Gerencia de redes
196 pág.

Gerencia de redes


DisciplinaAdministração103.291 materiais762.424 seguidores
Pré-visualização50 páginas
define service{
 use generic-service 
Campus São José 185
Área de Telecomunicações
Odilson Tadeu Valle
 host_name dk
 service_description Swap Usage
 check_command check_local_swap!20!10
 }
# Monitora o serviço ssh. Idem http.
define service{
 use generic-service 
 host_name dk
 service_description SSH
 check_command check_ssh
 notifications_enabled 1
 }
 40.3 Testes
Podemos fazer um teste rápido da integridade da configuração indo para o 
diretório /etc/nagios com o comando:
nagios -v nagios.cfg
Agora devemos (re)iniciar o nagios com o comando:
service nagios (re)start
E podemos monitorar os novos serviços em: http://localhost/nagios/. Cabe 
salientar que o monitoramento do Nagios se dá em intervalos de tempo 
aleatórios, portanto haverá um certo retardo até as informações serem 
completadas.
Também é muito interessante atualizar o endereço do e-mail do(s) 
administrador(es) da rede, isto deve ser feito também no arquivo 
/etc/nagios/conf.d/sample.cfg mudando o campo \u201cemail\u201d na secção \u201cCONTACTS\u201d.
Para os administradores de rede é muito interessante uma ferramenta associada 
ao Nagios, que é um plugin do navegador Firefox: Nagios Checker. Com este 
plugin instalado e configurado haverá avisos sonoros e visuais no próprio 
navegador sempre que for gerado algum alarme pelo Nagios.
Campus São José 186
Área de Telecomunicações
Odilson Tadeu Valle
 41 Cacti
 41.1 Introdução20
Cacti é uma ferramenta que recolhe e exibe informações sobre o estado de uma 
rede de computadores através de gráficos. Foi desenvolvido para ser flexível de 
modo a se adaptar facilmente a diversas necessidades, bem como ser robusto e 
fácil de usar. Monitora o estado de elementos de rede e programas bem como 
largura de banda utilizada e uso de CPU.
Trata-se de uma interface e uma infra-estrutura para o RRDTool, que é 
responsável por armazenar os dados recolhidos e por gerar os gráficos. As 
informações são repassadas para a ferramenta através de scripts ou outros 
programas escolhidos pelo usuário os quais devem se encarregar de obter os 
dados. Pode-se utilizar também o protocolo SNMP para consultar informações em 
elementos de redes e/ou programas que suportam tal protocolo.
Sua arquitetura prevê a possibilidade de expansão através de plugins que 
adicionam novas funcionalidades. Um destes plugins é o PHP Network 
Weathermap que mostra um mapa da rede e o estado de cada elemento.
 41.2 Instalação e configuração
Para instalarmos o Cacti no Mandriva precisamos do Apache funcionando no 
sistema e em seguida digitarmos o comando:
urpmi cacti mysql
service mysqld start
Agora devemos criar a base de dados a partir de um modelo criado pelos pacotes 
do cacti, com os seguintes comandos:
mysql -u root -p #entraremos no Mysql
\u201crequisição de senha\u201d #em branco <Enter>
CREATE DATABASE cacti; #criamos a base cacti
use cacti #\u201dentraremos\u201d na base cacti
source /usr/share/cacti/cacti.sql #\u201dpovoaremos\u201d a base a partir do 
modelo
exit #saímos do Mysql
Editamos o arquivo /etc/cacti.conf e editamos a linha abaixo, compatibilizando 
com a senha criada no Mysql.
$database_username = &quot;root&quot;;
$database_password = &quot;senha_do_root (em_branco)&quot;;
Observe que esta não é a configuração mais segura. Num caso real devemos 
criar um usuário e senha na base Mysql e dar permissões ao mesmo de acesso à 
20Texto obtido de http://pt.wikipedia.org/wiki/Cacti
Campus São José 187
Área de Telecomunicações
Odilson Tadeu Valle
base cacti. Informamos então este usuário e senha no arquivo /etc/cacti.conf.
Iniciamos o serviço mysql com o comando:
service mysqld (re)start
Agora então podemos acessar, via navegador, a página http://localhost/cacti/ e 
seguir as orientações da mesma. Todas as opções estão na configuração padrão, 
aceite-as. Ao final será requisitado login e senha, entre com admin X admin e o 
Cacti automaticamente requisitará a troca de senha do usuário admin.
Após isto podemos clicar na aba GRAPHS poderemos observar algo parecido com 
o da Ilustração 36.
Podemos ainda configurar mais monitores, para isto basta clicarmos na aba 
CONSOLE, na opção New Graph e selecionarmos as opções desejadas.
Podemos ainda verificar as configurações do Cacti da aba SETTINGS e demais 
abas.
Ilustração 36: Gráficos do Cacti
Campus São José 188
Área de Telecomunicações
Odilson Tadeu Valle
 42 DenyHosts
 42.1 Introdução21
DenyHosts é um script escrito por Phil Schwartz para ajudar administradores de 
sistemas bloquear ataques de força bruta em seus servidores SSH. Ele monitora 
os arquivos de LOG do sistema (/var/log/secure no Redhat, /var/log/auth.log on 
Mandrake, etc...) e quando um ataque é detectado adiciona o IP do atacante no /
etc/hosts.deny.
Quando executado pela primeira vez, o DenyHosts irá criar um diretório de 
trabalho para armazenar as informações coletadas dos arquivos de LOG em um 
formato que nós, humanos mortais, possamos ler, compreender e editar caso 
seja necessário.
O script possui uma grande variedade de configurações que podem ser 
exploradas, como por exemplo, configurar quantas tentativas inválidas devem 
ser consideradas um ataque, ou quantas tentativas erradas de usuários que não 
existem no seu sistema são aceitas... pode enviar emails com relatórios... essas 
configurações serão explicadas adiante.
 42.2 Instalando o DenyHosts
O DenyHosts é dependente do Python v2.3 ou superior. Execute o seguinte 
comando para saber qual versão você tem, se é que tem:
rpm -q python
Caso você não possua o Python instalado, instale com o comando:
urpmi python
Agora vamos a instalação do DenyHosts propriamente dito. Faça download da 
última versão do DenyHosts na página oficial, existe um rpm noarch (para 
qualquer arquitetura) e um tar.gz que também é independente de plataforma, 
vamos optar por este.
http://denyhosts.sourceforge.net/
Desempacote o DenyHosts com o comando:
tar -zxvf DenyHosts-2.6.tar.gz
Para manter o sistema organizado, colocamos o DenyHosts dentro do /sbin
mv DenyHosts-2.6 /sbin/DenyHosts
Vamos criar um arquivo de configuração baseado no arquivo de configuração 
exemplo:
cd /sbin/DenyHosts
cp denyhosts.cfg-dist denyhosts.cfg
Agora vamos editar o arquivo de configuração. Veremos várias opções, as 
principais, que podem ou não ser utilizadas.
21Texto obtido de http://www.drsolutions.com.br/exemplos/protegersshd.pdf
Campus São José 189
Área de Telecomunicações
Odilson Tadeu Valle
vi denyhosts.cfg
SECURE_LOG = /var/log/auth.log #Deve apontar para o seu arquivo 
de Log de autenticação.
PURGE_DENY = 2w #Depois de quanto tempo o 
bloqueio para aquele IP será 
removido. No exemplo está ajustado 
para 2 semanas. Se deixarmos em 
branco nunca será removido.
BLOCK_SERVICE = sshd #Serviços que serão bloqueados. 
Pode ser ALL, para todos os 
serviços.
DENY_THRESHOLD_INVALID = 5 #Número de tentativas que um 
usuário inválido, ou seja, não está 
no /etc/passwd deve fazer para que 
seja bloqueado.
DENY_THRESHOLD_VALID = 10 #Número de tentativas que um 
usuário válido, ou seja, está no 
/etc/passwd deve fazer para que 
seja bloqueado.
DENY_THRESHOLD_ROOT = 1 # Número de tentativas erradas 
com o root.
WORK_DIR = /usr/share/denyhosts/data #Diretório onde serão 
armazenados os arquivos do 
DenyHosts.
HOSTNAME_LOOKUP=YES #Quando setado para &quot;YES&quot;, todo 
IP x FQDN reportado ao DenyHosts 
tentará ser resolvido.
ADMIN_EMAIL = user@dominio.xxx.xx # Email que irá receber os 
relatórios de segurança.
#SMTP_*: Configura a conta de 
email que será usada para o envio 
dos emails de relatórios.
SMTP_HOST =