Fábio Falcão

Bloqueando o UltraSurf fácil e simples!

2012-01-27T09:12:00.002-02:00

Pessoal,

Como todos já sabem, existe hoje na internet inúmeros programas e sites que burlam os bloqueios que nós administradores fazemos com o intuito de melhorar a utilização do nosso link de internet.

A mais nova dor de cabeça dos administradores é o filho do capeta UltraSurf.
Um colega meu estava possuído por esse filho do cão e me pediu uma ajuda.

Como um bom baiano que sou e bom conhecedor das mandingas do terreiro de Pai Pupuca lá em Salvador. Rsrsrsrsrsrsrs! Pedi ajuda aos orixás e a resolução pra mim foi mais simples do que pensava.

Após uma análise do tráfego que o ultrasurf fazia, verifiquei que o mesmo tenta fazer a primeira conexão na porta 443, depois na 554 e caso não consiga nessas duas portas, ele parte pra uma porta alta aleatória (de 1024 a 65535). Além de manter um tráfego UDP todo o tempo para vários endereços para controle.

Bom, com essa análise, apenas fiz o bloqueio da porta TCP/443 (Libero apenas para os sites de banco e alguns poucos sites que utilizamos). Será necessário ajuste fino para liberação de vários sites que utilizam o HTTPS. (Paciência, é a vida)

Fiz o bloqueio da porta TCP/554, não conheço nenhum serviço que utilize esta porta por padrão.

Finalmente fiz o bloqueio de todo o tráfego UDP saindo da minha rede, com exceção do meu servidor DNS interno, pois é o único que tem necessidade desse tipo de tráfego.

Pra mim funfou legal galera! Qualquer coisa testem ai e me falem.

OBS: Todas as modificações foram feitas no IPTABLES.

Instalando o Apache2 e configurando domínios virtuais num Linux Debian Based

2010-05-17T11:58:00.008-03:00

Instalar o Apache2 via apt-get ou aptitude:

apt-get install apache2 ou
aptitude install apache2

O apache2 depende dos pacotes apache2-mpm-worker, apache2.2-common, porém o apt-get ou o aptitude irá resolver as dependências.

Após a instalação o apache já está instalado e funcionando na porta padrão do protocolo HTTP (Porta 80). Caso seja necessário modificar a porta do apache2 será necessário editar o arquivo /etc/apache2/ports.conf e modificar os parâmetros abaixo para o novo valor :

NameVirtualHost *:80
Listen 80

O apache2 já está pronto para configuração de novos domínios virtuais, para isso será necessário criar o arquivo que servirá como modelo para os próximos domínios virtuais como segue abaixo:

Arquivo: /etc/apache2/sites-available/dominio.com.br

<VirtualHost *:80>
ServerName www.dominio.com.br
ServerAdmin network@dominio.com.br
DocumentRoot /webhost/dominio.com.br
ErrorLog /var/log/apache2/dominio.com.br-error.log
CustomLog /var/log/apache2/dominio.com.br-access.log combined
</VirtualHost>

Este arquivo contém a configuração mínima para um domínio virtual para habilitarmos a configuração do mesmo basta executar os comandos abaixo:

Habilita o site dominio.com.br:

a2ensite dominio.com.br

Carrega as configurações feitas para a memória do apache2:

/etc/init.d/apache2 reload

Abaixo veremos uma configuração de domínio virtual mais avançada, onde criamos uma regra de autorização para uma determinada faixa de rede e criamos a autenticação numa determinada pasta do site:

<VirtualHost *:80>
ServerName www.dominio.com.br
ServerAdmin network@dominio.com.br
DocumentRoot /webhost/dominio.com.br
ErrorLog /var/log/apache2/dominio.com.br-error.log
CustomLog /var/log/apache2/dominio.com.br-access.log combined

# Configuração de autorização junto com autenticação do diretório
<Directory /webhost/dominio.com.br/intranet>
# Não permite listagem do diretório em caso de não haver uma página válida
Options -Indexes
# Opção que habilita a autenticação do diretório
AllowOverride AuthConfig
Order allow,deny
# Permite acesso apenas com origem da rede 10.1.0.0/16
allow from 10.1.0.0/16
deny from all
</Directory>
</VirtualHost>

Para que a configuração de autenticação funcione na pasta especificada é necessário criar o arquivo /webhost/dominio.com.br/intranet/.htaccess com as configurações abaixo:

AuthName "Intranet"
AuthType Basic
AuthUserFile /etc/apache2/htusers
AuthGroupFile /etc/apache2/htgroups
require valid-user

Esse arquivo irá permitir a autenticação de usuários criados pelo programa htpasswd e adicionados no arquivo htusers especificado. Veremos como criar e adicionar o arquivo htusers:

Criar o arquivo /etc/apache2/htusers adicionando um novo usuário:

htpasswd -c /etc/apache2/htusers usuario1

Adicionar um novo usuário no arquivo /etc/apache2/htusers:

htpasswd /etc/apache2/htusers usuario2

Pronto! Seu apache já está configurado com domínios virtuais e com a configuração de autorização e autenticação de usuários para um determinado diretório.

Instalação e configuração básica do VSFTPD com acesso anônimo num Linux Debian Based

2010-05-13T16:29:00.011-03:00

Instalar o serviço FTP via apt-get ou aptitude:

apt-get install vsftpd ou
aptitude install vsftpd

Editar o arquivo de configuração do VSFTPD (/etc/vsftpd.conf) e habilitar as configurações abaixo:

listen=YES # Habilita o serviço FTP no modo Daemon (Standalone)
anonymous_enable=YES # Habilita o acesso ao usuário anounymous
local_enable=YES # Habilita o acesso de usuários locais
write_enable=YES # Permite escrita no servidor
anon_upload_enable=YES # Permite upload de arquivos pelo usuário anounymous
ftpd_banner=Bem vindo ao FTP Server # Modifica a mensagem de boas-vindas do Serviço FTP
max_clients=1 # Permite o máximo de 1 conexão no servidor

Criar usuário para acesso local, configurando a pasta home:

useradd -m -d /webhost/dominio.com.br usuario

Testar a conexão localmente:

ftp localhost
Connected to localhost.
220 Bem vindo ao FTP Server
Name (localhost:usuario):
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> put teste_upload.txt
ftp> get teste_download.txt

FTP instalado e configurado corretamente para acesso de usuários locais e usuário anonymous.

Autenticação via SSH utilizando chave pública

2010-03-31T11:22:00.004-03:00

Secure Shell ou SSH é, simultaneamente, um programa de computador e um protocolo de rede que permite a conexão com outro computador na rede, de forma a executar comandos de uma unidade remota. Possui as mesmas funcionalidades do TELNET, com a vantagem da conexão entre o cliente e o servidor ser criptografada.

A autenticação do mesmo pode ser feita utilizando o par usuário e senha ou mesmo um par de chaves (pública e privada), onde, dependendo das chaves, não será necessário a interação humana para acesso ao servidor, como veremos abaixo:

No cliente é necessário gerar o par de chaves que será usado na autenticação do usuário em questão, no exemplo estou utilizando o usuário aluno:

CLIENTE - /home/aluno~:$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/aluno/.ssh/id_rsa): ENTER
Enter passphrase (empty for no passphrase): ENTER
Enter same passphrase again: ENTER
Your identification has been saved in /home/aluno/.ssh/id_rsa.
Your public key has been saved in /home/aluno/.ssh/id_rsa.pub.
The key fingerprint is:
45:a9:26:7a:76:81:d4:b5:4f:83:13:47:51:90:9a:90 aluno@cliente
The key's randomart image is:
+--[ RSA 2048]----+
| . o+o==. |
| . E..=. |
| . . o=oo |
| o +.o+ . |
| . oS. . |
| . o . |
| o . |
| |
| |
+-----------------+

Isso irá criar um par de chaves do tipo rsa, id_rsa (chave privada) e id_rsa.pub (chave pública) no diretório /home/aluno/.ssh

Agora vamos copiar o arquivo com a chave pública para o servidor no diretório home do usuário a ser utilizado para autenticação, no nosso caso aluno também:

CLIENTE - /home/aluno~:$ scp .ssh/id_rsa.pub aluno@ip do servidor:

No servidor agora, no diretório home do usuário aluno, vamos importar a chave pública do usuário aluno do cliente:

SERVIDOR - /home/aluno~:$ cat id_rsa.pub > .ssh/authorized_keys

Pronto, a chave pública do usuário aluno do cliente já está importada no usuário aluno do servidor, para testar o acesso basta acessar via ssh a partir do cliente para o servidor com o usuário aluno:

CLIENTE - /home/aluno~:$ ssh aluno@ip do servidor

O acesso será feito sem uso de senhas, apenas com a negociação das chaves.

Adicionando/Modificando um novo campo de um registro do LDAP

2010-02-04T16:12:00.001-03:00

ldapmodify -x -h $LDAPHOST -D $LDAPBIND -w $LDAPBINDPASS -c << EOF || exit 19
dn: cn=usuario@dominio.com.br,ou=contas,dc=mail,dc=dominio,dc=com,dc=br
changetype: modify

replace: quota
quota: 1048576010S

add: ServiceDelivery
ServiceDelivery: virtual
EOF

Instalando e modificando o Libnotify para o Pidgin

2009-12-18T11:51:00.004-03:00

No Debian, basta instalar o pacote pidgin-libnotify e depois editar suas configurações no gconf-editor do gnome:

apt-get install pidgin-libnotify

Agora editamos a localização no gconf-editor e procuramos a chave /apps/notification-daemon/popup_location. Por padrão ela vem configurada para o canto superior direito (bottom_right).

Usando o Vi como editor do Crontab

2009-12-18T11:05:00.002-03:00

Caso o seu editor default do crontab não seja o Vi e sim o Nano, basta você executar o comandos abaixo para que o Vi se torne esse editor default:

ln -s /usr/bin/vi /etc/alternatives/editor

Instalando Plugin Webkit no Pidgin para temas nas conversas

2009-12-11T12:17:00.003-03:00

Instalar as libs do webkit:

apt-get install libwebkit-dev libwebkit-1.0-1 bzr

Executar o comando abaixo para fazer o download do plugin:

bzr branch lp:pidgin-webkit

Entrar no diretório do plugin e criar o mesmo:

cd pidgin-webkit/; make

Copiar o plugin para o diretório do purple:

cp webkit.so /usr/lib/purple-2/

Pronto, o seu plugin já está instalado, basta ir no seu Pidgin e configurar o mesmo.

Instalando versão atualizada do Pidgin via pacote .deb e alguns plugins

2009-12-11T10:44:00.003-03:00

Será necessário baixar os pacotes .deb mais atuais do Pidgin e das suas dependências no site http://www.debian.org/distrib/packages

Segue a lista de pacotes a serem baixados:

pidgin
pidgin-data
libpurple0
pidgin-dev
libpurple-dev
libgtk2.0-dev
pidgin-guifications

Após o download dos pacotes basta instalá-los juntamente.

HTTP Loadbalance com HAProxy e Keepalived no Red Hat/CentOS

2009-12-10T13:41:00.000-03:00

A seguir estão os passos para instalação e configuração dos serviços HAProxy e Keepalived que farão toda a mágica do HTTP Loadbalance.

Instalação do Keepalived, responsável pelo endereço Ip Virtual que receberá as requisições dos clientes:

1- Instalar o kernel-devel referente ao seu kernel em uso
2- Faça o download da versão mais atual do Keepalived em http://www.keepalived.org/download.html e copie na pasta /usr/src.

cd /usr/src
tar xzpvf keepalived-*.*.**.tar.gz
cd keepalived-*.*.**
./configure; make
make install

ln -s /usr/local/sbin/keepalived /usr/sbin/keepalived
ln -s /usr/local/etc/sysconfig/keepalived /etc/sysconfig/keepalived
ln -s /usr/local/etc/keepalived/keepalived.conf /etc/keepalived/keepalived.conf

3- Conteúdo dos arquivos de configuração e script de inicialização do keepalived:

/etc/keepalived/keepalived.conf

vrrp_script chk_haproxy { # Requires keepalived-1.1.13
script "killall -0 haproxy" # cheaper than pidof
interval 2 # check every 2 seconds
weight 2 # add 2 points of prio if OK
}

global_defs {
notification_email {
admin@dominio.com
}
smtp_server 127.0.0.1
lvs_id ServerA
}

vrrp_instance virtual {
interface eth0
state MASTER
virtual_router_id 39
priority 110
virtual_ipaddress {
10.1.50.36 #Endereço IP Virtual
}
track_script {
chk_haproxy
}
}

/etc/sysconfig/keepalived

KEEPALIVED_OPTIONS="-D"

/etc/init.d/keepalived

#!/bin/sh
#
# Startup script for the Keepalived daemon
#
# processname: keepalived
# pidfile: /var/run/keepalived.pid
# config: /etc/keepalived/keepalived.conf
# chkconfig: - 21 79
# description: Start and stop Keepalived

# Source function library
. /etc/rc.d/init.d/functions

# Source configuration file (we set KEEPALIVED_OPTIONS there)
. /etc/sysconfig/keepalived

RETVAL=0

prog="keepalived"

start() {
echo -n $"Starting $prog: "
daemon keepalived --oknodo ${KEEPALIVED_OPTIONS}
RETVAL=$?
echo
[ $RETVAL -eq 0 ] && touch /var/lock/subsys/$prog
}

stop() {
echo -n $"Stopping $prog: "
killproc keepalived
RETVAL=$?
echo
[ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/$prog
}

reload() {
echo -n $"Reloading $prog: "
killproc keepalived -1
RETVAL=$?
echo
}

# See how we were called.
case "$1" in
start)
start
;;
stop)
stop
;;
reload)
reload
;;
restart)
stop
start
;;
condrestart)
if [ -f /var/lock/subsys/$prog ]; then
stop
start
fi
;;
status)
status keepalived
;;
*)
echo "Usage: $0 {start|stop|reload|restart|condrestart|status}"
exit 1
esac

exit $RETVAL

4- Ajuste de inicialização dos serviços nos respectivos Runlevels:

chkconfig --add keepalived
chkconfig --level 2345 keepalived on

OK. Keepalived Instalado e configurado corretamente.

Agora partiremos para a instalação do HAProxy e alguns ajustes para que o mesmo funcione na mesma porta em que o apache está rodando, no caso de estarem rodando na mesma máquina:

1- Faça o download do pacote RPM do HAProxy em http://rpm.pbone.net/index.php3/stat/4/idpl/6806415/com/haproxy-1.3.14.3-1.i586.rpm.html e instale na máquina:

rpm -hiv haproxy-*.*.**.rpm

2- Conteúdo do arquivo de configuração do HAProxy:

/etc/haproxy/haproxy.cfg

# haproxy.cfg file example

global
log 127.0.0.1 local0 err
log 127.0.0.1 local1 notice
maxconn 4096
user haproxy
group haproxy

defaults
log global
mode http
option httplog
option dontlognull
retries 3
option redispatch #redispatch
maxconn 2000
contimeout 5000
clitimeout 50000
srvtimeout 50000

listen webfarm 10.1.50.36:80
mode http
stats enable
stats auth someuser:somepassword
balance roundrobin
cookie JSESSIONID
option httpclose
option forwardfor
option httpchk HEAD /server-status
server webA 10.1.50.38:80 cookie A check
server webB 10.1.50.39:80 cookie B check

3- Ajuste do syslog para logging do HAProxy:

/etc/sysconfig/syslog

SYSLOGD_OPTIONS="-m 0 -r"

/etc/syslog.conf

# Log Haproxy
local0.* /var/log/haproxy.log
local1.* /var/log/haproxy.log

OK. HAProxy Instalado e configurado corretamente.

Falta agora ajustar o apache para escutar apenas no seu endereço ip principal, modificando apenas a linha abaixo no arquivo de configuração principal do Apache2:

Onde está:

Listen 80

Modificar para:

Listen 10.1.50.38:80

Para acessar a página de estatísticas do HAProxy basta acessar o link http://endereço_ip_virtual/haproxy?stats

Pronto! Seus servidores estão configurados com os serviços de Keepalived, HAProxy, servindo páginas do Apache2 e sendo balanceados pelo HAProxy utilizando o endereço ip virtual do serviço Keepalived.

Enjoy.

Oração da Internet

2009-10-28T21:55:00.000-03:00

Satélite nosso que estás no céu
Acelerado seja a nossa conexão
Venha a nós e seu super texto
E nunca nos falte a sua conexão
Tanto no real quanto no virtual
Dá-nos hoje o download de cada dia
Perdoa-nos o café sobre o teclado
Assim como nós perdoamos aos nossos provedores
E não nos deixe perder a conexão
E livra nos de todos os vírus
Amém.