ao domínio, como em:
127.0.0.1 localhost.localdomain localhost
10.1.1.53 servidor.fulano.com.br servidor

Agora, vamos criar o arquivo que especificamos no named.conf.local. No nosso caso, é o db.fulano.rev
@ IN SOA servidor.fulano.com.br. hostmaster.fulano.com.br. (
2008020820 3H 15M 1W 1D )
NS servidor.fulano.com.br.
NS ns1.fulano.com.br.
53 PTR fulano.com.br.
54 PTR ns1.fulano.com.br.

Esse arquivo é bastante similar ao arquivo de configuração de domínio, porém, ao invés de usar A para relacionar o domínio da cada subdominio ao ip correspondete, usamos a diretiva PTR.

Agora Ja temos um servidor de DNS funcionando. :)

Vamos testar:

dig fulano.com.br@10.1.1.53.

Isso faz com que ele pergunte diretamente ao seu servidor, o que permite testar a configuração imediatamente, sem precisar esperar pela propagação do registro do domínio. Faça o mesmo com o IP do DNS secundário.

E agora o servidor de dns reverso:

dig -x 10.1.1.53.

Funcionamento do DNS na teoria

DNS é ainda a causa das mais belas confusões e pior que também a causa de diversos problemas básicos no provedor de Internet. O DNS é provavelmente o mais importante serviço que define se o serviço do provedor é bom ou ruim. Antes de configurar o DNS precisa entender como que ele funciona, caso contrário sem chance de que isso jamais funcione legal. A entidade responsável pelos serviços de DNS no Brasil é a FAPESP.

Quando você visita um site através de seu navegador ou quando você envia um email, a internet precisa saber em qual servidor o site esta hospedado, para poder responde a solicitação. É aqui que entra em ação o seu servidor DNS. A internet ira procurar o seu DNS Mater, e caso não encontre (pode estar em manutenção), irá buscar os seu servidores slave.

A estrutura hierárquica funciona como uma árvore invertida, sendo que começa pelo servidor raiz e segue pelos TLD (top level domains) que são divididos em Genericos (gtld) usados em todo o mundo e os de código do país (cctld) que possuem extensões de dominios administrados pelos paises. Por exemplo, os domínios terminados em .COM são respeondidos pelos servidores da VeriSign e os .BR são respondidos pelo registro.br. Por segurança, o servidor raiz foi replicado em 13 servidores raizes espalhados pelo mundo e 2 vezes ao dia seu conteúdo é replicado. Desta maneira, quem realmente processa o maior volume de consultas para resolução de nomes são os servidores TLD’s.

Para que um servidor de DNS funcione corretamente, é necessário ter 2 servidores – Master e Slave – isso é exigido por motivo de que um deles possa ficar off-line. Apesar de que os dois servidores dependem um do outro (master e slave) cada um deles pode respender sem a existência do outro. O funcionamento de master e slave é simples. Após o master ter sido devidamente configurado, configura-se o slave especificando quem é o master daquele dominio. A partir de agora, quando precisarmos fazer alguma alteração, faremos no master, pois o slave irá atualizar pelas versões do master. Lembrando que pode existir diversos servidores slaves, mas somente um master.

Algo muito importante no DNS é ter o reverso configurado. O trabalho do DNS reverso é vereficar se realmente o ip que está tentando se comunicar existe. Com isso, é possível bloquear uma boa quantidade de SPAM e também não entrar em nenhuma black list como spammer. Para que a configuração do DNS reverso funcione, será preciso ajuda da teleoperadora que fornece ip para você e seu Provedor. Isso funciona da seguinte forma: o DNS resolve o nome em ip, e o reverso ao contrário, resolve os ip’s em nomes. Para ativar o DNS reverso com a operadora, irá demorar de 2 a 4 dias em média. Nesse período, a rede pode ficar lenta ou com problemas de email.

Para realizar testes de dns, pode-se utilizar o comando lookup. Também pode-se utilizar alguns testes na internet, como dnsstuff.

Configurações adicionais no Ubuntu 7.10 (Gutsy)

Bom, resolvi tomar vergonha na cara, e atualizar esse site ;-). Após baixar e instalar o ubuntu 7.10, notei que ainda assim, precisa de alguns ajustes para funcionar corretamente (no meu ponto de vista).
Bom, primeiramente, vamos precisar instalar alguns pacotes extras, e antes de mais nada, vamos modificar o /etc/apt/sources.list para não precisar mais do cd do ubuntu. Antes de mais nada, faça um bkp do seu sources.list. Algo como:

mv /etc/apt/sources.lit /etc/apt/bkp_sources.list
vi /etc/apt/sources.list
e insira o seguinte conteúdo:

# deb cdrom:[Ubuntu 7.10 _Gutsy Gibbon_ - Release i386 (20071016)]/ gutsy main restricted
deb http://br.archive.ubuntu.com/ubuntu/ gutsy main restricted
deb-src http://br.archive.ubuntu.com/ubuntu/ gutsy main restricted
deb http://br.archive.ubuntu.com/ubuntu/ gutsy-updates main restricted universe multiverse
deb-src http://br.archive.ubuntu.com/ubuntu/ gutsy-updates main restricted
deb http://br.archive.ubuntu.com/ubuntu/ gutsy universe
deb-src http://br.archive.ubuntu.com/ubuntu/ gutsy universe
deb http://br.archive.ubuntu.com/ubuntu/ gutsy multiverse
deb-src http://br.archive.ubuntu.com/ubuntu/ gutsy multiverse
deb http://br.archive.ubuntu.com/ubuntu/ gutsy-backports main restricted universe multiverse
deb-src http://br.archive.ubuntu.com/ubuntu/ gutsy-backports main restricted universe multiverse
deb http://archive.canonical.com/ubuntu gutsy partner
deb-src http://archive.canonical.com/ubuntu gutsy partner
deb http://security.ubuntu.com/ubuntu gutsy-security main restricted
deb-src http://security.ubuntu.com/ubuntu gutsy-security main restricted
deb http://security.ubuntu.com/ubuntu gutsy-security universe
deb-src http://security.ubuntu.com/ubuntu gutsy-security universe
deb http://security.ubuntu.com/ubuntu gutsy-security multiverse
deb http://br.archive.ubuntu.com/ubuntu/ gutsy-proposed restricted main multiverse universe
deb-src http://security.ubuntu.com/ubuntu gutsy-security multiverse

Feito isso, atualize usando apt-get update.

Bom, agora vamos melhorar algumas funcionalidades. É muito importante instalarmos os codecs multimídia para que o Ubuntu consiga tocar diversos formatos de arquivos como MP3, MP4, DivX, Xvid, Real Player, Quick Time, etc. Para isso, abra o Synaptic e instale os seguintes pacotes:
gstreamer0.10-ffmpeg gstreamer0.10-gl gstreamer0.10-plugins-base gstreamer0.10-plugins-good gstreamer0.10-plugins-bad gstreamer0.10-plugins-bad-multiverse gstreamer0.10-plugins-ugly gstreamer0.10-plugins-ugly-multiverse libxine-extracodecs w32codecs

Os plugins permitem acréscimo de recursos ao seu Ubuntu Linux. Os mais importantes são o Flash Player 9, Java e suporte a vídeos dentro do Firefox. Para instalá-los vamos seguir os passos abaixo:
- Flash Player: Para instalar o Flash Player, abra o Synaptic e instale os pacotes flashplayer-nonfree e flashplugin-nonfree.

Agora vamos instalar alguns pacotes:
vlc = media player
lastfm = radio online
amule = emule
amsn = msn
skype = skype
supertux, superkart = jogos (não necessitam de placa 3D).
inkscape, digikam = imagens
k3b = gravador de cd dvd
k9copy =ripador
xmms = winamp
Java = Java
Real Player = Radio on-line (necessário baixar do site do desenvolvedor)
outros que talvez sejam interessante instalar: xchat, wine, cedega, kaffeine

Você deve estar se perguntando 2 coisas:

1 – Por que esses programas não vem instalados no ubuntu ?
Por que alguns deles, utilizam bibliotecas compatíveis com o KDE e o ubuntu utiliza o gnome como ambiente gráfico. Dependendo do caso, alguns programas podem deixar o sistema mais lento, ja que o ubuntu irá ter que carregar bibilotecas que não são nativas de seu sistema (mas isso não é uma regra).

2 – Não tem alguma distro que ja venha “pronta” para utilizar, sem ter que ficar reconfigurando ?
Sim, a que eu acho a mais completa é o Kurumin 7. Muitas vezes não damos valor para coisas que são brasileiras e ficamos batendo cabeça atras de coisas gringas.

Lembre-se que as dicas acima, eu fiz, baseado no que me fez falta ao instalar o Ubuntu 7.10. Pode ser que ele ja tenha alguns programas semelhantes, porém, isso é questão de gosto. Caso você tenha alguma sugestão ou crítica a respeito desse artigo, pode postar nos comentários :-).

my_screenshot

Campanhas que eu apoio

touro.jpg

Começando a sessão de atualizações e restruturação aqui do blog, resolvi começar por 2 campanhas que eu achei bem interessante. A primeira delas, é Eu torço pro touro, criada no blog Verdade Absoluta. Acho que a imagem da campanha já é bem auto explicativa :D

gato

A outra, e que também gostei bastante é de adoção de gatos. Nesse site, ele doam gatos (filhotes e adultos) que foram abandonados. Gostei bastante da iniciativa, principalmente por doarem eles, independente de raça ou não. Por que as pessoas tem mania de ter que ter um gato de “marca” e pagarem R$ 500,00, R$ 1.000,00 ou mais para poder ter um gato, quando poderiam estar ajudando outros que realmente precisam, e são praticamente de graça.
Eu disse que são praticamente de graça, por que, na hora que você vai adotar algum, é necessário contribuir com o simbólico valor de R$ 80,00, que são usados para despesas de alimentação e veterinário com novos gatos que são encontrados.

Reestruturação do Blog

Esse blog tem andado parado ultimamente. Esse foi um dos motivos que eu decidi reestruturar o blog. Além de eu ter pouco tempo para criar artigos novos sobre linux, minha vida não se resume somente a linux. Tenho muitas outras coisas que eu gosto de fazer, e gostaria de postar aqui, além de linux, SL e novas tecnologias.
Com isso, esse final de semana, estarei fazendo algumas modificações para melhor, que logo vocês irão notar. O There’s no place lik 127.0.0.1 deixará de ser um blog somente sobre linux e passará a englobar outros assuntos que eu gosto e acompanho.
That’s all folks !

Segurança Efetiva no SSH

Quem nunca teve uma tentativa de invasão no servidor através do ssh ? Acredito que são raros os casos que não tiveram alguém tentando se conectar no ssh sem ter sido “convidado”. Pensando nisso, resolvi postar aqui apenas 2 dicas de segurança, que apesar de simples, ajudam muito, além de aproveitar e dar uma atualizada no site :D.
1 – Edite o arquivo sshd_config (geralmente dentro de /etc/ssh/) e modifique as seguintes linhas:

Port 2756
Protocol 2

Explicando:

Port: Informe qualquer número entre 1024 e 65535 (evite usar portas já usadas por outros serviços, senão não funcionará nem o SSH, nem o serviço com a mesma porta)

Protocol: Use o 2, que é mais seguro que o 1

2 – Uma outra dica, que eu ainda não conhecia, e achei extremamente útil foi essa abaixo. Ainda dentro do arquivo sshd_config altere as seguintes linhas:

LoginGraceTime 1m
MaxStartups 3:50:6

Explicando:

O primeiro parâmetro informa que a conexão será cortada caso fique inativa por 1minuto.

O segundo quer dizer que depois de 3 tentativas não autenticadas, 50% das conexões do IP são recusadas e quando o número de de tentavivas chegar a 6 todas as tentativas de conexões do IP serão recusadas.

Pronto, rápido, fácil e muito útil. Mas veja bem, isso não significa que seu ssh está livre de invasões. Apenas esta um pouco mais seguro.

OBS: Não se esqueça de reiniciar o serviço ssh para que as alterações tenham efeito.

Finalmente foi descoberto o problema dos aeroportos no Brasil, bem como sua solução. Apenas não sabemos se a solução vai ser empregada ;-).

aerowin.jpg

Fonte: Desciclopedia
(obs: Desciclopedia também é cultura ;p)

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.