Slackware Linux – Notícias sobre o desenvolvimento. Janeiro, 2016.

Slackware logo

Olá pessoal! Mais atualizações de pacotes foram adicionadas nos últimos dias, e entre as mais marcantes temos a que inclui um novo kernel Linux, agora em versão 4.4.0 LTS, além da mudança para o BlueZ 5, que demandou várias modificações na estrutura da distribuição, já que este não suporta o Alsa, mas sim o PulseAudio por padrão, o que fez com que este também fosse incluído à Slackware Linux.

Além destas, podemos citar outras atualizações como a do navegador Firefox, para a versão 43.0.4, Thunderbird para a versão 38.5.1, Audacious 3.7.1, entre outras. O anúncio oficial, disponibilizado no changelog da distribuição, também oficializa este como sendo o conjunto oficial de pacotes da Slackware Linux 14.2 versão beta 1.

Embora não seja oficial, é possível baixar a imagem ISO construída por um dos membros da equipe de desenvolvimento, Eric Hameleers, que gera estas imagens a cada nova modificação na estrutura da árvore current da distribuição. Para acessá-la, basta clicar aqui. A imagem da ISO atual tem o tamanho de 2.6 Gb, devendo ser gravada em um DVD.

O Eric também confirma em seu blog que o systemd não será incluso na distribuição Slackware, terminando com as dúvidas sobre a possibilidade de inclusão do mesmo na distro.

Dica de segurança em servidores Slackware com SSH habilitado

Slackware logo

Sim, você provavelmente já viu um texto com esse título, e vai notar que também trato do mesmo assunto, que é apenas uma dica trivial para a implementação de segurança básica e inicial em servidores que utilizem acesso via SSH, principalmente aqueles que estão disponíveis a acesso externo ( leia-se Internet ).

O artigo que escrevi anteriormente foi postado em outro blog, e foi uma pequena contribuição para a difusão de experiências que temos, e que optamos por compartilhar com a comunidade, facilitando a iniciação daqueles que tenham interesse em assuntos diversos, tratados pelos profissionais que lá queiram dividir seus conhecimentos.

No post original, eu tratei sobre a customização do arquivo de configuração do serviço de SSH em um servidor com sistema operacional GNU/Linux, mais especificamente a distribuição CentOS, então quis registrar o assunto aqui também, utilizando a nossa querida Slackware Linux.

Caso já tenha lido o post original, este não lhe trará nenhuma informação nova, sendo apenas uma adaptação para outra distribuição GNU/Linux, mas, caso ainda não o tenha lido, e assim como eu, utilize a distribuição Slackware, então talvez ache essa pequena dica algo interessante de se compartilhar com alguém que talvez precise.:)

Como é de conhecimento geral, uma das primeiras providências que possíveis invasores tomam, tão logo escolhem um alvo, é iniciar a coleta de informações a respeito deste, e quando este está disponível para acesso através da Internet, entre essas atividades de reconhecimento inicial está a varredura de portas, buscando possíveis pontos de entrada no sistema.

Um destes pontos de entrada pode ser o serviço de SSH, que geralmente é deixado habilitado como forma de acessar remotamente esses servidores, e é por isso que precisamos reconfigurar esse serviço para que não tentem utilizá-lo para obtenção deste acesso com o único usuário de que eles tem certeza que existe no sistema alvo, e esse usuário é o root. A dica é simplesmente configurar o serviço de forma que o acesso como superusuário não seja possível, e para tanto devemos seguir alguns passos. Para este tutorial, utilizei a versão estável mais recente da Slackware Linux, que é a 14.1, sendo que a versão 14.2 não deve demorar muito mais para ser lançada.

Através da linha de comando, já com privilégios de root, vamos acessar o arquivo de configuração do serviço, localizado no diretório /etc. Com o editor de textos para linha de comando de sua preferência, edite o arquivo /etc/ssh/sshd_config. Utilizando o vi seria:

# vi /etc/ssh/sshd_config

Localize a linha com a opção que precisamos alterar. Ainda utilizando o Vi bastaria utilizar o caractere “/” para realizar a busca:

/#PermitRootLogin

Isso nos levaria à linha que precisamos mudar. Ela estaria assim:

#PermitRootLogin yes

Utilize a tecla insert para entrar em modo de edição no Vi e navegue pela linha, alterando-a para deixá-la assim:

PermitRootLogin no

Em seguida vá até o final deste arquivo e adicione um campo chamado AllowUsers. Este campo será utilizado para explicitar quais usuários terão acesso remoto via SSH autorizado. Veja o exemplo utilizado em meu post anterior:

AllowUsers=fulanodetal

Isso faria com que apenas o usuário fulanodetal pudesse acessar o sistema utilizando o protocolo SSH, e outros usuários, mesmo tendo contas configuradas no servidor, não conseguiriam autorização de acesso. Caso queira que outros usuários tenham acesso, basta listá-los entre os permitidos, separando-os por vírgulas. Após o término de adições basta salvar o arquivo e voltar ao prompt do shell. No caso do Vi seria a combinação de teclas ctrl+x.

Essa deve, ou deveria ser, uma das primeiras medidas de segurança a ser implantada, e não demora quase nada para que se torne efetiva. Bastando agora que o serviço seja reiniciado para que as mudanças sejam efetivadas. O comando para reiniciar o SSH varia de acordo com a distribuição utilizada. No nosso caso, utilizamos os comandos a seguir:

# /etc/rc.d/rc.sshd stop

# /etc/rc.d/rc.sshd start

Como também esclareci no post anterior, existem outras opções que podem ser modificadas no arquivo, e que são interessantes para ampliar essa proteção, como por exemplo o tempo permitido pelo sistema para que a pessoa entre com as credenciais de acesso, a quantidade de tentativas em sequência que a pessoa pode tentar antes de ser desconectada, entre outras, portanto vale a pena explorá-las, modificá-las de acordo com as suas necessidades, não esquecendo é claro de sempre salvar o arquivo com essas modificações e reiniciar o serviço sempre que desejar aplicar novas alterações.

Recomendo ainda que coloque a porta, na qual o serviço está habilitado, sob a proteção do firewall. Em nosso caso, o IPTables é o firewall que acompanha a Slackware Linux, e para proteger o serviço SSH vamos adicionar algumas regras a ele. Essas regras foram retiradas de um outro artigo, publicadas em um outro blog, pertencente à rackAID, e que tem por objetivo proteger os sistemas contra ataques de força bruta:

# iptables -N LOGDROP

# iptables -A LOGDROP -j LOG

# iptables -A LOGDROP -j DROP

# iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –set

# iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –update –seconds 60 –hitcount 4 -j LOGDROP

Isso fará com que um endereço IP seja bloqueado caso tente acesso mais de três vezes durante um minuto. As regras implicam somente os casos de novas conexões, não impactando as que sejam bem sucedidas. Além disso, a configuração permitirá o registro destas tentativas através de logs.

Para confirmar que as regras foram acrescidas, basta listá-las como normalmente faria:

# iptables – L

Bem essa era a dica, agora com foco na implementação em uma distribuição Slackware Linux. Espero que tenham gostado. Até a próxima!

Novo ano, novas metas?

Olá pessoal! Um novo ano se inicia, e com um tempinho adicional desta vez, já que estamos em um ano bissexto e teremos um dia a mais para aproveitar em fevereiro.

Como nos anos anteriores, criamos bastante expectativa quando um se encerra e outro é iniciado, porém creio que o que deveria acontecer seria mantermos esse desejo de mudança constantemente vivo dentro de nós, sempre em movimento.

Realizamos tudo aquilo que planejamos para o ano anterior? Talvez não. Isso realmente importa? Bem, depende. O que geralmente desenhamos para o próximo ano pode nem sempre ser o que realmente seria o melhor para nós, caso se concretizasse, então nem sempre não realizar determinada tarefa deve ser encarado como uma falha.

Acredito que devamos planejar o futuro, porém esse planejamento não deve ser algo rígido, inflexível, e nem mesmo de curto prazo. Um ano é um período considerável, porém as metas podem se estender um pouco mais, indo a três ou cinco anos, sendo adaptadas ao longo desse período, adequando-se às mudanças econômicas, políticas, ou mesmo de desejos, objetivos.

O que creio realmente importar é que não importa em quanto tempo tenha realizado o planejamento, quanto tempo já tenha despendido em determinado projeto, se os objetivos não puderam ser atingidos no período que imaginava, mas sim, se essas metas ainda são sua paixão, se elas ainda são importantes tanto quanto no princípio, e o que ainda é necessário para atingi-las.

Portanto, não desanime se um novo ano começou e não pôde realizar o que desejava durante o ano que terminou, você ainda pode manter essas metas para esse novo período, desde que seja isso que realmente importe para você, que elas sejam aquilo que te movimenta. Novas metas? Claro! São perfeitamente plausíveis! E eu nem precisaria estar lhe dizendo isso pois você já sabia!

O que no final queria mesmo dizer, é que não faz mal não ter conseguido atingir todas as metas em 365 dias, sempre haverá mais depois deles. Então o importante é não desanimar, e continuar firme rumo à concretização desses sonhos, à realização dessas metas, não importando o tempo que se leve, mas sim o que te espera quando finalmente chegar ao final da jornada e ver seus planos serem efetivados, tanto os antigos quanto os novos, graças à sua perseverança, determinação e paixão.

Feliz 2016! Que seus sonhos se realizem, novos ou antigos, não importa quando!