Software Livre e outras coisas mais

Bramane

2008-09-07T09:49:00.000-07:00

Faz tempo que venho procurando por uma ferramenta que me permita construir aplicações web de forma bem rápida. Sei que existem algumas boas ferramentas para isso, mas a grande maioria não foi feita por brasileiros e nem para brasileiros. Estou cansado disso. O correto seria eu começar a fazer parte da comunidade de uma dessas ferramentas e ajudá-la a melhorá-la como considero que seria ideal. Na teoria isso é muito bacana, mas na prática demora muito tempo. Envolve muita discussão. Muita paciência e, claro, uma boa dose de influência naquele projeto, o que só se consegue com bastante tempo. Sem comentar a questão de bons conhecimentos em inglês.

Desde pequeno ouço que "tempo é dinheiro". Vai ver por isso não tenho muito dinheiro, pois nunca tenho muito tempo. Ao contrário da grande maioria dos nerds tenho vida social. Gosto de sair, conhecer e conversar com pessoas. Tenho família para dar atenção e outras coisas.

Seja qual for a questão o fato é que decidi construir eu mesmo a tal ferramenta para construir aplicações para web. Vou chamá-la de Bramane, que para mim, tem o significado de aquele que é ou tenta ser puro.

Aos poucos vou postando artigos sobre isso. Até lá!

VServer com IPs falsos

2008-09-01T09:15:00.000-07:00

Caso você tenha apenas um IP válido, mas precise ter sites hospedados em cada um deles uma saída é:

Colocar todos os vservers numa mesma rede virtual, ex.: 192.168.1.x
Cada vserver com seu próprio IP
Encaminhar todas as solicitações da porta 80 para os devidos vserver.

Para isso configure o Host assim:

# /etc/network/interfaces on a Debian box,
# configure on other distros with your preferred way
auto dummy0
iface dummy0 inet static
   address 192.168.1.250
   netmask 255.255.255.0

E os Guests assim:

cd /etc/vservers/$VSERVER/interfaces/0
echo dummy0 > dev
echo 192.168.1.1 > ip
echo 1 > name
echo 24 > prefix

Onde $VSERVER é o nome do Guest

Volte no Host e configure o Iptables assim:

# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 \
 -d ! 192.168.1.0/24 -j SNAT --to-source $EXTIP

Onde $EXTIP é o IP válido.

Para cada guest que estiver rodando apache é preciso configurar o Iptables do Host assim:

# iptables -t nat -A PREROUTING -s ! 192.168.1.0/24 \
 -m tcp -p tcp --dport $EXTPORT
 -j DNAT --to-destination $VHOST:$INTPORT

Onde:

$EXTPORT é o número da porta externa do serviço
$VHOST é o virtualhost do Guest
$INTPORT é a porta interna do Guest que está esperando pelas requisições

Copiando vservers para outro computador

2008-09-01T09:13:00.002-07:00

Para copiar um vserver de um computador para outro os passos são:

Sincronizar os computadores

# rsync -Hazx -v --numeric-ids /vserver/vserver_nome vserver_endereco:/vserver/vserver_name
# rsync -Hazx -v --numeric-ids /etc/vservers/vserver_name/ vserver_endereco:/etc/vservers/vserver_name

Onde:

vserver_nome: é o nome do vserver que se deseja copiar.
vserver_endereco: é o endereço do servidor para onde se deseja copiar o vserver.

Parar o vserver no computador onde ele se encontra atualmente

vserver vserver_nome stop

Onde:

vserver_nome: é o nome do vserver que se está copiando.

Sincronize os computadores novamente

# rsync -Hazx -v --numeric-ids /vserver/vserver_nome vserver_endereco:/vserver/vserver_name
# rsync -Hazx -v --numeric-ids /etc/vservers/vserver_name/ vserver_endereco:/etc/vservers/vserver_name

Onde:

vserver_nome: é o nome do vserver que se deseja copiar.
vserver_endereco: é o endereço do servidor para onde se deseja copiar o vserver.

Iniciar o vserver no computador para onde ele foi copiado.

vserver vserver_nome start

Onde:

vserver_nome: é o nome do vserver que se acabou de copiar.

Para verificar se o servidor está ativo rode:

# /etc/init.d/util-vserver status

Verificar quais servidores virtuais estão rodando

2008-09-01T09:13:00.001-07:00

Use o comando:

# /etc/init.d/util-vserver status

Iniciar e parar todos os servidores de uma vez

2008-09-01T09:12:00.003-07:00

Para iniciar use o comando:

# /etc/init.d/util-vserver start

Para parar use o comando:

# /etc/init.d/util-vserver stop

Iniciar e parar um servidor virtual

2008-09-01T09:12:00.001-07:00

Para iniciar use o comando:

# vserver vserver_nome start

Para parar use o comando:

# vserver vserver_nome stop

Onde:

vserver_nome: é o nome que se deu ao servidor virtual.

Definir o servidor para iniciar quando o computador for reiniciado

2008-09-01T09:11:00.001-07:00

Saia do servidor virtual (exit) e então rode o comando:

# echo "default" >> /etc/vservers/vserver_nome/apps/init/mark

Onde:

vserver_nome: é o nome que se deu ao servidor virtual.

Criar um novo servidor virtual

2008-09-01T09:09:00.000-07:00

Rode o comando:

# newvserver -v --hostname vserver_nome --domain vserver_dominio --ip vserver_ip

Onde:

vserver_nome: é o nome que se deseja dar ao servidor virtual. Funciona como o nome da máquina numa instalação normal do sistema.
vserver_dominio: domínio ao qual esse servidor fará parte.
vserver_ip: é o endereço IP pelo qual esse servidor responderá.

Inicie e acesse o servidor virtual que foi criado:

# vserver vserver_nome start
# vserver vserver_nome enter

Onde:

vserver_nome: é o nome que se deu ao servidor virtual.

Atualize os pacotes do servidor:

# aptitude update
# aptitude upgrade
# aptitude dist-upgrade

SSH do host só ouça pelo IP do host

2008-09-01T09:07:00.000-07:00

Altere o `/etc/ssh/sshd_config` para que o SSH do host só ouça pelo IP do host

Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
ListenAddress ip.do.host.aqui  # Não coloque o IP do servidor guest!

Preparar o servidor para rodar como vserver

2008-09-01T09:06:00.000-07:00

Instale os pacotes necessários para trabalhar com Vserver:

# aptitude update
# aptitude install linux-image-vserver-686 util-vserver vserver-debiantools

Altere o symlink para o seu $VROOTDIR:

# mkdir /home/vservers
# ln -snf /home/vservers /etc/vservers/.defaults/vdirbase

Deixe o arquivo /etc/vservers/newvserver-vars assim:

# Configuration file for newvserver
# See man newvserver for the variables that you can set here.

# Which debian distribution (Warning. unstable and testing distributions
# change frequently so you can not expect it to work out of the box).
DIST=”etch”

# Local or nearest location of a debian mirror (must include the /debian)
MIRROR=”http://ftp.br.debian.org/debian”

# Default network interface for vservers:
INTERFACE=”eth0"

# Package caching
#PKGCACHE=1

Virtualização de servidores com o Vserver

2008-09-01T09:05:00.000-07:00

Este documento descreve os procedimentos a serem observados para configuração de servidores virtuais com o Vserver para computadores com sistema operacional Debian.

Nota:

quando os comandos citados começarem com um # isso indica que eles devem ser executados com o usuário root. Quando começarem com um $ isso indica que eles devem ser executados com o usuário normal.

Fortalecimento automático de sistemas Debian

2008-08-26T07:43:00.001-07:00

Instale o pacote harden:

# aptitude install harden

Deixe o arquivo /etc/logcheck/logcheck.conf assim:

# The following variable settings are the initial default values,
# which can be uncommented and modified to alter logcheck's behaviour

# Controls the format of date-/time-stamps in subject lines:
# Alternatively, set the format to suit your locale

#DATE="$(date +'%Y-%m-%d %H:%M')"

#
# Controls the presence of boilerplate at the top of each message:
# Alternatively, set to "0" to disable the introduction.
#
# If the files /etc/logcheck/header.txt and /etc/logcheck/footer.txt
# are present their contents will be read and used as the header and
# footer of any generated mails.
#
#INTRO=1

# Controls the level of filtering:
# Can be Set to "workstation", "server" or "paranoid" for different
# levels of filtering. Defaults to server if not set.

REPORTLEVEL="server"

# Controls the address mail goes to:
# *NOTE* the script does not set a default value for this variable!
# Should be set to an offsite "emailaddress@some.domain.tld"

SENDMAILTO="debian"

# Should the hostname of the generated mails be fully qualified?
FQDN=1

# Controls whether "sort -u" is used on log entries (which will
# eliminate duplicates but destroy the original ordering); the
# default is to use "sort -k 1,3 -s":
# Alternatively, set to "1" to enable unique sorting

#SORTUNIQ=0

# Controls whether /etc/logcheck/cracking.ignore.d is scanned for
# exceptions to the rules in /etc/logcheck/cracking.d:
# Alternatively, set to "1" to enable cracking.ignore support

#SUPPORT_CRACKING_IGNORE=0

# Controls the base directory for rules file location
# This must be an absolute path

#RULEDIR="/etc/logcheck"

# Controls if syslog-summary is run over each section.
# Alternatively, set to "1" to enable extra summary.

#SYSLOGSUMMARY=0

# Controls Subject: lines on logcheck reports:

ATTACKSUBJECT="Attack Alerts"
SECURITYSUBJECT="Security Events"
EVENTSSUBJECT="System Events"

# Controls [logcheck] prefix on Subject: lines

ADDTAG="yes"

Nota: SENDMAILTO="debian" deve ser configurado para o seu endereço de e-mail como, por exemplo, SENDMAILTO="junio@tecnologiaplexus.com".

Fazer logout de usuários ociosos

2008-08-26T07:41:00.000-07:00

Instale o pacote autolog:

# aptitude install autolog

Deixe o arquivo /etc/autolog.conf assim:

# Enter a regular expression for the username, group and tty line.
# All three expressions must be matched before the rest of the line will
# be applied to any process.

# If the process has been idle (or connected) more than "idle" minutes,
#    autolog will attempt to kill the process.
# If idle<0, the process is exempt.
# If idle=0, the users must not be idle for to long :) -> debugging
# If "nowarn" is asserted, the user will
#    not be warned that it is about to be killed.
# After "grace" seconds, autolog will attempt to kill the process.
# If "mail" is asserted, mail will be sent to the user
#     telling how his process met its end.
# If "hard is asserted, the process will be killed
#     after "idle" minutes of total session time (rather than idle time).
# ban=xx: A user extending his session-limit will be banned for xx minutes.

name=ppp-.* idle=-1 line=ttyS2
line=pty.* idle=30 grace=30 nomail nolog
group=games idle=10 grace=60
group=lynx.* idle=10 grace=60 clear

# protected users
name=root idle=-1

# idle - limits
#group=student idle=15 grace=180

# session - limits
#group=users idle=60 grace=120      hard ban=20 clear
group=users     idle=15 grace=30       hard ban=20 clear
name=guest idle=60 grace=60       hard ban=5  clear

# This makes it possible to change the options...
#      make sure, ps with its options returns one heading-line
#      and lines beginning with: USERNAME PID
#       e.g.: cj        2568
#       or  : cj        2568  0.0  0.0  1944    0 pts/2 ..... [telnet]
#      No spaces or tabs before this option, please.
# ps=ps -ef
# ps=ps aux
# ps=ps ax o user o pid

# To stop autolog from killing lost processes, umcomment the next line.
nolostkill

Tornar o ssh mais seguro

2008-08-26T07:40:00.000-07:00

Instale o fail2ban:

# aptitude update
# aptitude install fail2ban

Deixe o arquivo /etc/ssh/sshd_config assim:

# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

Ajustar a umask dos usuários

2008-08-26T07:38:00.000-07:00

Deixe o arquivo /etc/profile assim:

# /etc/profile: system-wide .profile file for the Bourne shell (sh(1))
# and Bourne compatible shells (bash(1), ksh(1), ash(1), ...).

if [ "`id -u`" -eq 0 ]; then
 PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
else
 PATH="/usr/local/bin:/usr/bin:/bin:/usr/games"
fi

if [ "$PS1" ]; then
 if [ "$BASH" ]; then
   PS1='\u@\h:\w\$ '
 else
   if [ "`id -u`" -eq 0 ]; then
     PS1='# '
   else
     PS1='$ '
   fi
 fi
fi

export PATH

umask 027

Deixe o arquivo /etc/adduser.conf assim:

# /etc/adduser.conf: `adduser' configuration.
# See adduser(8) and adduser.conf(5) for full documentation.

# The DSHELL variable specifies the default login shell on your
# system.
DSHELL=/bin/bash

# The DHOME variable specifies the directory containing users' home
# directories.
DHOME=/home

# If GROUPHOMES is "yes", then the home directories will be created as
# /home/groupname/user.
GROUPHOMES=no

# If LETTERHOMES is "yes", then the created home directories will have
# an extra directory - the first letter of the user name. For example:
# /home/u/user.
LETTERHOMES=no

# The SKEL variable specifies the directory containing "skeletal" user
# files; in other words, files such as a sample .profile that will be
# copied to the new user's home directory when it is created.
SKEL=/etc/skel

# FIRST_SYSTEM_[GU]ID to LAST_SYSTEM_[GU]ID inclusive is the range for UIDs
# for dynamically allocated administrative and system accounts/groups.
# Please note that system software, such as the users allocated by the base-passwd
# package, may assume that UIDs less than 100 are unallocated.
FIRST_SYSTEM_UID=100
LAST_SYSTEM_UID=999

# FIRST_[GU]ID to LAST_[GU]ID inclusive is the range of UIDs of dynamically
# allocated user accounts/groups.
FIRST_UID=1000
LAST_UID=29999

# The USERGROUPS variable can be either "yes" or "no".  If "yes" each
# created user will be given their own group to use as a default.  If
# "no", each created user will be placed in the group whose gid is
# USERS_GID (see below).
USERGROUPS=yes

# If USERGROUPS is "no", then USERS_GID should be the GID of the group
# `users' (or the equivalent group) on your system.
USERS_GID=100

# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
DIR_MODE=0750

# If SETGID_HOME is "yes" home directories for users with their own
# group the setgid bit will be set. This was the default for
# versions << 3.13 of adduser. Because it has some bad side effects we
# no longer do this per default. If you want it nevertheless you can
# still set it here.
SETGID_HOME=no

# If QUOTAUSER is set, a default quota will be set from that user with
# `edquota -p QUOTAUSER newuser'
QUOTAUSER=""

# If SKEL_IGNORE_REGEX is set, adduser will ignore files matching this
# regular expression when creating a new home directory
SKEL_IGNORE_REGEX="dpkg-(old|new|dist)"

# Set this if you want the --add_extra_groups option to adduser to add
# new users to other groups.
# This is the list of groups that new non-system users will be added to
# Default:
#EXTRA_GROUPS="dialout cdrom floppy audio src video lp src users"

# If ADD_EXTRA_GROUPS is set to something non-zero, the EXTRA_GROUPS
# option above will be default behavior for adding new, non-system users
#ADD_EXTRA_GROUPS=1

E o arquivo /etc/syslog.conf assim:

#  /etc/syslog.conf Configuration file for syslogd.
#
#   For more information see syslog.conf(5)
#   manpage.

#
# First some standard logfiles.  Log by facility.
#

auth,authpriv.*   /var/log/auth.log
*.*;auth,authpriv.none  -/var/log/syslog
#cron.*    /var/log/cron.log
daemon.*   -/var/log/daemon.log
kern.*    -/var/log/kern.log
lpr.*    -/var/log/lpr.log
mail.*    -/var/log/mail.log
user.*    -/var/log/user.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info   -/var/log/mail.info
mail.warn   -/var/log/mail.warn
mail.err   /var/log/mail.err

# Logging for INN news system
#
news.crit   /var/log/news/news.crit
news.err   /var/log/news/news.err
news.notice   -/var/log/news/news.notice

#
# Some `catch-all' logfiles.
#
*.=debug;\
 auth,authpriv.none;\
 news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;\
 auth,authpriv.none;\
 cron,daemon.none;\
 mail,news.none  -/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg    *

#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;\
# news.=crit;news.=err;news.=notice;\
# *.=debug;*.=info;\
# *.=notice;*.=warn /dev/tty8

# The named pipe /dev/xconsole is for the `xconsole' utility.  To use it,
# you must invoke `xconsole' with the `-file' option:
#
#    $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
#      busy site..
#
#daemon.*;mail.*;\
# news.err;\
# *.=debug;*.=info;\
# *.=notice;*.=warn |/dev/xconsole

daemon.*;mail.*;\
   news.=crit;news.=err;news.=notice;\
   *.=debug;*.=info;\
   *.=notice;*.=warn       /dev/tty2

Tornar os logins mais seguros

2008-08-26T07:34:00.000-07:00

Adicione um novo grupo chamado wheel para restringir o uso do su:

# groupadd wheel

Adicione nesse grupo o root e outros usuários que podem usar o su:

# adduser root wheel
# adduser nome_admin wheel

Onde: nome_admin é o nome do usuário criado para administrar o servidor.

Deixe o /etc/pam.d/su assim:

#
# The PAM configuration file for the Shadow `su' service
#

# This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so

# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth       required   pam_wheel.so
auth        requisite   pam_wheel.so group=wheel debug

# Uncomment this if you want wheel members to be able to
# su without a password.
# auth       sufficient pam_wheel.so trust

# Uncomment this if you want members of a specific group to not
# be allowed to use su at all.
# auth       required   pam_wheel.so deny group=nosu

# Uncomment and edit /etc/security/time.conf if you need to set
# time restrainst on su usage.
# (Replaces the `PORTTIME_CHECKS_ENAB' option from login.defs
# as well as /etc/porttime)
# account    requisite  pam_time.so

# This module parses environment configuration file(s)
# and also allows you to use an extended config
# file /etc/security/pam_env.conf.
#
# parsing /etc/environment needs "readenv=1"
session       required   pam_env.so readenv=1
# locale variables are also kept into /etc/default/locale in etch
# reading this file *in addition to /etc/environment* does not hurt
session       required   pam_env.so readenv=1 envfile=/etc/default/locale

# Defines the MAIL environment variable
# However, userdel also needs MAIL_DIR and MAIL_FILE variables
# in /etc/login.defs to make sure that removing a user
# also removes the user's mail spool file.
# See comments in /etc/login.defs
#
# "nopen" stands to avoid reporting new mail when su'ing to another user
session    optional   pam_mail.so nopen

# Sets up user limits, please uncomment and read /etc/security/limits.conf
# to enable this functionality.
# (Replaces the use of /etc/limits in old login)
# session    required   pam_limits.so

# The standard Unix authentication modules, used with
# NIS (man nsswitch) as well as normal /etc/passwd and
# /etc/shadow entries.
@include common-auth
@include common-account
@include common-session

Adicione o nome do usuário administrativo na lista que permite o acesso via ssh:

# echo "nome_admin" > /etc/sshusers-allowed

Onde: nome_admin é o nome do usuário criado para administrar o servidor.

Deixe o /etc/pam.d/ssh assim:

# PAM configuration for the Secure Shell service

# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
auth       required     pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
auth       required     pam_env.so envfile=/etc/default/locale

auth        required    pam_listfile.so item=user sense=allow file=/etc/sshusers-allowed onerr=fail

# Standard Un*x authentication.
@include common-auth

# Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so

# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account  required     pam_access.so

# Standard Un*x authorization.
@include common-account

# Standard Un*x session setup and teardown.
@include common-session

# Print the message of the day upon successful login.
session    optional     pam_motd.so # [1]

# Print the status of the user's mailbox upon successful login.
session    optional     pam_mail.so standard noenv # [1]

# Set up user limits from /etc/security/limits.conf.
session    required     pam_limits.so

# Set up SELinux capabilities (need modified pam)
# session  required     pam_selinux.so multiple

# Standard Un*x password updating.
@include common-password

Rode esse comando, para definir os limites de uso dos recursos de hardware do servidor:

echo '
# Geral
*    soft   core   0
*    hard   rss   10240
*    hard   stack  20480

# Grupo de usuários
@users   hard   data    1048576
@users   hard   fsize   524288
@users   hard   memlock   10240
@users   hard   nofile   2
@users   hard   cpu    60
@users   hard   nproc   2
@users   soft   nproc   2
@users   -    maxlogins 1

# Usuários específicos
nome_admin hard   cpu   3600
nome_admin hard   nproc  600
nome_admin soft   nproc  600
www-data    hard        cpu      10000
www-data    hard        nproc    10000
www-data    soft        nproc    10000
' > /etc/security/limits.conf

Onde: nome_admin é o nome do usuário criado para administrar o servidor.

Deixe o arquivo /etc/login.defs assim:

#
# /etc/login.defs - Configuration control definitions for the login package.
#
# Three items must be defined:  MAIL_DIR, ENV_SUPATH, and ENV_PATH.
# If unspecified, some arbitrary (and possibly incorrect) value will
# be assumed.  All other items are optional - if not specified then
# the described action or option will be inhibited.
#
# Comment lines (lines beginning with "#") and blank lines are ignored.
#
# Modified for Linux.  --marekm

# REQUIRED for useradd/userdel/usermod
#   Directory where mailboxes reside, _or_ name of file, relative to the
#   home directory.  If you _do_ define MAIL_DIR and MAIL_FILE,
#   MAIL_DIR takes precedence.
#
#   Essentially:
#      - MAIL_DIR defines the location of users mail spool files
#        (for mbox use) by appending the username to MAIL_DIR as defined
#        below.
#      - MAIL_FILE defines the location of the users mail spool files as the
#        fully-qualified filename obtained by prepending the user home
#        directory before $MAIL_FILE
#
# NOTE: This is no more used for setting up users MAIL environment variable
#       which is, starting from shadow 4.0.12-1 in Debian, entirely the
#       job of the pam_mail PAM modules
#       See default PAM configuration files provided for
#       login, su, etc.
#
# This is a temporary situation: setting these variables will soon
# move to /etc/default/useradd and the variables will then be
# no more supported
MAIL_DIR        /var/mail
#MAIL_FILE      .mail

#
# Enable logging and display of /var/log/faillog login failure info.
# This option conflicts with the pam_tally PAM module.
#
FAILLOG_ENAB  yes

#
# Enable display of unknown usernames when login failures are recorded.
#
# WARNING: Unknown usernames may become world readable.
# See #290803 and #298773 for details about how this could become a security
# concern
LOG_UNKFAIL_ENAB no

#
# Enable logging of successful logins
#
LOG_OK_LOGINS  no

#
# Enable "syslog" logging of su activity - in addition to sulog file logging.
# SYSLOG_SG_ENAB does the same for newgrp and sg.
#
SYSLOG_SU_ENAB  yes
SYSLOG_SG_ENAB  yes

#
# If defined, all su activity is logged to this file.
#
#SULOG_FILE /var/log/sulog

#
# If defined, file which maps tty line to TERM environment parameter.
# Each line of the file is in a format something like "vt100  tty01".
#
#TTYTYPE_FILE /etc/ttytype

#
# If defined, login failures will be logged here in a utmp format
# last, when invoked as lastb, will read /var/log/btmp, so...
#
FTMP_FILE /var/log/btmp

#
# If defined, the command name to display when running "su -".  For
# example, if this is defined as "su" then a "ps" will display the
# command is "-su".  If not defined, then "ps" would display the
# name of the shell actually being run, e.g. something like "-sh".
#
SU_NAME  su

#
# If defined, file which inhibits all the usual chatter during the login
# sequence.  If a full pathname, then hushed mode will be enabled if the
# user's name or shell are found in the file.  If not a full pathname, then
# hushed mode will be enabled if the file exists in the user's home directory.
#
HUSHLOGIN_FILE .hushlogin
#HUSHLOGIN_FILE /etc/hushlogins

#
# *REQUIRED*  The default PATH settings, for superuser and normal users.
#
# (they are minimal, add the rest in the shell startup files)
ENV_SUPATH PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
ENV_PATH PATH=/usr/local/bin:/usr/bin:/bin:/usr/games

#
# Terminal permissions
#
# TTYGROUP Login tty will be assigned this group ownership.
# TTYPERM  Login tty will be set to this permission.
#
# If you have a "write" program which is "setgid" to a special group
# which owns the terminals, define TTYGROUP to the group number and
# TTYPERM to 0620.  Otherwise leave TTYGROUP commented out and assign
# TTYPERM to either 622 or 600.
#
# In Debian /usr/bin/bsd-write or similar programs are setgid tty
# However, the default and recommended value for TTYPERM is still 0600
# to not allow anyone to write to anyone else console or terminal

# Users can still allow other people to write them by issuing
# the "mesg y" command.

TTYGROUP tty
TTYPERM  0600

#
# Login configuration initializations:
#
# ERASECHAR Terminal ERASE character ('\010' = backspace).
# KILLCHAR Terminal KILL character ('\025' = CTRL/U).
# UMASK  Default "umask" value.
#
# The ERASECHAR and KILLCHAR are used only on System V machines.
#
# UMASK usage is discouraged because it catches only some classes of user
# entries to system, in fact only those made through login(1), while setting
# umask in shell rc file will catch also logins through su, cron, ssh etc.
#
# At the same time, using shell rc to set umask won't catch entries which use
# non-shell executables in place of login shell, like /usr/sbin/pppd for "ppp"
# user and alike.
#
# Therefore the use of pam_umask is recommended (Debian package libpam-umask)
# as the solution which catches all these cases on PAM-enabled systems.
#
# This avoids the confusion created by having the umask set
# in two different places -- in login.defs and shell rc files (i.e.
# /etc/profile).
#
# For discussion, see #314539 and #248150 as well as the thread starting at
# http://lists.debian.org/debian-devel/2005/06/msg01598.html
#
# Prefix these values with "0" to get octal, "0x" to get hexadecimal.
#
ERASECHAR 0177
KILLCHAR 025
# 022 is the "historical" value in Debian for UMASK when it was used
# 027, or even 077, could be considered better for privacy
# There is no One True Answer here : each sysadmin must make up his/her
# mind.

UMASK  027

#
# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_WARN_AGE 7

#
# Min/max values for automatic uid selection in useradd
#
UID_MIN    1000
UID_MAX   60000

#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN     100
GID_MAX   60000

#
# Max number of login retries if password is bad. This will most likely be
# overriden by PAM, since the default pam_unix module has it's own built
# in of 3 retries. However, this is a safe fallback in case you are using
# an authentication module that does not enforce PAM_MAXTRIES.
#
LOGIN_RETRIES  5

#
# Max time in seconds for login
#
LOGIN_TIMEOUT  60

#
# Which fields may be changed by regular users using chfn - use
# any combination of letters "frwh" (full name, room number, work
# phone, home phone).  If not defined, no changes are allowed.
# For backward compatibility, "yes" = "rwh" and "no" = "frwh".
#
CHFN_RESTRICT  rwh

#
# Should login be allowed if we can't cd to the home directory?
# Default in no.
#
DEFAULT_HOME yes

#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD /usr/sbin/userdel_local

#
# This enables userdel to remove user groups if no members exist.
#
# Other former uses of this variable such as setting the umask when
# user==primary group are not used in PAM environments, thus in Debian
#
USERGROUPS_ENAB yes

#
# Instead of the real user shell, the program specified by this parameter
# will be launched, although its visible name (argv[0]) will be the shell's.
# The program may do whatever it wants (logging, additional authentification,
# banner, ...) before running the actual shell.
#
# FAKE_SHELL /bin/fakeshell

#
# If defined, either full pathname of a file containing device names or
# a ":" delimited list of device names.  Root logins will be allowed only
# upon these devices.
#
# This variable is used by login and su.
#
#CONSOLE /etc/consoles
#CONSOLE console:tty01:tty02:tty03:tty04

#
# List of groups to add to the user's supplementary group set
# when logging in on the console (as determined by the CONSOLE
# setting).  Default is none.
#
# Use with caution - it is possible for users to gain permanent
# access to these groups, even when not logged in on the console.
# How to do it is left as an exercise for the reader...
#
# This variable is used by login and su.
#
#CONSOLE_GROUPS  floppy:audio:cdrom

#
# Only works if compiled with MD5_CRYPT defined:
# If set to "yes", new passwords will be encrypted using the MD5-based
# algorithm compatible with the one used by recent releases of FreeBSD.
# It supports passwords of unlimited length and longer salt strings.
# Set to "no" if you need to copy encrypted passwords to other systems
# which don't understand the new algorithm.  Default is "no".
#
# This variable is used by chpasswd, gpasswd and newusers.
#
#MD5_CRYPT_ENAB no

################# OBSOLETED BY PAM ##############
#      #
# These options are now handled by PAM. Please #
# edit the appropriate file in /etc/pam.d/ to #
# enable the equivelants of them.
#
###############

#MOTD_FILE
#DIALUPS_CHECK_ENAB
#LASTLOG_ENAB
#MAIL_CHECK_ENAB
#OBSCURE_CHECKS_ENAB
#PORTTIME_CHECKS_ENAB
#SU_WHEEL_ONLY
#CRACKLIB_DICTPATH
#PASS_CHANGE_TRIES
#PASS_ALWAYS_WARN
#ENVIRON_FILE
#NOLOGINS_FILE
#ISSUE_FILE
#PASS_MIN_LEN
#PASS_MAX_LEN
#ULIMIT
#ENV_HZ
#CHFN_AUTH
#CHSH_AUTH
#FAIL_DELAY

################# OBSOLETED #######################
#        #
# These options are no more handled by shadow.    #
#                                                 #
# Shadow utilities will display a warning if they #
# still appear.                                   #
#                                                 #
###################################################

# CLOSE_SESSIONS
# LOGIN_STRING
# NO_PASSWORD_CONSOLE
# QMAIL_DIR

E o arquivo /etc/security/access.conf assim:

# Login access control table.
#
# Comment line must start with "#", no space at front.
# Order of lines is important.
#
# When someone logs in, the table is scanned for the first entry that
# matches the (user, host) combination, or, in case of non-networked
# logins, the first entry that matches the (user, tty) combination.  The
# permissions field of that table entry determines whether the login will
# be accepted or refused.
#
# Format of the login access control table is three fields separated by a
# ":" character:
#
# [Note, if you supply a 'fieldsep=|' argument to the pam_access.so
# module, you can change the field separation character to be
# '|'. This is useful for configurations where you are trying to use
# pam_access with X applications that provide PAM_TTY values that are
# the display variable like "host:0".]
#
#  permission : users : origins
#
# The first field should be a "+" (access granted) or "-" (access denied)
# character.
#
# The second field should be a list of one or more login names, group
# names, or ALL (always matches). A pattern of the form user@host is
# matched when the login name matches the "user" part, and when the
# "host" part matches the local machine name.
#
# The third field should be a list of one or more tty names (for
# non-networked logins), host names, domain names (begin with "."), host
# addresses, internet network numbers (end with "."), ALL (always
# matches), NONE (matches no tty on non-networked logins) or
# LOCAL (matches any string that does not contain a "." character).
#
# You can use @netgroupname in host or user patterns; this even works
# for @usergroup@@hostgroup patterns.
#
# The EXCEPT operator makes it possible to write very compact rules.
#
# The group file is searched only when a name does not match that of the
# logged-in user. Both the user's primary group is matched, as well as
# groups in which users are explicitly listed.
#
# TTY NAMES: Must be in the form returned by ttyname(3) less the initial
# "/dev" (e.g. tty1 or vc/1)
#
##############################################################################
#
# Disallow non-root logins on tty1
#
#-:ALL EXCEPT root:tty1
#
# Disallow console logins to all but a few accounts.
#
#-:ALL EXCEPT wheel shutdown sync:LOCAL
#
# Disallow non-local logins to privileged accounts (group wheel).
#
#-:wheel:ALL EXCEPT LOCAL .win.tue.nl

-:wheel:ALL EXCEPT LOCAL

#
# Some accounts are not allowed to login from anywhere:
#
#-:wsbscaro wsbsecr wsbspac wsbsym wscosor wstaiwde:ALL
#
# All other accounts are allowed to login from anywhere.
#
##############################################################################
# All lines from here up to the end are building a more complex example.
##############################################################################
#
# User "root" should be allowed to get access via cron .. tty5 tty6.
#+ : root : cron crond :0 tty1 tty2 tty3 tty4 tty5 tty6
#
# User "root" should be allowed to get access from hosts with ip addresses.
#+ : root : 192.168.200.1 192.168.200.4 192.168.200.9
#+ : root : 127.0.0.1
#
# User "root" should get access from network 192.168.201.
# This term will be evaluated by string matching.
# comment: It might be better to use network/netmask instead.
#          The same is 192.168.201.0/24 or 192.168.201.0/255.255.255.0
#+ : root : 192.168.201.
#
# User "root" should be able to have access from domain.
# Uses string matching also.
#+ : root : .foo.bar.org
#
# User "root" should be denied to get access from all other sources.
#- : root : ALL
#
# User "foo" and members of netgroup "nis_group" should be
# allowed to get access from all sources.
# This will only work if netgroup service is available.
#+ : @nis_group foo : ALL
#
# User "john" should get access from ipv4 net/mask
#+ : john : 127.0.0.0/24
#
# User "john" should get access from ipv4 as ipv6 net/mask
#+ : john : ::ffff:127.0.0.0/127
#
# User "john" should get access from ipv6 host address
#+ : john : 2001:4ca0:0:101::1
#
# User "john" should get access from ipv6 host address (same as above)
#+ : john : 2001:4ca0:0:101:0:0:0:1
#
# User "john" should get access from ipv6 net/mask
#+ : john : 2001:4ca0:0:101::/64
#
# All other users should be denied to get access from all sources.
#- : ALL : ALL

Restringir reinicialização pelo ctrl+alt+del

2008-08-26T07:33:00.000-07:00

Rode esse comando:

# echo "root" > /etc/shutdown.allow

Restringir o acesso de login do root no console

2008-08-26T07:32:00.000-07:00

Faça com que o arquivo /etc/securetty fique assim:

# /etc/securetty: list of terminals on which root is allowed to login.
# See securetty(5) and login(1).
#console

# for people with serial port consoles
#ttyS0

# for devfspor
#tts/0

# Standard consoles

# Same as above, but these only occur with devfs devices
#vc/1
#vc/2
#vc/3
#vc/4

E que o arquivo /etc/inittab fique assim:

# /etc/inittab: init(8) configuration.
# $Id: inittab,v 1.91 2002/01/25 13:35:21 miquels Exp $

# The default runlevel.
id:2:initdefault:

# Boot-time system configuration/initialization script.
# This is run first except when booting in emergency (-b) mode.
si::sysinit:/etc/init.d/rcS

# What to do in single-user mode.
~~:S:wait:/sbin/sulogin

# /etc/init.d executes the S and K scripts upon change
# of runlevel.
#
# Runlevel 0 is halt.
# Runlevel 1 is single-user.
# Runlevels 2-5 are multi-user.
# Runlevel 6 is reboot.

l0:0:wait:/etc/init.d/rc 0
l1:1:wait:/etc/init.d/rc 1
l2:2:wait:/etc/init.d/rc 2
l3:3:wait:/etc/init.d/rc 3
l4:4:wait:/etc/init.d/rc 4
l5:5:wait:/etc/init.d/rc 5
l6:6:wait:/etc/init.d/rc 6
# Normally not reached, but fallthrough in case of emergency.
z6:6:respawn:/sbin/sulogin

# What to do when CTRL-ALT-DEL is pressed.
#ca::ctrlaltdel:/sbin/shutdown -t1 -a -r now

# Action on special keypress (ALT-UpArrow).
#kb::kbrequest:/bin/echo "Keyboard Request--edit /etc/inittab to let this work."

# What to do when the power fails/returns.
pf::powerwait:/etc/init.d/powerfail start
pn::powerfailnow:/etc/init.d/powerfail now
po::powerokwait:/etc/init.d/powerfail stop

# /sbin/getty invocations for the runlevels.
#
# The "id" field MUST be the same as the last
# characters of the device (after "tty").
#
# Format:
#  :::
#
# Note that on most Debian systems tty7 is used by the X Window System,
# so if you want to add more getty's go ahead but skip tty7 if you run X.
#
1:2345:respawn:/sbin/getty 38400 tty1
2:23:respawn:/sbin/getty 38400 tty2
#3:23:respawn:/sbin/getty 38400 tty3
#4:23:respawn:/sbin/getty 38400 tty4
#5:23:respawn:/sbin/getty 38400 tty5
#6:23:respawn:/sbin/getty 38400 tty6

# Example how to put a getty on a serial line (for a terminal)
#
#T0:23:respawn:/sbin/getty -L ttyS0 9600 vt100
#T1:23:respawn:/sbin/getty -L ttyS1 9600 vt100

# Example how to put a getty on a modem line.
#
#T3:23:respawn:/sbin/mgetty -x0 -s 57600 ttyS3

Configurar a senha do grub e definindo o timeout para 3

2008-08-26T07:28:00.000-07:00

Para definir a senha para o grub use o comando grub-md5-crypt . Isso retornará uma senha já criptografada para poder ser usada no arquivo de configuração do grub /boot/grub/menu.lst.

O próximo passo não precisa ser seguido para fortalecimento de servidores virtuais.

Para gerar a senha, já configurá-la no arquivo do grub e definir o timeout para 3 rode este script:

#!/bin/sh

#-----------------------------------------------------------------------------
# Configurando a senha do grub e definindo o timeout para 3.
#-----------------------------------------------------------------------------
echo
echo "Configurando a senha do grub..."
echo "////////////////////////////////////////////////////////////////////////////////////////////////////////"
echo "Digite uma senha para o grub, pressione  e então digite a senha novamente e pressione ."
echo "ATENÇÃO: A digitação da senha não aparecerá. Isso é normal."
echo "////////////////////////////////////////////////////////////////////////////////////////////////////////"
senha_grub="$(grub-md5-crypt)"
senha_grub="$(echo $senha_grub | cut -c28-)"

x=1
while test "$x" -gt 0
do
 if test "$senha_grub" = "Sorry, passwords do not match."
 then
  echo "////////////////////////////////////////////////////////////////////////////////////////////////////////"
  echo "AS SENHAS NÃO CONFEREM. Tente novamente."
  echo "////////////////////////////////////////////////////////////////////////////////////////////////////////"
  senha_grub="$(grub-md5-crypt)"
  senha_grub="$(echo $senha_grub | cut -c28-)"
 else
  x=0
 fi
done

sed "s/timeout         5/timeout         3/" /boot/grub/menu.lst > /tmp/menu.lst
mv /tmp/menu.lst /boot/grub/
sed "s/# password topsecret/# password topsecret\npassword --md5 "$senha_grub"/" /boot/grub/menu.lst > /tmp/menu.lst
mv /tmp/menu.lst /boot/grub/

echo "Pronto!"

Ativar os recursos senhas shadow e MD5

2008-08-26T07:26:00.000-07:00

Para ativar esses recursos:

# dpkg-reconfigure --priority=high passwd

Faça com que o arquivo /etc/pam.d/common-password fique assim:

#
# /etc/pam.d/common-password - password-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define  the services to be
#used to change user passwords.  The default is pam_unix

# The "nullok" option allows users to change an empty password, else
# empty passwords are treated as locked accounts.
#
# (Add `md5' after the module name to enable MD5 passwords)
#
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs. Also the "min" and "max" options enforce the length of the
# new password.

#password   required   pam_unix.so nullok obscure min=4 max=8 md5
password  required  pam_unix.so nullok obscure min=6 max=16 md5

# Alternate strength checking for password. Note that this
# requires the libpam-cracklib package to be installed.
# You will need to comment out the password line above and
# uncomment the next two in order to use this.
# (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')
#
# password required   pam_cracklib.so retry=3 minlen=6 difok=3
# password required   pam_unix.so use_authtok nullok md5

Instalar pacotes necessários

2008-08-26T07:25:00.000-07:00

Em todos os servidores é preciso que se tenha:

openssh-server - servidor de shell seguro.
nmap - mapeador de rede.
traceroute - Traça a rota seguida por pacotes através de uma rede IPv4/IPv6.
less - paginador de programas similar ao more.

Para instalar esses programas:

# aptitude update
# aptitude install openssh-server nmap traceroute less

Fortalecimento de servidores

2008-08-26T07:23:00.000-07:00

Este documento descreve os procedimentos a serem observados para fortalecimento do sistema operacional Debian GNU/Linux em computadores que irão desempenhar a função de servidores. Ele é um guia prático de algumas das coisas discutidas no Manual de Segurança Debian.

Nota:

quando os comandos citados começarem com um # isso indica que eles devem ser executados com o usuário root.

quando começarem com um $ isso indica que eles devem ser executados com o usuário normal.

4. Depois da instalação

2008-08-26T07:20:00.001-07:00

Lembre-se que essa instalação é apenas o básico. É necessário realizar várias coisas para fortalecer ainda mais o sistema. Vou tratar disso em um outro artigo. Mas há algumas coisas que você pode fazer para ganhar alguns pontos a favor da segurança.

4.1 Inscreva-se na lista de discussão "Anúncios de Segurança Debian"

Para receber informações sobre atualizações e alertas de segurança (DSAs) disponíveis você deverá se inscrever na lista de discussão debian-security-announce. Veja O time Debian Security, Seção 7.1 para mais informações sobre como o time de segurança do Debian funciona. Para mais informações sobre como se inscrever nas listas de discussões do Debian, leia http://lists.debian.org.

Você deverá considerar, também, em se inscrever na lista de discussão debian-security para discussões gerais de problemas de segurança no sistema operacional Debian. Na lista você poderá entrar em contato com outros administradores de sistemas experientes, assim como também desenvolvedores do Debian e autores de ferramentas de segurança que podem responder suas questões e oferecer recomendações.

4.2 Atualização de segurança

Talvez você pense que agora seja o melhor momento para conectar seu computador à Internet e realizar uma atualização de segurança, mas não é.

O objetivo desse documento é apenas mostrar a instalação básica e foi o que fizemos até aqui. Agora é hora de começar a configurar e fortalecer seu sistema, mas isso é assunto para outro documento, o Fortalecimento de Servidores com Debian.

Por isso, se quer ter um servidor seguro não conecte-o na rede ainda.

4.3 Alterar a BIOS (de novo)

Agora é uma boa hora para você revisar as alterações finais na BIOS, como evitar que a mesma dê BOOT por outro dispositivo que não seja o HD onde o sistema está instalado e acrescentar uma senha para que somente com essa senha seja possível realizar alterações na BIOS.

Talvez você pense que isso seja uma medida de segurança muito simples de ser quebrada, já que bastaria abrir o gabinete e zerar a BIOS para que essa senha e outras configurações desapareçam, mas se você realizar essas configurações e acrescentar lacres que indiquem que o gabinete foi aberto, será mais fácil identificar esse problema.

3. Durante a instalação

2008-08-26T07:19:00.000-07:00

Esse capítulo trata do processo durante a instalação da Debian em computador servidor. Isso inclui preparar a BIOS para dar BOOT pelo CD/DVD ROM, as opções de boot, seleção da localização, escolha do teclado , configuração da rede, particionamento do(s) disco(s), configuração do sistema e tornar o sistema inicializável.

3.1 Preparando a BIOS para o BOOT

Lembre-se de preparar sua BIOS para dar BOOT pelo CD/DVD ROM. Cada BIOS tem suas particularidades e você deverá saber acessá-la e ajustá-la para dar o boot.

3.2 Opções de BOOT

Quando o instalador inicia, será apresentada uma tela gráfica que mostra a logo do Debian e a linha de comandos de boot:

Pressione F1 para ajuda, ou ENTER para iniciar:

Para uma instalação comum basta pressionar ENTER. Se seu hardware possui a necessidade de algum parâmetro especial ou você não conseguiu dar continuidade ao processo de instalação, pode ser útil dar uma olhada nas Opções de boot ou ainda Diagnosticar Problemas no Processo de Instalação.

3.3 Seleção da localização

Logo no começo da instalação você será perguntado sobre a localização do sistema. Isso permite selecionar as opções de localização para a instalação e para o sistema instalado: idioma, país e definições locais. O instalador irá mostrar mensagens no idioma escolhido a menos que a tradução para esse idioma não esteja completa, nesse caso algumas mensagens podem ser mostradas em Inglês.

Selecione: Portuguese (Brazil) - Português do Brasil

3.4 Escolha do teclado

O instalador mostra uma lista de teclados, a partir da qual você escolhe o modelo que coincide com o seu.

O mais comum aqui no Brasil é o Português Brasileiro (ABNT2)

3.5 Configuração da rede

Se seu servidor possui mais de uma placa de rede você tem de escolher qual será a padrão (principal).

Logo em seguida o instalador tentará detectar sua rede. Lembre-se de não conectar esse computador à Internet neste momento. Minha sugestão é que você não configure sua placa de rede neste momento, deixando para fazer isso após a instalação básica do sistema.

Para isso desconecte qualquer cabo da(s) sua(s) placa(s) de rede e então escolha a opção: Não configurar a rede agora.

Escolha um nome para sua máquina. Existem algumas limitações para nome de máquina. Por isso a dica é: use letras minúsculas e números. Normalmente os administradores de rede escolhem um tema para dar nome aos seus vários servidores, por exemplo: Desenhos animados, planetas, pessoas famosas, etc.

3.6 Particionar o disco

Agora é hora de particionar o(s) disco(s). Esse é um momento bastante importante e se não for bem feito pode comprometer o comportamento e segurança do computador servidor.

Um esquema de partição inteligente depende de como o computador servidor será usado. Uma boa regra é ser razoavelmente generoso com suas partições e prestar atenção aos seguintes fatores:

Qualquer diretório que um usuário tenha permissões de escrita, como o /home e o /tmp, devem estar separados em uma partição. Isso reduz o risco de um usuário malicioso utilizar o DoS (Denial of Service) para encher seu diretório raiz ( / ) e tornar o sistema inutilizável (Observação: isso não é totalmente verdade uma vez que sempre existe algum espaço reservado para o usuário root que o usuário normal não pode preencher), e também previne ataques tipo hardlink.
Qualquer partição com dados variáveis, isto é, /var (especialmente /var/log) também deve estar numa partição separada. Em um sistema Debian você deve criar /var um pouco maior que em outros sistemas porque o download de pacotes (cache do apt) é armazenado em /var/cache/apt/archives.
Do ponto de vista da segurança, é sensato tentar mover os dados estáticos para sua própria partição e então montar essa partição somente para leitura.

No caso de um servidor de email é importante ter uma partição separada para o spool de email. Usuários remotos (conhecidos ou não) podem encher o spool de email (/var/mail e/ou /var/spool/mail). Se o spool está em uma partição separada, essa situação não tornará o sistema inutilizável. Porém (se o diretório de spool está na mesma partição que /var) o sistema pode ter sérios problemas: logs não serão criados, pacotes podem não ser instalados e alguns programas podem ter problemas ao iniciar (se eles usam /var/run).

Durante o particionamento do sistema você também tem que decidir qual sistema de arquivos usar. O sistema de arquivos padrão em uma instalação Debian para partições Linux é o ext3. É recomendado sempre utilizar um sistema de arquivos journalling como ext3, reiserfs, jfs ou xfs, para minimizar os problemas derivados de uma quebra do sistema nos seguintes casos:

Para laptops em todos os sistemas de arquivos instalados. Assim se acabar a bateria inesperadamente ou o sistema congelar você correrá menos risco de perda de dados durante a reinicialização do sistema.
para sistemas que armazenam grande quantidade de dados (como servidores de email, servidores ftp, sistemas de arquivos de rede ....). Assim, em caso de queda, menos tempo será gasto para o servidor checar o sistema de arquivos e a probabilidade da perda de dados será menor.

3.6.1 Decidir o tamanho e as partições

Cada caso é um caso e, na minha opinião, essa é a etapa mais complexa no processo de instalação. Vou apresentar (mais abaixo) um modelo que considero de uso geral, mas é bom que você analise bastante essa etapa para particionar e definir os tamanhos conforme o tipo de servidor que você for usar.

3.6.2 A árvore de diretórios

A Debian GNU/Linux adere ao Filesystem Hierarchy Standard para os diretórios e nomes de arquivos. Esse padrão permite aos usuários e aos programas de software predizer o local dos arquivos e diretórios. O nível do diretório raiz é representado simplesmente por uma barra /. No nível raiz, todos os sistemas Debian incluem estes diretórios:

Diretório	Conteúdo
bin	Comandos binários essenciais
boot	Arquivos do sistena de boot
dev	Arquivos de dispositivos
etc	Configurações específicas do sistema
home	Diretório principal dos usuários
lib	Bibliotecas essenciais compartilhadas e módulos do kernel
media	Contém pontos de montagem para dispositivos removíveis
mnt	Local de montagem temporária de um sistema de arquivos
proc	Diretório virtual para informações do sistema (kernels 2.4 e 2.6)
root	Diretório principal do usuário root
sbin	Binários essenciais do sistema
sys	Diretório virtual para informações do sistema (kernels 2.6)
tmp	Arquivos temporários
usr	Hierarquia secundária
var	Dados variáveis
srv	Dados para os serviços disponibilizados pelo sistema
opt	Pacotes de software e aplicações adicionais

A seguir é apresentada uma lista de considerações importantes relacionadas com diretórios e partições. Note que a utilização do disco varia muito com a configuração do sistema e padrões de utilização específicos. As recomendações aqui são linhas de orientações gerais e disponibilizam um ponto de partida para você definir o particionamento ideal para seu computador servidor.

A partição raiz / tem de conter fisicamente sempre /etc, /bin, /sbin, /lib e /dev, caso contrário não será possível inicializar o sistema. Tipicamente são necessários 150-250MB para a partição raiz.
/usr: contém todos os programas dos usuários (/usr/bin), bibliotecas (/usr/lib), documentação (/usr/share/doc), etc. Essa é a porção do sistema de arquivos que geralmente requer mais espaço. Deverá fornecer pelo menos 500 MB de espaço em disco. Esse tamanho deve aumentar dependendo do número e tipo de pacotes que planeja instalar. Uma generosa estação de trabalho deve precisar de uns 4-6 GB.
/var: dados variáveis tais como artigos de news , e-mails, web sites, bases de dados, cache do sistema de pacotes, etc. serão guardados sob este diretório. O tamanho desse diretório depende muito da utilização do seu sistema, mas para a maioria das pessoas irá ser ditado pelo espaço utilizado pelo gestor de pacotes. Se vai fazer uma instalação completa com tudo aquilo que a Debian tem para oferecer, numa só sessão, coloque de começo uns 2 ou 3 gigabytes de espaço para /var que deverão ser suficientes. Se vai instalar por partes (isto é, instalar serviços e utilitários, seguidos de materiais de texto, depois o X, ...), poderá safar-se com 300-500 MB. Se o espaço no disco rígido está a prémio e você não planeja fazer grandes atualizações ao sistema, poderá safar-se com uns 30 ou 40 MB. Servidores Web e servidores de E-mail precisam de grandes espaços no /var. Pense bastante nisso se for configurar servidores desse tipo.
/tmp: dados temporários criados por programas irão provavelmente para esse diretório. Normalmente 40-100 MB são suficientes. Algumas aplicações - incluindo manipuladores de arquivos, utilitários de criação de CD/DVD, e software multimédia - podem utilizar /tmp para guardar arquivos de imagens. Se você planeja utilizar essas aplicações, você deve ajustar de acordo o espaço disponível em /tmp.
/home: todos os usuários irão colocar os seus dados pessoais num subdiretório desse diretório. Seu tamanho depende de quantos usuários irão utilizar o sistema e que arquivos irão ser guardados nos seus diretórios. Dependendo da utilização planejada deverá reservar cerca de 100MB para cada utilizador, mas adapte esse valor às suas necessidades. Reserve muito mais espaço se planeja guardar muitos arquivos multimédia (fotografias, MP3, filmes) no seu diretório home.

3.6.3 Recomendações para o sistema de arquivos escolhido

É sempre recomendável utilizar o sistema de arquivos padrão da distribuição, no nosso caso a ext3.

3.6.4 Modelo de particionamento de uso geral

Lembre-se: cada caso é um caso e esse modelo pode não ser o seu caso.

Considerando um HD de 60 GB.

Diretório  Ponto de montagem  Tamanho  Extras
swap   swap    1 GB
Raíz   /    1 GB   Inicializável
tmp   /tmp    1 GB
home   /home    7 GB   Muito relativo ao tipo de servidor
var   /var    20 GB
www   /var/www   20 GB   Servidor Web simples
log   /var/log   10 GB

3.7 Configurar o sistema

Após o particionamento você terá que responder mais algumas questões que são:

3.7.1 Configurar o Fuso Horário

Como aqui no Brasil temos quatro fusos horários será apresentada a tela para escolha do fuso horário. Escolha a que corresponda à sua localização.

3.7.2 Configurar usuários e senhas

Defina a senha para o root. Lembre-se de escolher uma boa senha.

Após definir a senha de root você terá de definir o nome completo, nome de usuário e senha para um usuário normal do sistema. Esse usuário precisa ser criado para que, no caso de um computador servidor, ele possa ser utilizado para acessar e administrar o sistema, já que regras de segurança dizem para não acessar o sistema como root.

3.7.3 Configurar o gerenciador de pacotes

Não configure o gerenciador de pacotes. Isso fará com que o sistema básico seja instalado apenas com os pacotes disponíveis no CD/DVD ROM. A instalação de pacotes necessários (que não estejam no CD/DVD do Netinst) será feita posteriormente.

3.8 Instalar o GRUB em um disco rígido

Você será questionado se o sistema deve instalar o GRUB. Responda Sim.

Pronto! O sistema será inicializado e após o boot, se tudo correu bem, você terá a Debian GNU/Linux instalada no seu computador servidor.

2. Antes da instalação

2008-08-26T07:18:00.000-07:00

Esse capítulo trata da preparação para instalar a Debian antes mesmo de iniciar o instalador. Isso inclui preparar documentos necessários, verificar o hardware, definir alguns detalhes na BIOS, obter o CD/DVD de instalação, planejar o particionamento do(s) disco(s) e algumas outras coisas que você deve estar ciente.

2.1 Guia de instalação Debian

Esse documento procura ser o mais prático possível, para que você possa ter certeza que, ao final, terá instalado de forma correta a Debian no computador servidor. Todavia ele não entra em pequenos detalhes e nem detalha possíveis situações que podem ocorrer durante o processo de instalação.

Caso não consiga instalar a Debian seguindo esse passo-a-passo ou queira ter uma visão mais detalhada do processo de instalação é recomendável que você leia o Guia de Instalação de Debian GNU/Linux.

Caso a arquitetura na qual você deseja instalar a Debian seja diferente da i386, existe uma Lista de Arquiteturas Suportadas, onde você poderá encontrar versões do Guia de Instalação para elas.

2.2 Hardware

A Debian não impõe requisitos de hardware para além do que é requerido pelo kernel Linux e pelas ferramentas GNU. Por isso qualquer arquitetura ou plataforma para a qual tenha sido portado o kernel Linux, libc, gcc, etc. e para o qual exista um port de Debian, você poderá instalar. No entanto é importante que você saiba dimensionar o hardware para o tipo de servidor que você deseja instalar para evitar que seu computador trabalhe sobrecarregado ou extremamente ocioso.

2.2.1 Algumas observações

A menos que seja extremamente necessário um computador servidor não deve possuir:

Conexões USB;
Unidades de disquete;
Unidades de CD/DVD (após a instalação);
Mouse e teclado (após a instalação);
Acesso físico facilitado.

2.3 Definições para BIOS

Para um melhor desempenho e um maior nível de segurança é recomendável que você efetue algumas configurações na BIOS do computador onde pretende instalar o sistema.

Cada BIOS tem suas particularidades e você deverá saber acessá-la e procurar pelas sugestões aqui apresentadas. Lembre-se: nem todas as opções serão encontradas em todas as BIOS.

2.3.1 Memória Extendida vs. Expandida

Se seu sistema disponibiliza ambas as memórias extendida e expandida , configure-o de modo a ter o máximo de memória estendida e o mínimo de expandida. Linux necessita de memória extendida e não pode utilizar memória expandida.

2.3.2 Proteção de Vírus

Desligue os avisos que a BIOS possa dar da possibilidade de vírus. Se tem uma placa de proteção de vírus ou outro hardware especial, assegure-se que esteja desabilitado ou removido fisicamente enquanto executa o GNU/Linux, pois esses não são compatíveis; e mais, devido às permissões de arquivos e à memória protegida do kernel Linux, os vírus são praticamente desconhecidos.

2.3.3 Shadow RAM

A placa-mãe do seu computador pode disponibilizar shadow RAM ou cache da BIOS . Você pode ver as definições para Video BIOS Shadow, C800-CBFF Shadow, etc. Desligue toda a shadow RAM. A shadow RAM é utilizada para acelerar o acesso às ROMs da placa-mãe e de algumas placas controladoras. O Linux não utiliza essas ROMs após ter inicializado porque disponibiliza software 32-bit mais rápido do que os programas de 16-bit nas ROMs. Desligar a shadow RAM pode tornar disponível alguma memória, a mais, para os programas utilizarem como memória normal. Deixar a shadow RAM ligada pode interferir com o acesso do Linux a dispositivos de hardware.

2.4 Obtendo o Debian Netinst

A forma mais simples de se instalar a Debian em servidores é através do Netinst. Ele é um único CD de instalação que permite instalar todo o sistema operacional. Esse único CD contém apenas a quantidade mínima de software para começar a instalação e obter os outros pacotes através da Internet.

Ele é melhor, no caso de servidores, pois você só vai baixar os pacotes que selecionar para a instalação, o que economiza tempo e banda. Por esse motivo ele é mais seguro que um CD de instalação normal, já que não instalará nenhum programa desnecessário, reduzindo assim o número de programas com os quais você terá de se preocupar.

Após baixar a imagem de instalação do Debian 4.0 Netinst você deverá gravá-la num CD virgem. Não vou explicar aqui como fazer isso por se tratar de um recurso amplamente documentado na Internet.

2.5 Não se esqueça

2.5.1 Não conecte-se a Internet até estar pronto

O sistema não deve ser imediatamente conectado a Internet durante a instalação. Isto pode parecer estúpido mas instalação via Internet é um método comum. Uma vez que o sistema instalará e ativará serviços imediatamente, se o sistema estiver conectado a Internet e os serviços não estiverem adequadamente configurados, você estará abrindo brechas para ataques.

Observe também que alguns serviços podem ter vulnerabilidades de segurança não corrigidas nos pacotes que você estiver usando para a instalação. Isso normalmente será verdade se você estiver instalando a partir de mídia antiga (como CD-ROMs). Nesse caso, o sistema poderia estar comprometido antes de terminar a instalação!

Uma vez que a instalação e atualizações do Debian podem ser feitas pela Internet você pode pensar que é uma boa idéia usar esse recurso na instalação. Se o sistema está diretamente conectado (e não está protegido por um firewall ou NAT), é melhor instalar sem conexão com a grande rede usando um mirror local com os pacotes do Debian e as atualizações de segurança.

Você pode configurar mirrors de pacotes usando outro sistema conectado com ferramentas específicas Debian (se ele é um sistema tipo Debian) como apt-move ou apt-proxy, ou outras, para fornecer os arquivos para o sistema instalado. Se não puder fazer isso, você pode configurar regras de firewall para limitar o acesso ao sistema enquanto estiver atualizando. Irei mostrar como fazer isso mais adiante.

2.5.2 Escolha de senhas

Configurar uma boa senha para o root é o requerimento mais básico para ter um sistema seguro.

Muita informação sobre a escolha de boas senhas pode ser encontrada na internet; um local que fornece um sumário decente e racional é How to: Pick a Safe Password do Eric Wolfram.

2.5.3 Rode o mínimo de serviços possíveis

Serviços são programas como servidores ftp e servidores web. Uma vez que eles têm que estar escutando por conexões que requisitem o serviço, computadores externos podem conectar-se a eles. Serviços algumas vezes são vulneráveis (i.e. podem estar comprometidos sobre um certo ataque) e oferecem risco a segurança.

Você não deve instalar serviços que não são necessários em sua máquina. Todo serviço instalado pode introduzir novos, talvez não óbvios ou conhecidos, buracos na segurança.

Como você já deve saber, quando você instala um serviço o padrão é ele ser ativado. Em uma instalação Debian padrão, sem nenhum serviço a mais instalado, o número de serviços rodando é baixo mesmo quando falamos de serviços oferecidos para a rede, mas é bom conferí-los e, se for o caso, desabilitá-lo(s).

Quando você instala um novo serviço de rede (daemon) em seu sistema Debian GNU/Linux ele pode ser habilitado de duas maneiras: através do superdaemon inetd (uma linha será adicionada ao /etc/inetd.conf) ou através de um programa que serve de interface. Esses programas são controlados pelos arquivos /etc/init.d, que são chamados no momento da inicialização através do mecanismo SysV (ou outro alternativo) pelo uso de symlinks em /etc/rc?.d/* (para mais informações de como isso é feito leia /usr/share/doc/sysvinit/README.runlevels.gz).

Se você quer manter algum serviço, mas que será usado raramente, use os comandos update, isto é, update-inetd e update-rc.d para removê-los do processo de inicialização.

Desabilitar um daemon de serviço é simples. Existem vários métodos:

remover ou renomear os links de /etc/rc${runlevel}.d/ de modo que eles não iniciem com a letra 'S'
mover ou renomear o script /etc/init.d/_service_name_ pra outro nome, por exemplo /etc/init.d/OFF._service_name_
remover a permissão de execução do arquivo /etc/init.d/_service_name_.
editar o script /etc/init.d/_service_name_ para parar o serviço imediatamente.

Você pode remover os links de /etc/rc${runlevel}.d/ manualmente ou usando update-rc.d (veja update-rc.d(8)). Por exemplo, você pode desabilitar um serviço (firewall no exemplo) do runlevel 2 executando:

update-rc.d firewall start 14 2 .

Você deve checar se realmente precisa do daemon inetd . Inetd sempre foi uma maneira de compensar deficiências do kernel, mas estas deficiências foram corrigidas. Existe possibilidade de ataques DoS (Denial of Service) contra o inetd, então é preferível usar daemons individuais do que rodar um serviço do inetd. Se você ainda quer rodar algum serviço do inetd, então no mínimo alterne para um daemon mais configurável como xinetd, rlinetd ou openbsd-inetd.

Você deve parar todos os serviços Inetd desnecessários, como por exemplo echo , chargen , discard , daytime , time , talk , ntalk e r-services (rsh, rlogin e rcp) os quais são considerados ALTAMENTE inseguros (use ssh no lugar desses).

Você pode desabilitar os serviços editando o arquivo /etc/inetd.conf diretamente, mas o Debian fornece uma alternativa melhor: update-inetd (o qual comenta os serviços de modo que eles possam facilmente ser reativados). Você pode remover o daemon telnet para alterar o arquivo de configuração e reiniciar o daemon (neste caso o serviço telnet é desabilitado):

/usr/sbin/update-inetd --disable telnet

Se você quer um serviço, mas não o quer disponível para todos os IP do seu host, você deve usar um recurso não documentado no inetd (substitua o nome do serviço por serviço@ip) ou use um daemon alternativo como xinetd.

2.5.4 Instale somente pacotes necessários

A Debian vem com uma grande quantidade de software. Apesar da grande quantidade de software, a instalação do sistema base utiliza poucos pacotes. Você pode estar mal informado e instalar mais que o realmente necessário para seu sistema.

Sabendo o que seu sistema realmente precisa, você deve instalar apenas o que for realmente necessário para seu trabalho. Qualquer ferramenta desnecessária pode ser usada por um usuário malicioso para comprometer o sistema ou por um invasor externo que tenha acesso ao shell (ou código remoto através de serviços exploráveis).

A presença, por exemplo, de utilitários de desenvolvimento (um compilador C) ou linguagens interpretadas (como perl, python, tcl...) pode ajudar um atacante a comprometer o sistema da seguinte maneira:

permitir a ele fazer escalação de privilégios. Isso facilita, por exemplo, rodar exploits locais no sistema se existe um depurador e compilador prontos para compilar e testar.
fornecer ferramentas que poderiam ajudar um atacante a usar o sistema comprometido como base de ataque contra outros sistemas.

É claro que um invasor com acesso ao shell local pode baixar suas próprias ferramentas e executá-las, além disso o próprio shell pode ser usado para fazer complexos programas. Remover software desnecessário não impedirá o problema mas dificultará a ação de um possível atacante. Então, se você deixar disponíveis ferramentas em um sistema de produção que poderiam ser usadas remotamente para um ataque, pode acontecer de um invasor usá-las.

1. Roteiro para instalação do Debian Etch

2008-08-26T07:06:00.000-07:00

Baseado no Securing Debian Manual Copyright © 2002, 2003, 2004, 2005 Javier Fernández-Sanguino Peña Copyright © 2001 Alexander Reelsen, Javier Fernández-Sanguino Peña Copyright © 2000 Alexander Reelsen

É permitido copiar, distribuir e/ou modificar esse documento desde que sob os termos da GNU General Public License, Version 2 ou qualquer versão posterior publicada pela Free Software Foundation. Ele é distribuído na esperança de ser útil, porém SEM NENHUMA GARANTIA.

É permitido fazer e distribuir cópias em disquetes (ou qualquer outra forma de distribuição) desse documento desde que a nota de copyright e essa nota de permissão estejam em todas as cópias.

É permitido copiar e distribuir versões modificadas desse documento desde que o documento resultante seja distribuído sob os mesmos termos de distribuição desse documento.

É permitido copiar e distribuir traduções desse documento em outro idioma desde que o documento resultante seja distribuído sob os mesmos termos de distribuição desse documento e que a tradução dessa nota de permissão seja autorizada pela Free Software Foundation.

Referências à licença no Apêndice C, GNU General Public License?.

Resumo

Esse documento contém as instruções de instalação para o sistema Debian GNU/Linux 4.0, (nome de código "etch"), para a arquitectura Intel x86 (i386). Também contém indicações para mais informações sobre Debian.

Sobre esse documento

O objetivo desse documento é reunir em apenas um lugar e de forma mais simplificada algumas informações constantes no Guia de Instalação Debian e no Securing Debian Manual.

Nele você encontrará um roteiro de instalação da GNU/Linux Debian com foco em computadores servidores. Trata-se da instalação do sistema básico para qualquer tipo de servidor em computadores da família i386. Escolhi essa arquitetura por ser mais fácil encontrar esse tipo de computador e por vários tipos de servidores funcionarem tranquilamente nela.

Também contém indicações para mais informações sobre o assunto.

De quanto em quanto tempo devo atualizar o Debian?

2008-08-26T06:51:00.000-07:00

Atualizar uma instalação com Debian é muito simples. Basta usar o comando aptitude.

Antes de atualizar o sistema atualize a lista de pacotes:

# aptitude update

A # é apenas para lembrá-lo que o comando deve ser usado com privilégios de root.

E depois:

# aptitude -y upgrade

Essa linha de comando diz ao Debian para atualizar a lista de repositórios e em seguida instalar todas as atualizações disponíveis sem perguntar nada ao administrador. Para muitos deles essa não é uma solução aceitável pois gostam de saber o que está sendo atualizado e porquê, para que então avaliem o impacto dessa atualização no servidor. Caso não queira a atualização direta basta remover a opção -y. Isso fará com que o Debian apresente o que será atualizado e você poderá então decidir, naquele momento, por atualizar ou não.

O ideal é que sejam feitas as atualizações sempre que estejam disponíveis pois, em sua grande maioria, são atualizações de segurança que corrigem falhas encontradas nos programas. A melhor maneira de saber o que está disponível para atualização é assinar as listas:

Ou então verifique pela necessidade de atualizações rodando, todos os dias, o comando:

aptitude update && aptitude -y upgrade

# aptitude update && aptitude upgrade

Para atualizações de versão o correto é:

Tomar conhecimento das mudanças que ocorreram de uma versão para outra. Veja: Notas de lançamento
Analisar o impacto dessas mudanças no servidor. Isso é: ter certeza que essa mudança não irá parar nenhum dos serviços disponibilizados no servidor.
Verificar a integridade do backup atual.
Realizar a migração. Isso é feito assim:

Edite o arquivo /etc/apt/sources.list e troque o nome da versão atual para a versão que se pretende atualizar. Essa troca deve ser feita em todas as linhas do arquivo onde há uma referência para o nome da versão. Normalmente a estrutura desse arquivo é:

deb http://security.debian.org/ etch/updates main contrib
deb-src http://security.debian.org/ etch/updates main contrib

deb http://ftp.us.debian.org/debian etch main

E, considerando que vamos fazer a atualização da Etch para Lenny, ficaria assim:

deb http://security.debian.org/ lenny/updates main contrib
deb-src http://security.debian.org/ lenny/updates main contrib

deb http://ftp.us.debian.org/debian lenny main

Em seguida é necessário atualizar a lista de repositórios, o que é feito com o comando:

# aptitude update

Em seguida procedemos com a atualização:

# aptitude dist-upgrade

Configurar o Debian para usar proxy?

2008-08-26T06:11:00.000-07:00

Crie um arquivo com o nome de apt.conf no diretório /etc/apt com o seguinte conteúdo:

Acquire
{
// HTTP method configuration
http
{
Proxy "http://ENDEREÇO:PORTA";

};

};

Onde:

ENDEREÇO é o endereço do proxy
PORTA é o número da porta do proxy.

Exemplo:

Proxy "http://10.1.1.1:3828";

Mais informações:

man apt.conf

Onde baixar a .iso para instalação?

2008-08-26T06:07:00.002-07:00

É muito importante que você sempre baixe as imagens para as mídias de instalação de fontes seguras. A fonte mais segura para isso são os próprios repositórios do Debian.

O link abaixo direciona para a página oficial para se obter a versão mais atual do Debian netinst.

Essa imagem contém o instalador e um conjunto reduzido de pacotes, o que possibilita a instalação de um sistema (muito) básico, ideal para iniciar um servidor pois, nesse tipo de demanda, não é preciso e nem recomendado que se tenha mais programas do que os extremamente necessários.

Imagens netinst oficiais para a distribuição estável (stable)

Qual versão instalar?

2008-08-26T06:07:00.001-07:00

Saber qual versão instalar foi uma outra questão para a qual precisei buscar por informações e fiquei sabendo que existem três sabores de Debian:

Unstable
Testing
Stable

O sabor Unstable (instável) é indicada para quem ajuda a desenvolver o sistema. Mais informações.

O sabor Testing (teste) é indicada para desktops. Use essa versão para colocar nas máquinas de usuários, nunca em servidores. Mais informações.

O sabor Stable (estável) é indicada para servidores. Essa que você deve instalar nos servidores. Mais informações.

Cada sabor recebe um nome mais amigável que identifica a versão atual em que se encontra. Até hoje todos os nomes dos sabores foram dados em referência a personagens do filme Toy Story. O único sabor que sempre tem o mesmo nome é o Unstable, que sempre será a Sid. No momento em que escrevo esse texto o nome do sabor Stable é Etch e do Unstable é Lenny. É importante acompanhar esses nomes para saber qual é a versão estável atual e não cometer erros.

Onde encontrar informações sobre o Debian?

2008-08-24T16:53:00.000-07:00

A primeira grande questão foi saber onde encontrar várias informações sobre o projeto e a distribuição Debian. Segue o que encontrei e que me ajudou:

Software Livre e outras coisas mais

Bramane

VServer com IPs falsos

Copiando vservers para outro computador

Verificar quais servidores virtuais estão rodando

Iniciar e parar todos os servidores de uma vez

Iniciar e parar um servidor virtual

Definir o servidor para iniciar quando o computador for reiniciado

Criar um novo servidor virtual

SSH do host só ouça pelo IP do host

Altere o /etc/ssh/sshd_config para que o SSH do host só ouça pelo IP do host

Preparar o servidor para rodar como vserver

Virtualização de servidores com o Vserver

Fortalecimento automático de sistemas Debian

Fazer logout de usuários ociosos

Tornar o ssh mais seguro

Ajustar a umask dos usuários

Tornar os logins mais seguros

Restringir reinicialização pelo ctrl+alt+del

Restringir o acesso de login do root no console

Configurar a senha do grub e definindo o timeout para 3

Ativar os recursos senhas shadow e MD5

Instalar pacotes necessários

Fortalecimento de servidores

4. Depois da instalação

4.1 Inscreva-se na lista de discussão "Anúncios de Segurança Debian"

4.2 Atualização de segurança

4.3 Alterar a BIOS (de novo)

3. Durante a instalação

3.1 Preparando a BIOS para o BOOT

3.2 Opções de BOOT

3.3 Seleção da localização

3.4 Escolha do teclado

3.5 Configuração da rede

3.6 Particionar o disco

3.6.1 Decidir o tamanho e as partições

3.6.2 A árvore de diretórios

3.6.3 Recomendações para o sistema de arquivos escolhido

3.6.4 Modelo de particionamento de uso geral

3.7 Configurar o sistema

3.7.1 Configurar o Fuso Horário

3.7.2 Configurar usuários e senhas

3.7.3 Configurar o gerenciador de pacotes

3.8 Instalar o GRUB em um disco rígido

2. Antes da instalação

2.1 Guia de instalação Debian

2.2 Hardware

2.2.1 Algumas observações

2.3 Definições para BIOS

2.3.1 Memória Extendida vs. Expandida

2.3.2 Proteção de Vírus

2.3.3 Shadow RAM

2.4 Obtendo o Debian Netinst

2.5 Não se esqueça

2.5.1 Não conecte-se a Internet até estar pronto

2.5.2 Escolha de senhas

2.5.3 Rode o mínimo de serviços possíveis

2.5.4 Instale somente pacotes necessários

1. Roteiro para instalação do Debian Etch

Resumo

Sobre esse documento

De quanto em quanto tempo devo atualizar o Debian?

Configurar o Debian para usar proxy?

Onde baixar a .iso para instalação?

Qual versão instalar?

Onde encontrar informações sobre o Debian?

Altere o `/etc/ssh/sshd_config` para que o SSH do host só ouça pelo IP do host