Arquivo da tag: debian

Tutorial New Relic: Monitore os recursos do Servidor em Tempo Real

New Relic é uma ferramenta de monitoramento e aperfeiçoamento de recursos e aplicativos em servidores. Neste tutorial vou mostrar como instalar e configurá-la para exibir em tempo real um servidor Linux Debian.

Mostrarei abaixo como fazer a simples instalação do New Relic mas acesse o website deles e veja a infinidade de recursos e opções que a ferramenta oferece (a que me chamou mais atenção foi a possibilidade de criar alertas personalizados). A instalação e gerenciamento para múltiplos servidores é gratuita.

Monitorando o servidor com New Relic

Esta ferramenta pode ser instalada em qualquer servidor Linux, mas siga nosso tutorial de Debian 8 com ISPConfig 3 para uma melhor experiência.

1 ⇒ Crie uma conta gratuita no site da New Relic: http://br.newrelic.com/

2 ⇒ Acesse o painel com as suas credenciais e clique em “Servers” no menu. Logo acima da lista de servidores clique no botão “+ Add more“.

3 ⇒ Choose a Platform: selecione Ubuntu or Debian

Abrirá uma extensão da tela abaixo exibindo os passos adicionais que deverão ser executados no servidor como superusuário root.

4 ⇒ Acesse o servidor via SSH como root e digite os seguintes comandos:

cd /root

echo deb http://apt.newrelic.com/debian/ newrelic non-free >> /etc/apt/sources.list.d/newrelic.list

#Note o sinal de "-" no final do próximo comando
wget -O- https://download.newrelic.com/548C16BF.gpg | apt-key add -

#Se ao tentar executar o apt-get update abaixo der um erro "Unable to lock directory" aguarde alguns minutos e tente novamente 
apt-get update

apt-get install newrelic-sysmond

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

*Regarding english support please contact me by email or post a comment using the Disqus system. I do offer monthly support and custom server deploy. Now accepting Paypal and Bitcoin!

Tutorial Debian 8 x64 com ISPConfig e NginX: Firewall

Um servidor sem Firewall é como aguardar por um desastre anunciado, você sabe que vai acontecer e, como administrador de sistemas, tem que tomar providências para minimizar os estragos.

Durante algumas semanas deixei o meu site num servidor que a gente chama “honey pot“. Esse tipo de servidor é usado para, propositalmente, receber ataques e fazer log de tudo direcionando-os para determinados arquivos do sistema. Com essa técnica consegue-se filtrar e catalogar os tipos mais comuns de ataques, e as análises extraídas servem de base para melhorar as defesas do sistema.

Neste artigo Vamos acionar o Firewall do ISPConfig (Bastille Firewall), reconfigurar o Fail2Ban melhorando a detecção, ajustar o JailKit, acertar o NginX para mitigar ataques DDoS e, opcionalmente, instalar o Logwatch e desativar o modo recursivo do BIND.

Configurando o Firewall do Sistema

* Acesse o terminal SSH como superusuário root para executar os comando de instalação e configuração.

Acionando o Firewall do ISPConfig

No artigo anterior deste tutorial mostrei como adicionar as portas para o modo passivo do FTP ao firewall do ISPConfig, se você pulou aquele passo ou não prestou atenção, proceda da seguinte maneira:

Acesse: ISPConfig → Sistema → Firewall

Clique no botão “Adicionar Registro de Firewall” e confirme a tela que abrirá (se já havia adicionado o Firewall simplesmente abra a configuração existente), em seguida clique na linha de configuração e na caixa de “Portas TCP abertas” adicione “40110:40210” (portas para o FTP passivo) desta maneira:

20,21,22,25,53,80,110,143,443,587,993,995,3306,8080,8081,10000,40110:40210

* Pode-se parar o firewall do ISPConfig pelo console a qualquer momento digitando: /etc/init.d/bastille-firewall stop (isso pode ser útil caso queira testar se algum serviço externo não está conseguindo acessar o servidor por causa de alguma restrição de porta)

Reconfigurando o Fail2Ban e melhorando a detecção de ataques

Fail2Ban é a ferramenta responsável por detectar ataques ao servidor e automaticamente aplicar regras de ban. Alguns serviços básicos já estão configurados, mas vamos adicionar outros para minimizar riscos.

* Antes de adicionar os filtros abaixo ao Postfix, verifique se você tem um nome de servidor FQDN configurado, isso é muito importante para o correto funcionamento. Para uma melhor explicação veja o passo “Antes de começar” neste link.

2a ⇒ Edite o arquivo /etc/postfix/main.cf e altere/adicione as linhas abaixo:

#Próximo à Linha 57: Substitua a instrução "smtpd_recipient_restrictions" por esta abaixo (note que é uma linha única. e note também que no script novo de instalação há suporte a greylisting de emails e que o repositório padrão configurado para checagens é o zen.spamhaus.org. O SpamHaus é conhecido por cometer "enganos" com IPs legítimos, caso decida usar o serviço deles não precisa alterar a linha 57):

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unknown_recipient_domain, permit
 
#Próximo às linhas 66 e 67: Substitua as linhas com instruções "smtpd_sender_restrictions" e "smtpd_client_restrictions" pelo bloco de código abaixo:

#EDIT Out/2016: Ajuste das instruções para a nova versão do instalador do ISPConfig, mantido o bloco antigo somente para compatibilidade

smtpd_data_restrictions = reject_unauth_pipelining
smtpd_delay_reject = yes
smtpd_sender_restrictions = 
   permit_mynetworks,
   reject_non_fqdn_sender,
   reject_unknown_sender_domain,
   check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf,
   permit
smtpd_client_restrictions = 
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unknown_client_hostname,
   check_client_access mysql:/etc/postfix/mysql-virtual_client.cf,
   permit

#Para instalações a partir de Out/2016 use este bloco de código:
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_delay_reject = yes
smtpd_sender_restrictions =
   check_sender_access regexp:/etc/postfix/tag_as_originating.re,
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_non_fqdn_sender,
   reject_unknown_sender_domain,
   check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf,
   check_sender_access regexp:/etc/postfix/tag_as_foreign.re,
   permit
smtpd_client_restrictions =
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unknown_client_hostname,
   check_client_access mysql:/etc/postfix/mysql-virtual_client.cf,
   permit

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

*Regarding english support please contact me by email or post a comment using the Disqus system. I do offer monthly support and custom server deploy. Now accepting Paypal and Bitcoin!

Upgrade do Roundcube Webmail pelo Backports

Neste tutorial mostrarei como fazer upgrade de programas Linux Debian usando o repositório backports. Aplicaremos um exemplo prático que será o upgrade do Roundcube Webmail para a última versão disponível naquele repositório.

Backports: são pacotes (packages) selecionados da próxima versão do Debian, também chamados de “Testing” ou “Unstable”. Eles são ajustados e recompilados para serem usados na versão estável (Stable) do sistema. Em teoria, poderíamos usar qualquer pacote de programas disponível no backports sem alto risco de segurança ou instabilidade, pois, diferentemente dos repositórios Unstable e Testing, o que está no repositório foi selecionado e adaptado como eu disse. Porém, mesmo assim, devemos ter algum cuidado com incompatibilidades com outros programas, explicarei abaixo como proceder de maneira segura.

* Faremos um upgrade do Roundcube disponível no Debian 7 Stable, e que instalamos neste tutorial. O Debian é um S.O. Linux que tem como pontos fortes estabilidade e segurança, que são características para agradar qualquer bom administrador de sistemas, portanto, note que, a maioria dos pacotes de aplicativos disponíveis geralmente não são os mais novos, mesmo aqueles do repositório backports.

Upgrade do Roundcube Webmail usando o repositório Debian Backports

* Este tutorial foi testado em nosso servidor Debian 7 com ISPConfig 3 e Postfix, clique aqui e veja como instalar.

Prepare o sistema para baixar pacotes do backports

Faça um backup do servidor: Se estiver usando um servidor em produção é muito importante criar um backup ou snapshot (clique aqui para aprender como fazer) para que, se algo der errado, ter uma cópia de segurança para restaurar.

Adicione o repositório backports ao sources: Crie o seguinte arquivo  /etc/apt/sources.list.d/wheezy-backports.list com o seguiinte comando:

> echo deb http://mirrors.digitalocean.com/debian wheezy-backports main > /etc/apt/sources.list.d/wheezy-backports.list

Atualize o cache local de pacotes:

> apt-get update

Verifique a versão do pacote: Use o comando apt-cache para exibir a versão instalada e a disponível no repositório:

> apt-cache policy roundcube

Em nosso Debian 7 padrão a saída do comando acima é:

Installed: 0.7.2
Version table: 0.9.5-1~bpo70+1

Versão instalada 0.7.2, disponível 0.9.5 bpo70 (que significa backports para o Debian 7).

* Se o comando não mostrou a versão instalada clique aqui e veja como instalar. Lembre-se que estamos somente fazendo uma atualização.

* Note que no repositório oficial existe outras atualizações, e que para o Debian 8 poderíamos fazer upgrade para a versão 1.1.2 pelo backports (1.1.2~bpo80).

Uma lista das versões disponíveis do Roundcube para o Debian pode ser acessada neste link:

http://ftp.debian.org/debian/pool/main/r/roundcube/

Atualize o Roundcube e reconfigure os arquivos

Instale a nova versão:

Note que usaremos a opção “-t wheezy-backports“. Para instalar um pacote do backports sempre teremos que definir o repositório com o -t (target), não havendo perigo de, numa instalação de outro programa, o instalador usar o backports automaticamente.

*Somente use esse repositório seletivamente como estamos fazendo, lembre-se que nem tudo o que está lá é seguro e estável.

> apt-get install -t wheezy-backports roundcube

* Responda as perguntas da seguinte maneira:

» Deseja continuar? tecle: <-- ENTER

» Perform upgrade on database for roundcube with dbconfig-common?: <-- <Yes>

» Password of the database's administrative user: <-- Digite a senha de administrador do MySQL

» Se aparecer uma última pergunta sobre as modificações do arquivo main.inc.php responda: <-- <install the package maintainer's version> (use as teclas de navegação para selecionar a primeira opção e tecle ENTER)

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

*Regarding english support please contact me by email or post a comment using the Disqus system. I do offer monthly support and custom server deploy. Now accepting Paypal and Bitcoin!

Monitorando o servidor VPS com Logwatch

Logwatch é uma ferramenta customizável que serve para monitorar os arquivos de log no servidor, reportando as principais atividades e alertando para possíveis tentativas de invasão. Em nossos testes o relatório diário enviado pelo Logwatch tem auxiliado na captura/ban definitivo de ataques ao servidor, tarefa que seria impossível de fazer manualmente.

* Como a maioria de vocês já devem estar acostumados, o objetivo dos tutoriais que publicamos é apresentar o texto de forma resumida optando pelas melhores configurações adaptadas aos tutoriais anteriores. Poderíamos falar mais sobre a ferramenta e mostrar as opções que ela oferece mas da nossa maneira vamos direto ao que interessa. Este tutorial foi instalado e testado no Linux Debian 7 com ISPConfig que configuramos anteriormente.

Instalando e Configurando o Logwatch:

Já vimos anteriormente como analisar os arquivos de log no VPS, aprendendo para que serve cada arquivo e monitorando o servidor. Mas daquela forma levaríamos horas para filtrar possíveis ataques e outras atividades importantes. Com o Logwatch vamos automatizar essa tarefa.

* Este tutorial deve ser seguido posteriormente ao de Segurança no Servidor que publicamos recentemente <clique aqui para aprender como configurar um Firewall>

Baixe e instale o Logwatch:

#Faça primeiro um update dos pacotes no repositório e rode o instalador em seguida
> apt-get update

> apt-get install logwatch
#Na pergunta se deseja continuar tecle ENTER

Altere o arquivo de configuração:

Faremos algumas alterações para o relatório ser enviado com maior clareza e de forma detalhada. Edite o arquivo: /usr/share/logwatch/default.conf/logwatch.conf 

* Em nossos tutoriais usamos sempre o WinSCP com Notepad++ para editar arquivos remotos, siga este link para aprender como fazer isso

#Na linha 35 altere para que o relatorio seja enviado por email
Output = mail

#Na linha 37 altere o formato para HTML facilitando a leitura
Format = html

#Na linha 44 vamos configurar para qual email o relatorio sera enviado (pode ser uma conta interna ou externa)
MailTo = [email protected]

#Na linha 53 podemos, opcionalmente, alterar para que o relatorio seja enviado usando uma conta interna e autenticada do sistema, evitando problemas com entrega para caixas de entrada como as do Hotmail
#Para essa linha de configuracao funcionar veja observacao no passo 3 abaixo
MailFrom = [email protected]

#Na linha 77 altere o nivel de detalhes para Medio, assim o relatorio sera enviado como aquele demonstrado em nosso link acima
Detail = Med

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

*Regarding english support please contact me by email or post a comment using the Disqus system. I do offer monthly support and custom server deploy. Now accepting Paypal and Bitcoin!

Linux: Acessando a Interface Gráfica do VPS pelo VNC

Neste tutorial mostraremos todos os passos para instalar e configurar um servidor VNC, que permite acessar a interface gráfica (Desktop) em um servidor VPS Linux.

As configurações apresentadas foram testadas em nosso servidor Ubuntu 14.04 Utopic Unicorn mas podem ser aplicadas em outras distribuições Linux, como por exemplo o servidor Debian com ISPConfig 3 que configuramos anteriormente.

continuar lendo..

Gerenciamento de Servidores Cloud com atendimento e consultoria em português. Planos mensais com os melhores preços do mercado.
Envie um email para [email protected] e saiba mais!

*Regarding english support please contact me by email or post a comment using the Disqus system. I do offer monthly support and custom server deploy. Now accepting Paypal and Bitcoin!