configuração do servidor zeroshell
TRANSCRIPT
CONFIGURAÇÃO DO SERVIDOR ZEROSHELL
Após realizar o download da ISO no site oficial da ZeroShell é necessário realizar
algumas configurações básicas para começar a disponibilizar os serviços de rede. Por padrão é
desabilitado todos os serviços (Proxy, DHCP, Firewall, DNS). Abaixo é mostrado a tela
inicial de carregamento do sistema. Aguarde alguns instantes e o sistema começara a carregar.
Figura 1 - Tela inicial de inicio do sistema
Fonte: elaboração dos autores
Figura 2 - Tela inicial após o carregamento do servidor
Fonte: elaboração dos autores
Na imagem acima é mostrado na parte superior o nome do Servidor e a sua respectiva
versão(3.3.2) e a data atual do servidor. Abaixo do titulo é mostrado as informações básica do
sistema:
Tabela 1 - Informações do servidor
Hostname identificação da do servidor
CPU configuração do processor
Kernel versão do kernel do linux
Memoria do sistema tamanho da memória atual
Uptime tempo ligado
Load (carga) quantidade de carga utilizada(atual, máxima, média ),
valores são tratados na casa do 0 a 1.0
Profile arquivo de configuração do servidor
Por padrão o ZEROSHELL informa nesta tela a identificação do IP de configuração
via navegador e os seus respectivos dados de acesso (login e senha).
MENU DE COMANDOS (COMMAND MENU)
Figura 3 - menu de commandos
O menu de comandos é uma das informações que todo o administrador de rede deve
ter conhecimento. Neste menu é realizado as configurações básicas iniciais para deixar o
servidor em condições de ser configurado.O menu é identificado com letras entre “< >”.
Tabela 2 - informações sobre o menu de commando
LETRA MENU OBSA Installation
managerInstalação do Servidor no Disco
Rígido.D Profile Manager Administração dos profiles, arquivos
de configuração personalizado, para eventuais recuperação das
configurações.S Shell Prompt Administração do servidor por linha
de comando. Utilizado para realizar a instalação de plugins.
R Reboot Reinicar o servidor.H Shutdown Desligar o servidor.U UtilitiesW WiFi Manager Configuração para disponibilizar
ponto de acesso por rede sem fio.P Change admin
passwordMudar senha de administrador.
T Show Routing Table
Mostrar tabela de rotas.
F Show Firewall Rules
Mostrar políticas de firewall.
N Show Network Interfaces
Mostrar as interfaces de redes.
Z Fail-Safe Mode Trabalhar em modo de segurança. Desabilita as políticas de firewall e o acesso administrativo via navegador.
I IP Manager Configuração de IP das placas de redes.
REALIZANDO A INSTALAÇÃO DO DISCO RÍGIDO
Para realizar a instalação no disco rígido é necessário acessar o menu abaixo indicado
pela seta vermelha, Installation Manager. Digite a letra A.
Figura 4 - Tela de instalação
Ao acessar o menu Installation Manager é mostrado a lista de locais que poderá ser
instalado o servidor. Nesta imagem é mostrado um Harddisk identificado pelo numero 1.
Neste caso para instalar o servidor neste Device é necessário aperta o numero 1 do teclado,
para selecionar o Harddisk. Será informado que todos os dados do disco serão deletados,
confirme digitando yes e apertando ENTER. Selecione o console que será acessado o
servidor, digite VGA, e aperte ENTER. Após digite null para deixar o Kernel em modo
silencioso, ou seja, carregar somente os módulos necessários.
Tela Installation Manager
Aguarde a conclusão da instalação.
Tela de instalação do servidor
Após a instalação será perguntado se desejas realizar a configuração de um
Profile(arquivo que guarda as configurações do sistema), digite YES. Deverá ser respondido
algumas perguntas, como: Profile description [DEFAULT PROFILE] (nome do profile), xx:
Servidor Principal. Hostname(Nome do Servidor): digite o nome , ex: servidorprincipal.com.
Admin password(senha do administrador para acessar a administração pelo navegador).
LDAP Base(configração do LDAP, servidor de autenticação), ex: dc= servidorprincipal,
dc=com. KERBEROS 5 REALM, ex: SERVIDORPRINCIPAL.COM. Management
Interface( dispositivo de administração da rede), digite qual o dispositivo da rede interna.
Defina o IP da interface, ex: 192.168.0.1. Defina a mascara de rede, ex: 255.255.255.0,
Defina o Gateway, ex: 192.168.0.1.
Após a criação do Profile é necessário o carregamento do mesmo. Para isso digite D,
conforme mostrado abaixo.
Digite A, para selecionar o profile para ativar.
Selecione o Profile criado.
Após selecionado o profile, será perguntado que é necessário reiniciar o servidor, tecle
Y, para sim
CONFIGURAÇÃO DO COMPUTADOR QUE ACESSARÁ VIA NAVEGADOR
O servidor ZEROSHELL não possui interface gráfica para a administração dos
sistemas administrativos, isso é uma vantagem, pois o sistema possui uma totalidade de 210
MB com todos os serviços básicos incluídos. O seu carregamento se torna muito rápido.
Destacamos também a segurança envolvido em não ter um sistema básico integrado, pois
quanto menos pacotes instalado menos torna o sistema vulnerável a falhas. Essas falhas torna
o servidor sujeito a invasões, comprometendo toda a estrutura de rede na organização.
Por padrão o ZEROSHELL escolhe o IP 192.168.0.75, mascara de rede
255.255.255.0. Conforme mostrado, é possível alterar o IP do servidor através da criação do
profile ou através do menu de comando item letra “I”, IP Manager.
Neste momento utilizaremos uma máquina WINDOWS XP SP3. As mesmas
configurações são válidas para qualquer sistema operacional.
Após inicialização do Sistema Operacional é necessário deixar o endereço IP na
mesma faixa de rede do servidor. Para isso teremos que acessar as configurações da placa de
rede e atribuir manualmente o IP da mesma faixa do servidor.
Configuração do IP no computador que acessará via navegador
Na imagem acima temos a configuração manual do endereço IP do computador que
administrará o servidor. Erros comuns são atribuir o mesmo IP do servidor ao computador
que acessar o sistema. No item sinalizado pela letra A(colocar o IP do computador), no item
B(necessário definir a mascara de rede, a mesma atribuída no IP do servidor), no item
C(atribuir o computador que será o portão para a rede externa, neste caso, por padrão defina o
mesmo IP do servidor ZEROSHELL).
ACESSANDO O SERVIDOR VIA NAVEGADOR
Utilizaremos o navegador Mozila Firefox para acessar a área administrativa do
servidor através do sistema operacional WINDOWS XP SP3. Após abrir o navegador é
necessário informar o endereço do servidor
Navegador do computador que acessará o servidor via navegador
Algumas observações são os itens A (endereço do servidor ZEROSHELL), e no item
B teremos que adicionar exceção para o certificado, visando manter uma conexão segura.
Devemos baixar o certificado de acordo com a imagem abaixo e incorporar na lista de
entidades certificadoras.
Download do certificado de autenticação, parte 1
Download do certificado de autenticação, parte 2
A incorporação do certificado do ZEROSHELL no Mozila Firefox é realizado
seguindo o caminho do menu 1- FERRAMENTAS, 2- Opções, 3- Avançado, 4- Aba
criptografia, 5- Item certificado, 6- Aba autoridades, 7- Importar. Conforme a imagem abaixo.
Importar certificado de autoridade.
Seleção do arquivo da certificadora, parte 1
Seleção do arquivo da certificadora, parte 2
Por questões de segurança o administrador de rede deverá atentar que o arquivo de
certificação é o mesmo que foi fornecido no endereço do servidor.
O ZEROSHELL apresenta uma tela inicial bem organizada e de fácil visualização com
os itens de configuração adequados para quem administrará os serviços.
Tela inicial do servidor ZEROSHELL
Abaixo será mostrado as observações referente aos itens da figura acima relacionado.
LETRA OBSERVAÇÃO
A - nesta parte é exibido a versão do servidor
- About (detalhamento da utilização)
- Exibição da carga de conexões dos usuários logado no sistema. CNTop (lista os
usuários que utilizam as conexões)
- Opção de Logout(sair com segurança), Reboot(reiniciar o sistema), Shutdown
(Desligar)
B - Informação de hardware do servidor(Kernel, memória total, quantidade de
memória (%) usada.
- Uptime(tempo do servidor ligado)
- Graphics, visualização de estatísticas da utilização do uso (Carga de trabalho,
memória, etc)
C Configuração de pacotes, profiles, rede, configurar o relógio do servidor, a
segurança de acesso pelo navegador, segurança de acesso por SSH,
Script/Cron(firewall, cron, testes de script, wifi, etc)
J
D
E
A B
K
L
M
CI
G
H
F
D Pacotes disponíveis para download
E Mudar a linguagem do sistema
F Noticias atualizada sobre o servidor
G Pacotes instalados
H Ultimas registros no log do sistema
I Monitoração de alertas do sistema
J Menu de configuração do servidor, acesso a logs, testes de ping, configuração dos
alertas de monitoramento(envio de alertas por email e SMS)
K Administração de usuários, grupos, LDAP, RADIUS, contas dos usuários,
configuração do portal captivo
L Configuração de rede (hosts, roteamento, DNS, DHCP, VPN, Qualidade do Serviço,
Balanceamento de carga de rede
M Configuração do Firewall(modo interativo), Proxy transparente com bloqueio de
paginas(blacklist) e permissão de acesso a páginas (whitelist), Protocolos de
certificação e autenticação.
ADMINISTRAÇÃO DOS PROFILES
Os profiles são arquivos de configuração que salva todas as informações referente a
configuração do servidor. Podendo realizar backups de segurança e a sua restauração.
Importante dizer que pode ter vários profiles em um mesmo servidor, porém somente um
ativo.
Para criar um profile acessa-se no menu lateral esquerdo System>Setup, com isso a
página é recarregada e no menu horizontal superior, acessa-se profile. A página será alterada
para a página de gerenciamento de profiles.Conforme mostrado na figura abaixo:
Pagina de administração de profiles
È possível realizar o backup conforme mostra a seta amarela na figura acima. È gerado
um arquivo .bck, que poderá ser importado para alguma futura instalação de servidor.
Arquivo de backup do profile
Caso deseje criar um novo profile basta selecionar a partição e clicar em Create Profile(figura
xxx ) será aberta um popup com informações a serem inseridas( figura xx )
Criação de profile
Popup de criação de Profile
Criar profile é uma grande ferramenta do ZEROSHELL, garante que teremos sempre
configurações personalizadas e seguras, restaurando as configurações a qualquer momento.
CONFIGURAÇÕES DE REDE
A configuração da rede se torna de fácil administração quando usamos o navegador
para a administração. È possível configurar o IP do servidor, criar VLAN, definir o
GATEWAY, configurar a NAT(figura xx), criação de nova VPN, adicionar modem
3G(Figura xx ), etc.
Pagina de configuração de rede
No exemplo da figura abaixo temos duas placas de redes, sendo que uma aponta para a
rede interna(esquerda) e a outra aponta pra a rede externa(direita). Conforme figura abaixo.
Configuração da NAT
Podemos adicionar um modem 2G/3G de forma rápida. Realizamos testes com modem
2G/3G, obtendo resultado satisfatório, para isso basta plugarmos na servidor aonde encontra-
se o ZEROSHELL na porta USB o modem 2G/3G da operadora. O ZEROSHEL já localiza a
porta aonde está plugado o modem e oferece as opções de configuração. O modem 2G/3G se
torna um importante aliado, pois podemos usar como balanceamento na conexão e em caso de
perda do sinal da internet o 2G/3G entra em ação e não deixa os serviços com a rede externa
seja derrubada. Conforme figura abaixo.
Configuração de modem 2G/3G
CONFIGURANDO A HORA DO SERVIDOR
A configuração da hora do servidor é importante, pois facilita a auditoria nos Logs
gerados pelo servidor. O servidor possui a opção de sincronizar com os servidores NTP ou
realizar de forma manual a configuração da hora.
Acesso da configuração da hora do sistema
Configuração da hora do sistema
SEGURANÇA NO ACESSO VIA NAVEGADOR E SSH
A administração do servidor é realizada pelo navegador, por questões de segurança
devemos permitir somente computadores autorizados para acessar o IP do servidor, bem como
a utilização do SSH. Por padrão o ZEROSHELL permite o acesso para qualquer computador
da rede(Figura xxx), visando as boas práticas de segurança, iremos definir somente um
computador para a realização das configurações do servidor.
Configuração padrão do ZEROSHELL para acesso da área administrativa via navegador
A configuração de segurança deverá ser iniciado desabilitando a opção Auto-autorize
LAN( autorizar automaticamente todos da rede), após isso deverá ser fornecido o IP da
maquina que irá administrar o servidor, bem como a interface. Como boas práticas de
segurança, é necessário que a máquina que irá administrar tenha o seu IP amarrado pelo MAC
da placa de rede, através da configuração do DHCP(demonstrado no CAP xxx).
Configuração de segurança de acesso pelo navegador
Teste de segurança do acesso administrativo pelo navegador
A segurança no acesso pelo SSH é feita de maneira igual ao do acesso no navegador,
porém por padrão o SSH não está habilitado, devendo ser habilitado para que se possa realizar
as configurações desejadas.
Configuração da segurança de acesso pelo SSH
Programa PUTTY para acesso via SSH
Servidor ZEROSHELL acessado através PUTTY
CONFIGURANDO O MONITOR DE ALERTAS
O ZEROSHELL possui uma opção de remessa de alertas. A importância desse
mecanismo é muito importante e útil, pois o administrador de rede é informado de eventos
que ocorre com o servidor, sendo um importante aliado na detecção de incidentes que poderão
ocasionar problemas na rede. Em questões de segurança é possível detectar ataques de
negação de serviço, ataques de força bruta, etc. Os alertas podem ser configurados para ser
enviados para o e-mail ou via SMS.
Por padrão o envio de email e SMS estão desativados, devendo ser configurado e
ativados manualmente, conforme mostrado na figura abaixo.
Tela de configuração de envio de alertas
CONFIGURANDO DHCP
A configuração do DHCP é realizado pelo menu esquerdo NETWORK>DHCP. Por
padrão o ZEROSHELL deixa desabilitado o DHCP. Para iniciar os serviços é necessário
primeiro configurar uma nova SUBNET (figura xxx). O servidor permite que seja
disponibilizado até 3(três) faixas de IP personalizadas, configuração do GATEWAY, DNS
padrão. È possível realizar de forma rápida a fixação do IP por MAC. Caso o administrador
queira adicionar opções no DHCP é possível realizar através do botão advanced.
Página de configuração inicial do DHCP
Ao clicar em NEW é aberto uma janela de definição da subnet. O servidor lista as
placas de redes disponíveis. Necessário neste momento informar a placa de rede que está
configurada para ser a interna a rede. Após a configuração o DHCP será ativado
automaticamente. Na figura xxx , definimos um range de IP 192.168.0.10 a 192.168.0.15, ou
seja, somente será fornecido IPS nesta faixa. Definimos também o IP pelo MAC do
computador que acessa via navegador. Foi definido também o GATEWAY e o DNS do
servidor. Todos os computadores conectados a rede receberão por padrão utilizarão essas
configurações. A opção LEASES, mostra a tabela de IPS dos computadores das faixas de IPS
configuradas (figura xxx). Há a possibilidade de exibir somente os computadores ativos no
momento, basta selecionar a opção Show only active leases (mostrar somente os ativos).
Janela de definição da subnet da rede
Pagina de configuração do DHCP
Tabela de computadores que receberam IP através do DHCP.
CONFIGURANDO PROXY TRANSPARENTE
O ZEROSHELL trabalha com Proxy transparente e com o antivírus ClamAV. Usar o
Proxy de forma transparente facilita a administração, tendo em vista que os navegadores não
serão configurados. O Proxy transparente captura automaticamente todas as solicitações dos
clientes pela porta 80. Utilizar o Proxy do ZEROSHELL se torna mais seguro devido a
utilização do antivírus ClamAV que possui atualização diária automática(definido pelo
usuário através da configuração “Number of checks per Day”) e ainda verifica vírus nas
imagens.Por padrão o Proxy não é habilitado automática, tendo que ser habilitado através da
marcação do ENABLE na pagina de administração do Proxy. O servidor utiliza de duas
opções para a filtragens de páginas, a BLACKLIST(lista negra) e a WHITELIST(lista
branca). A BLACKLIST contem todos os sites não permitidos para os usuários. Basta
adicionar os sites botão manager e deixar a opção ENABLE (habilitado) ativo. Para bloquear
todas as páginas do site, basta adicionar o /* ao final de cada site, exemplo:
www.terra.com.br/*.
Pagina de gerenciamento de acessos aos sites
Para utilizar o Proxy é necessário especificar a placa de rede que estará sendo
capturada. Para isso na divisão “HTTP Capturing Rules”, clica-se no botão com o símbolo de
“+” e será aberta uma página (como representada na figura 18), no campo “Action” seleciona-
se “Capture Request”, no campo “Source Interface” seleciona-se a interface de onde os dados
vão ser capturados, no caso a interface interna, no campo “Source IP” o endereço IP da
máquina de origem e no campo “Destination IP” o endereço IP da máquina de destino, caso
não preencha esse campo a regra valerá para todas as máquinas da rede. Após os campos
preenchidos clica-se no botão “Save”.
Página de gerenciamento de captura do proxy
Pagina inicial do serviço de Proxy
Página de acesso não autorizado do Proxy transparente
Por padrão as páginas de erro são carregadas na linguagem inglês, para realizar a
mudança é preciso acessar via SSH ou através do servidor(tecla o arquivo encontrado em /
root/kerbynet.cgi/template/havp.conf (figura xxx). ,e descomentar a linha TEMPLATEPATH
/usr/local/etc/havp/templates/en. Para modificar para linguagem brasileira TEMPLATEPATH
/usr/local/etc/havp/templates/br (figura xxx).
Caminho arquivo de configuração havp.conf
Arquivo de configuração havap.config
CONFIGURANDO O FIREWALL
O firewall do ZEROSHELL é um forte aliado para a proteção da rede. A sua
configuração é muito fácil de ser implementada. Encontramos nas configurações do servidor o
bloqueio de aplicações (camada 7). Existe uma lista com os principais programas e
protocolos. Há duas maneiras de configurar o firewall, através da interface gráfica, ou através
dos comandos. Primeiramente pelo modo dos comandos, para isso na página web do
ZeroShell no menu vertical esquerdo acessa-se System > Setup a página será redirecionada
para a página inicial da configuração do ZeroShell, no menu superior acessa-se
“Startup/Cron” irá abrir uma nova janela (Figura xxx). Nessa janela na parte superior a um
objeto de seleção, seleciona-se “Firewall”. Nesta janela de acordo com a cadeia se insere as
regras do firewall iptables.
Pagina inicial do firewall do servidor
O ZEROSHELL por padrão desabilita a utilização do firewall no modo manual, é
preciso habilitar de acordo com a seta mostrada abaixo.
Configuração manual do firewall
Para adicionar as regras no modo interface gráfica, basta clicar no botão
add(adicionar) na listagem das regras na pagina inicial do firewall, que será aberto um popup
para a colocação das regras.
Adicionar regras do firewall em modo gráfico
CONFIGURAÇÃO PORTAL CAPTIVO
O Portal Captivo é uma forma interativa de autenticação dos usuários da rede para a
utilização dos serviços de internet. O ZEROSHELL possibilita uma administração desse
recurso de forma rápida e funcional. Existe opções de limitar o consumo de banda por
usuário, horários, etc. O ZEROSHELL possui um plugin que complementa ainda mais o uso
do Portal Captivo, este se chama ZEROTRUST e após a sua instalação é colocado uma série
de recursos extras para esse tipo de serviço. A configuração a seguir é realizado sem o plugin
ZEROTRUST.
O acesso do Portal Captivo é feito através do menu no lado esquerdo(USERS>
Captive Portal). Por padrão o serviço encontra-se desabilitado, é necessário escolher a
interface da placa de rede interna ante de ativar o serviço.
Página inicial do Portal Captivo
Na tela inicial é mostrado os usuários conectados, bem como o seu endereço IP e
MAC. No lado direito temos alguns parâmetros que podem ser habilitados, como proteção de
DoS, identificação dos clientes pelo IP ou MAC, se é permitido conexão simultânea com o
mesmo login, e o tempo de validade da autenticação quando inativo as atividade.
Tela de login padrão do Portal Captivo
O ZEROSHELL permite que a página de login seja personalizada pelo administrador
de rede. È possível também realizar a tradução manualmente das palavras exibidas neste
serviço. Na figura xx , temos a página de personalização da página de autenticação. Nas setas
são exibidos as principais configurações. È possível informar ao servidor que caso de sucesso
na autenticação o usuário vai automaticamente para a sua pagina requisitada ou então é
redirecionado para outra página, por exemplo a intranet.
Pagina de configuração de customização da área de autenticação
Página para modificação da imagem da página de login
É necessário que se conheça as dimensões da imagem a ser adicionada. Para que não
fique deformado no momento de ser exibido na tela de login.
Modificação do logotipo da tela de login com a utilização do brasão da Escola de
Comunicações
È possível a realização da tradução da página. Devemos acessar o menu Language
(linguagem) para definir qual linguagem utilizar, ou customizar a mesma. È preciso definir
cada palavra/frase.
Pagina de customização da linguagem
Página de login após a personalização
A administração dos usuários é feito através do menu Accounting (contabilidade),
onde mostra em números os usuários registrado e os seus usos na rede (trafego utilizado,
tempo conectado, etc). Nessa página é possível definir classes para cada grupos de usuários,
através do Accounting Classes, podemos definir a banda total que pode ser usuada, o tempo
de conexão, largura de banda, etc.( Figura xxx ).
Página de contabilidade de usos no serviço de rede
Página de definição de classes para usuários
Para adicionar usuários é necessário acessar o menu USERS(menu esquerdo) e clicar
na aba Add (adicionar). È mostrado uma página para a colocação dos dados do usuário, bem
como definir a que classe pertence.
Página de criação da conta do usuário na rede
Página com os dados preenchidos.
Lista dos usuários com acesso a rede
CONFIGURAÇÃO VPN