Vou explicar aqui uma maneira rápida e fácil de garantir que backps antigos sejam excluidos automaticamente.

O comando seguinte efetua as exclusões automaticamente:

# find /home/backup/arquivobkp* -ctime +15 -delete

O comando find procuar dentro do diretório /home/backup/ todos arquivos arquivobkp* que foram criados a mais de 15 dias (-ctime+15) e irá apagar todo resultado positivo da busca com o parametro “-delete”.

Aproveitando a explicação, o que alguns não sabem é que no GNU/linux há três tipos de marca de tempo em arquivos que podemos utilizar em certastarefas. São eles:

mtime: a hora da modificação (ls -l)
ctime: a hora da mudança do estado ( ls -lc)
atime: a hora do último acesso (ls -lu)

Voltando a nossa dica de exclusão automatica, podemos automatizar ainda mais o processo, agendando o comando na crontab do seu servidor. Vamos programar o linux para o sistema rodar o comando, de segunda a sexta, as 10:00 hs.

Para configurar um crontab por usuário, utiliza-se o comando “crontab”, junto com um parâmetro, dependendo do que você quiser fazer. Abaixo uma relação:

Comando Função
crontab -e Edita o crontab atual do usuário
crontab -l Exibe o atual conteúdo do crontab do usuário
crontab -r Remove o crontab do usuário

Mas antes vou explicar o uso da crontab.

Vamos a um exemplo fácil:

0 6 * * * ls -l

Então como se pode ver, a linha é dividida em 6 campos separados por tabs ou espaço:

Campo Função
1o. Minuto
2o. Hora
3o. Dia do mês
4o. Mês
5o. Dia da semana
6o. Programa pra execução

Todos estes campos, sem contar com o 6o., são especificados por números.
Veja a tabela abaixo para os valores destes campos:

Campo Função
Minuto: 0-59
Hora: 0-23
Dia do mês: 1-31
Mês: 1-12
Dia da semana: 0-6 (o “0″ é domingo, “1″ segunda, etc)

Traduzindo o comando acima: “Execute o comando ‘ls -l’ todo dia de todo mês sendo o dia qualquer dia da semana, às 6 horas e 0 minutos.”

Voltando ao nosso dica, vamos adicionar o comando dentro da crontab. Digite no terminal o seguinte comando:

# crontab -e // edita a crontab do usuário atual

Dentro da crontab digite a linha seguinte:

00 10 * * 1-5 find /home/backup/arquivobkp* -ctime +15 -delete

Para reiniciar o serviço da crontab, utilize as opções abaixo:

# service crond restart
ou
# /etc/init.d/crond restart

Até a próxima pessoal!

1) Criação de Links

Vamos entender as diferenças entre links (hard links) e links simbólicos (symlinks) e as vantagens e desvantagens de cada um.

O que são links
Links são pseudo arquivos que apontam para um arquivo real.

Links simbólicos
Links simbólicos são pequenos arquivos que apontam para um outro arquivo no sistema de arquivos. Um link simbólico pode apontar para um arquivo em qualquer lugar, seja no próprio sistema de arquivos onde ele está localizado, seja em outro sistema de arquivos e, até mesmo em sistemas de arquivos remotos, como NFS, por exemplo. Podem tembém apontar para diretórios. Por ser um arquivo, um link simbólico ocupa espaço - pouco, é verdade - no sistema de arquivos.
Você pode ver se um arquivo é na verdade um link simbólico, dando um ls -l no diretório onde ele se encontra. Os links simbólicos contém um l ? esquerda da lista de permissões e não contém permissões na verdade. As permissões do arquivo real são usadas. Se o arquivo real for apagado o link simbólico vira um “link morto” (dead link), ou seja, um link que aponta para um local que não existe. Para criar um link simbólico, basta acrescentar o argumento “-s

O comando para a criação de um link simbólico é

[root@reale] $ ln -s /caminho/arquivo nome_do_link
Exemplo: [root@reale] $ ln -s /home/reale/firewall.sh firewall

Hard links
Hard links não são links na verdade. São apenas uma cópia de uma entrada do sistema de arquivos. As duas entradas contém nomes diferentes mas apontam para o mesmo local físico no disco (inode, no caso de sistemas de arquivos ext2 e ext3) compartilhando, portanto, além do mesmo conteúdo as mesmas permissões. Se o arquivo verdadeiro for apagado, o hard link continua apontando para o mesmo local físico sendo, portanto, acessível da mesma forma.
O problema dos hard links é que eles têm duas limitações importantes:
o arquivo e o hard link que aponta pra ele devem obrigatoriamente estar localizados no mesmo sistema de arquivos já que o hard link aponta para um endereço físico (inode) e não se pode garantir que estes endereços sejam únicos em vários sistemas de arquivos. Suponha, por exemplo, um arquivo localizado no inode 50 no sistema de arquivos hda3. Não se pode garantir que em outro sistema de arquivos, hda5 por exemplo, não haja um outro arquivo com número de inode 50.
A outra limitação é que um hard link não pode apontar para um diretório. Hard links não ocupam espaço no sistema de arquivos.

O comando para a criação de um hard link é

[root@reale] $ ln /caminho/arquivo nome_do_link
Exemplo: [root@reale] $ ln /home/reale/firewall.sh firewall

2) Aliases e funções

Aliases e funções são utilizados para incrementar alguns recursos ou simplesmente simplificar comandos mais complexos.

Exemplo de alias:

alias montaCDROM=”mount /dev/hdc /mnt/cdrom”

O alias acima diz que quando digitarmos o comando “montaCDROM” será executado o comando “mount /dev/hdc /mnt/cdrom”.

Este comando só é valido para a seção do bash corrente, para adiciona-lo permanentemente basta editar o arquivo ~/.bashrc e adicionar (alias montaCDROM=”mount /dev/hdc /mnt/cdrom”).

Funções são utilizadas para se executar comandos mais complexos, que necessitem de mais de uma linha para serem executados.

Exemplo de função:

function lf
{
ls –color=tty –classify $*
echo “$(ls -l $* | wc -l) files”
}

Dessa forma, quando for digitado no prompt de comando “lf”, tudo o que está entre as chaves será executado.

3) Cliando Atalhos no Teclado

O Shell Bash já possui varias teclas de atalhos como foi apresentando no artigo: —-, mas vc tambem pode personalizar o seus próprios atalhos, por exemplo, com a combinação das teclas Ctrl + P você visualizar suas configurações de rede.

Conheça agora o bind. Não é o Bind usado para implementar servidores DNS e sim um comando que lhe ajuda a personalizar seus atalhos no Bash .

Vamos a um exemplo:

Usando o exemplo acima, supondo que você queira visualizar suas configurações de rede com as combinações das teclas Ctrl + P, para criar esse atalho usamos a seguinte combinação:

bind -x ‘”\C-p”‘:ifconfig

Agora sempre que você pressiona as teclas Ctrl + P, serão exibidas suas configurações de rede.

Obs: Não se esqueça dos apóstrofos e aspas.

Para remover um atalho, utilizamos o seguinte comando:

bind -r ‘\C-p’

Ctrl + A - Vai para o início da linha que você está digitando atualmente

Ctrl + E - Vai para o final da linha que você está digitando atualmente

Ctrl + L - Limpa a tela, exceto a que você está digitando. Igual ao comando Clear

Ctrl + U - Apaga os caracteres antes da posição do cursor.

Ctrl + H - Igual a tecla Backspace.

Ctrl + R - Procura os comando por comandos previamente utilizados

Ctrl + C - Cancela o funcionamento de qualquer comando

Ctrl + D - Fecha o atual shell

Ctrl + Z - Coloca o processo do comando que está funcionando em background.

Ctrl + W - Deleta palavras antes do cursor

Ctrl + K - Apaga todos os caracteres após o cursor

• Diretório /proc
O diretório /proc é um pseudo-sistema de arquivos usado como uma interface para as estruturas de dados do kernel do sistema operacional, permitindo uma visão do ambiente de cada processo em execução, assim como o estado da memória.
A memória pode ser acessada pelo pseudo-arquivo /proc/kcore, que representa a memória física do sistema no formato de um core file. Novamente, com auxílio do strings ou um programa de depuração, como gdb, o investigador pode analisar o conteúdo desse arquivo.

Tráfego de rede

A partir do tráfego de rede é possível analisar toda a comunicação entre atacante e máquina invadida, estabelecendo uma seqüência de eventos e comparando com as outras evidências encontradas.
Programas utilizados para captura de tráfego de rede são conhecidos como sniffers.
Um dos programas desse gênero mais popular é o tcpdump, que pode ser usado para capturar qualquer tráfego de rede, decodicar e exibir os datagramas à medida em que são coletados.

# tcpdump -i eth0 host 192.168.0.1

Neste exemplo, o tcpdump é utilizado para capturar todo o tráfego de rede que passa pela interface eth0, provenientes do endereço IP 10.10.0.1 ou que o tenha como destino.
O parâmetro -w do tcpdump permite armazenar os datagramas capturados em um arquivo binário para posterior análise:

# tcpdump -w trafego.dump

Para capturar o tráfego da interface eth0 (-i) e não resolver o reverso dos endereços IP (-n); opção que ajuda bastante na velocidade da captura. Capturar até 1500 bytes dos pacotes (-s) ao invés dos 68 bytes capturados na opção padrão. Capturar somente 500 pacotes (-c) e gravar em um arquivo (-w) chamado trafego.cap, utilizamos o exemplo abaixo.

# tcpdump -i eth0 -n -s 1500 -c 500 -w trafego.cap

Mais detalhes sobre as opções e filtros dessa ferramenta pode ser obtido no link (http://www.tcpdump.org/)

Com auxílio de ferramentas como, por exemplo, ethereal, o investigador pode analisar este arquivo binário e exibir as informações dos datagramas capturados
em um formato legível permitindo até a reprodução da sessão capturada.

Com a análise dos datagramas pode-se encontrar evidências como:
• endereço IP inválido ou suspeito;
• tráfego em portas desconhecidas;
• tráfego em serviços ou portas que não deveria estar ocorrendo;
• datagramas com opções, flags ou tamanhos que não respeitam os padrões do protocolo (Request for Comment - RFC);
• flood de datagramas na rede;
• tráfego TCP em portas incomuns.

• As ações do investigador não devem alterar as evidências;
• A evidência original deve ser preservada no estado mais próximo possível daquele em que foi encontrada;
• Todas as evidências digitais coletadas e as cópias produzidas devem ser autenticados por meio de hash criptográfico, para verificar sua integridade;
• O investigador não deve confiar nos programas e nem nas bibliotecas dinâmicas do sistema suspeito;
• Fazer uma imagem(cópia exata) da evidência original sempre que possível, para preservar a integridade deste;
• A cópia dos dados que serão examinados devem ser feitas para uma mídia “esterelizada”e sem defeitos;
• Toda evidência deve ser apropriadamente etiquetada, contendo por exemplo o nome do caso investigado, data e hora da coleta, entre outros;
• Todas as informações relativas à investigação devem ser documentadas;
• As ferramentas utilizadas na investigação devem ser aceitas pelos especialistas forenses e testadas para garantir sua operação correta e confiável.

1) Situação inicial do sistema

O investigador forense ao ser chamado para fazer uma análise, pode encontrar o computador ligado ou desligado. Caso o encontre desligado, ele irá fazer a imagem do disco da vítima e uma copia da imagem para começará a trabalhar em cima desta.
Dessa forma o investigador sempre que precisar, poderá fazer uma cópia da imagem criada, evitando assim que o original seja utilizado, podendo preservar de forma mais segura as evidências.

Já em uma situação que o sistema está ligado, é possível coletar dados voláteis como, processos em execução, conexões abertas, podendo conter informações relevantes à investigação. No entanto, a coleta dos dados voláteis deve respeitar a sua ordem de volatilidade, pois o tempo de vida de uma evidência digital varia de acordo com o local onde ela está armazenada.
A ordem de volatilidade segue abaixo:

• dispositivo de armazenagem do processador (registradores e caches);
• memória de periféricos (impressora, vídeo, por exemplo);
• memória principal do sistema;
• tráfego de rede;
• estado do sistema operacional (como por exemplo, estado dos processos e das conexões de redes, configurações do sistema);
• dispositivo de armazenagem secundária (disco rígido, CD-ROM, por exemplo)

As seções seguintes explicam como realizar esta coleta obecedendo a ordem descrita.

2) Dispositivos de armazenagem do processador

O simples ato de observar informações nos registradores do processador já pode alterá-las. Por isso tornam-se de mínima utilidade e sua captura é impraticável, assim como os dados em caches.

3) Memória de periféricos

Alguns periféricos como impressora e vídeo possuem suas próprias memórias.
Nelas podem estar armazenadas informações que não existam mais no sistema suspeito.
O comando xwd permite capturar informações da memória(dump) de vídeo, por exemplo. Numa situação em que o invasor utiliza um terminal ou console gráfico, o investigador pode capturar a tela corrente do invasor com o xwd.
Supondo que o invasor esteja na estação 192.168.0.1, pode-se capturar a sua tela assim:

#xwd -display 192.168.0.1:0 -root > terminal_invasor.xwd

A opção -display 192.168.0.1:0 serve para identificar o computador e o número do terminal gráfico da tela. Já o parâmetro -root especifica que tela inteira deve ser capturada.
O arquivo que contém a tela capturada (terminal_invasor.xwd) pode ser visualizado através do utilitário xwud:

#xwud -in terminal_invasor.xwd

4) Memória principal

A memória principal contém diversas informações voláteis do sistema, como por exemplo, dados sobre os processos que estão em execução, dados que ainda estão sendo manipulados e não foram gravados no disco rígido. Tais informações podem ser obtidas por meio de:
• Dumps da memória;
• Geração de core files;
• Diretório /proc

• Dump da memória
Dump da memória é nome do processo de capturar as informações da memória, e pode ser feito através do comando dd:

#dd < /dev/mem > mem.dump
#dd < /dev/kmem > kmem.dump

Sabendo que o sistema operacional GNU/Linux é trata tudo como arquivo, a própria memória principal do sistema e a memória virtual do kernel, são acessadas através dos arquivos /dev/mem e /dev/kmem respectivamente.

Ao fazer o dump, o investigador pode realizar buscas por palavras-chave através dos comandos grep e strings a fim de encontrar alguma evidência relevante.

#strings -a mem.dump | grep palavra-chave

No exemplo acima, o comando strings retorna todo conteúdo de texto do arquivo mem.dump e o grep filtra este resultado exibindo somente as palavras que contenham a string ‘palavra-chave’.

• Geração de core files
Core file ou core dump são arquivos que contêm a cópia exata da memória ocupada pelo processo quando este é terminado pelo sistema. Tais arquivos só são criados quando o processo recebe sinais cuja ação é terminar o processo e gerar o core dump como o SIGQUIT, SIGSEGV, entre outros.
Através do comando kill, por exemplo, é possível gerar um core file já que ele é responsável pelo envio de sinais a um processo.
Supondo que o processo script.sh esteja em execução com o número de identificação(PID) 4688:

#kill -s SIGSEGV 4688

O parâmetro -s especifica que o sinal a ser enviado é o SIGSEGV para o processo 4688, que será finalizado e um arquivo com nome “core”será criado. Para confirmar ou descobrir o sinal e o processo relacionado a este core file, pode utilizar-se do comando file:

#file core

core: ELF 32-bit LSB core file (signal 11), Intel 80386, version 1 (SYSV), from ’script.sh’
No exemplo anterior, o core file originou-se do processo script.sh que recebeu o sinal 11, o SIGSEGV

continua…

Os estudos de casos reais dão uma visão real do lado prático e excitante da ação em si. É extensa a gama de aplicações das técnicas de forense computacional na resposta a incidentes na Internet. Essas técnicas são componentes que estão em constante mutação.

Aplicado para:

* SUSE Linux 10.2

Requisitos necessários:

* openSUSE-10.2-GM-i386-mini.iso (44 mb)

Solução:

1) Primeiramente vamos realizar o download da imagem bootavel de 44 Mb, através do link:
http://mirrors.kernel.org/opensuse/distribution/10.2/iso/cd/

Queime o arquivo Iso como imagem em um disco.

2) Inicialize o computador com CD, verifique se a sua BIOS já está configurada para bootar a partir do cdrom.
Será mostrada uma tela de boas vindas do Suse Linux 10.2

3) Após a tela de boas vindas as seguintes opções são apresentadas:

Boot from HardDisk
Installation
Installation –ACPI Disabled
Installation –Local APIC Disabled
Installation — Safe Settings
Rescue Systtem
Memory Test

Selecione a opção Installation para iniciar a Instalação do Suse 10.2. Será mostrada uma tela “Starting / Loading the Linux Kernel”

4) Setup
A partir deste ponto a tela de instalação é basicamente azul com uma caixa vermelha contendo a seguinte mensagem “Could not find the SUSE Linux Installation Source. Activanting manual setup propram.”. Aperte enter para continuar.

5) Seleção do Idioma
Nessa etapa vc deve selecionar o Idioma preferido. (Português - Brasileiro)

6) Seleção do Mapa do Teclado.
Nessa etap selecione Português Brasileiro

7. Menu Principal
Neste ponto será mostrado um menu com varias opções disponiveis, conforme descrito abaixo

Configurações
Informação do Sistema
Módulos Kernel Drivers de Hardware
Iniciar Instalação ou Sistema
Verificar CD-ROM/DVD de Instalação
Ejetar CD
Sair ou Reinicializar
Desligar

Vamos selecionar a opção (Iniciar Instalação ou Sistema), após confirmar, será apresentando mais 3 opções

Iniciar Instalação ou Atualização
Inicializar Sistema Instalado
Iniciar Sistema de Resgate

Vamos selecionar a opção (Iniciar Instalação ou Atualização).

Novamente aparecerá uma tela com mais 3 opções:

CD-ROM
Rede
Disco Rígido

Selecione a opção Rede e OK.

Ná próxima tela irá perguntar qual protocolo para instalação que vc irá utilizar:

FTP
HTTP
NFS
SMB/CIFS (Windows Share)
TFTP

Vamos selecionar a opção FTP!

As próximas perguntas serão relacionados a sua rede. Primeiramente vc deve escolher em configurar o IP através de DHCP ou não. Caso responda não, tenha as seguintes informações sobre a sua rede como:
Endereço IP
Mascara de rede
Gateway da rede
DNS

A proxima pergunta será o endereço IP do FTP.

Para descobrir o ip do servidor utilize o comando dig.

# dig mirrors.kernel.org

;; ANSWER SECTION:
mirrors.kernel.org. 600 IN A 204.152.191.7
mirrors.kernel.org. 600 IN A 204.152.191.39

Iremos utilizar o 204.152.191.7

Após entrar com o numero do IP, você será questionado se deseja especificar um usuário para acessar o FTP de instalação no servidor. Vamos logar como anônimo respondendo Não.

Logo em seguida será perguntado se deseja Usar proxy HTTP. Vamos utilizar Não.

Desta vez ira aparecer rapidamente uma janela “Tentando conectar ao servidor FTP”. Se a conexão for realizada com suceddo aparecerá uma caixa de dialogo “Digite o diretório no sevidor”.

Vamos entra com a seguinte informação: /opensuse/distribution/10.2/repo/oss/

A última tela deste processo é “Carregando Sistema de Instalação”

O donwload é demorado e irá variar de acordo com a sua conexão com a internet.

A parti dai a instalação será identica aos procedimento de instalção com os CDs.

Um abraço a todos.

Reale

Hoje vou passar uma dica de como bloquear explicitamamente certos conteúdos na web.

Por exemplo caso voce deseje bloquear o site www.playboy.com.br no seu computador para que nenhum usuario tenha acesso atraves da URL www.playboy.com.br

1. Abra um terminal em modo super usuario

2. Digite o seguinte comando:

# host www.reale.com.br (tecle Enter)

Você terá, dentre algumas linhas de resposta, algumas neste formato:

www.reale.com.br has address 64.233.179.104
www.reale.com.br has address 200.185.109.100

Nota: www.reale.com.br é apenas um exemplo. Substitua-o por um site que você considere seguro para os usuarios do seu micro.

3. Edite o arquivo /etc/hosts e inclua no final do arquivo a seguinte linha:

200.185.109.100 www.playboy.com.br

Salve o arquivo.

Quando qualquer usuario digitar na barra de endereço do navegador a url www.playboy.com.br ira abrir o site www.reale.com.br, impedindo dessa forma que o usuario acesse a pagina proibida.

Hoje vou passar uma dica de como configurar a sua placa de rede de forma rápida usando comandos via shell.

Para exemplo utilizei os seguintes parametros:

Dispositivo = eth0
Ip da maquina = 192.168.0.100
Mascara rede = 255.255.255.0
Gateway = 192.168.0.1
DNS = 201.10.120.2

a) Definindo o endereco IP da placa de rede.
ifconfig eth0 192.168.0.100 netmask 255.255.255.0

b) Deletando e criando rotas.
route del -net default 2>/dev/null
route add -net default gw 192.168.0.1

c) Configurando o DNS.
echo nameserver 201.10.120.2 >/etc/resolv.conf

Pronto! Para visualizar se está tudo ok utilize o comando ifconfig e depois faça o teste utilizando o comando ping.

Aplicado para:

* SUSE Linux 10.2

Requisitos necessários:

* 53507-lizard_opensuse102.tar.gz (SuSE 10.2 Lizard Bootsplash 2.0)

Solução:

1) Abra um terminal e digite: $ wget http://www.kde-look.org/content/download.php?content=53507&id=1

2) Depois de baixado o pacote, extrai os arquivo para dentro do diretorio /etc/bootsplash/themes/Lizard $ tar -zxvf 53507-lizard_opensuse102.tar.gz

3) Agora vamos mover o arquivo para o diretorio onde ficam os themes do Linux, com o seguinte comando:# mv Lizard /etc/bootsplash/themes

4)Agora vamos editar o arquivo bootsplash usando o editor de sua preferencia, no meu caso estarei utilizando o VIM.
# vi /etc/sysconfig/bootsplash

Altere seu arquivo e deixe como mostra abaixo (THEME=”Lizard”):

## Path: System/Boot
## Description: enables/disables bootup graphics
## Type: yesno
## Default: yes
#
# SPLASH can be set to “no” to turn off the splash-screen on console 1
# at boot time (after kernel load).
#
# SPLASH=no to disable the splash screen
#
# SPLASH=yes to show the splash screen
#
SPLASH=”yes”
## Path: System/Boot
## Description: selects bootsplash graphics theme
## Type: string
## Default: SuSE
# Choose the bootsplash theme. It should be based in
# /etc/bootsplash/themes/
#THEME=”SuSE”
THEME=”Lizard”

Grave o arquivo.

5) Agora temos que armazenar o splash no ramdisk para definição de resolução para o bootloader do grub. Digite o comando: # mkinitrd -s 1280x1024

OBS: As resoluções disponíveis para este Bootsplash Lizard são 1280x1024, 1400x1050 e 1600x1200.

Reinicie o micro e veja o resultado.

Até mais pessoal!.