UIA2

VERSÃO PARA IMPRESSÃO
ADMINISTRAÇÃO DE SERVIÇOS DA INTERNET

UIA 2 | INFRAESTRUTURA BÁSICA PARA IMPLEMENTAÇÃO DE
SERVIÇOS
Este material é destinado exclusivamente aos alunos e professores do Centro Universitário IESB, contém
informações e conteúdos protegidos e cuja divulgação é proibida por lei. O uso e/ou reprodução total ou
parcial não autorizado deste conteúdo é proibido e está sujeito às penalidades cabíveis, civil e
criminalmente.
ADMINISTRAÇÃO DE SERVIÇOS DA INTERNET | UIA 2 | 3
SUMÁRIO
Aula 7 | Virtualização no Linux – KVM ........................................................................................5

7.1. Tipos de Virtualização .....................................................................................................................6
7.2. Soluções de Mercado ......................................................................................................................8
7.3. Arquitetura do KVM ........................................................................................................................8
7.4. Instalação do KVM ...........................................................................................................................9
7.4.1. Pré-Requisitos.............................................................................................................................................................. 9
7.4.2. Criação de uma Máquina Virtual .......................................................................................................................... 9
Disco Virtual ........................................................................................................................................................................................... 9
Instalação da Máquina Virtual ....................................................................................................................................................... 10
7.4.3. Criação de uma Rede Privada para as Máquinas Virtuais .......................................................................... 10
7.4.4. Inicializando Máquinas Virtuais .......................................................................................................................... 11
Aula 8 | DHCP ............................................................................................................................. 12
8.1. Instalação e Configuração de um Servidor DHCP ...................................................................... 12
8.2. Configuração de Endereços Estáticos com DHCP ...................................................................... 14
8.3. Utilização de DHCP em Redes Compartilhadas ......................................................................... 15
8.4. Restrição do DHCP a uma Única Interface de Rede.................................................................... 16
Aula 9 | DNS ................................................................................................................................ 16

9.1. Pré-Requisitos ............................................................................................................................... 17
9.2. Instalação de um servidor DNS Cache ........................................................................................ 17
9.3. Configuração de um Servidor DNS Primário .............................................................................. 18
9.4. Configuração de um Servidor DNS Secundário ......................................................................... 20
Aula 10 | TELNET e FTP .............................................................................................................. 22

10.1. Instalação e Configuração do Servidor TELNET ....................................................................... 22
10.1.1. Pré-Requisitos ......................................................................................................................................................... 22
10.1.2. Instalação do Servidor TELNET ......................................................................................................................... 22
10.1.3. Comandos TELNET ................................................................................................................................................ 23
10.1.4. Considerações de Segurança ............................................................................................................................ 23
10.2. Instalação e Configuração do Servidor FTP ............................................................................. 24
10.2.1. Pré-Requisitos ......................................................................................................................................................... 24
10.2.2. Instalação do Servidor FTP ................................................................................................................................. 24
10.2.3. Comandos FTP ........................................................................................................................................................ 25
10.2.4. Consideração de Segurança .............................................................................................................................. 25
10.3. Criação de Diretório para Compartilhamento de Conteúdo .................................................. 25
10.4. Configuração de Servidores Virtuais ........................................................................................ 26
Aula 11 | SSH .............................................................................................................................. 28

11.1. Pré-Requisitos ............................................................................................................................. 28
11.2. Instalação do OpenSSH .............................................................................................................. 29
11.3. Testando o Acesso ao Servidor ................................................................................................. 29
11.4. Geração de Chaves para Acesso Remoto SSH Sem Senha ...................................................... 29
11.5. Ajustes de Segurança Recomendados ...................................................................................... 31
11.6. Como Executar Comandos em Múltiplos Hosts via SSH .......................................................... 31
Aula 12 | Servidor Web – Linux (Apache) ................................................................................. 32
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
12.1. Pré-Requisitos ............................................................................................................................. 33

12.2. Instalação .................................................................................................................................... 33
12.3. Configuração Básica ................................................................................................................... 34
12.4. Servidores Virtuais ..................................................................................................................... 35
12.5. Servidor Web Seguro ................................................................................................................. 36
12.5.1. Geração de Chave e Certificado Próprio Autoassinado ........................................................................... 36

Aula 7 | VIRTUALIZAÇÃO NO LINUX – KVM
Olá, estudante, bem-vindo(a) à segunda Unidade de Interação e Aprendizagem (UIA). Nas próximas seis aulas,
falaremos sobre a infraestrutura básica para implementação de serviços. Nesta primeira aula, o assunto é
virtualização no Linux. Vamos lá? Bons estudos!
n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n
Acesse o Ambiente Virtual de Aprendizagem (AVA) da disciplina e

assista à videoaula.
Ubuntu: sistema operacional de código aberto, construído a partir do núcleo Linux, baseado no Debian. Fonte: http://tinyurl.com/zamjt9a
A virtualização é uma solução que veio para ficar, pois permite reproduzir em ambiente virtual toda a
infraestrutura de tecnologia da informação anteriormente mantida em ambiente físico muito mais
complexo e oneroso.
Permite suportar não somente a virtualização dos servidores, mas de toda a infraestrutura, incluindo a
rede e seus ativos – viabilizando a reprodução da estrutura desejada fisicamente, incluindo, por exemplo,
a segmentação. Os demais elementos também podem ser virtualizados e mantidos tais como
dispositivos (appliances) para segurança (firewalls), inspeção de tráfego e balanceadores de carga.
A virtualização possui muitas vantagens, entre elas a redução da complexidade e

do tempo para provisionamento de um novo serviço.

Em um ambiente físico, é necessária toda uma logística para transporte, recebimento e instalação. Em
ambiente virtual, no entanto, uma vez feito o download da imagem ou do appliance, pronto, pode-se
providenciar a instalação mais rapidamente. Muitas vezes, todo um ambiente pode ser implementado
com o pressionar de um botão. Reduzindo-se o tempo e os recursos consumidos.
Já a redução da complexidade é obtida pelo melhor aproveitamento dos recursos físicos disponíveis, pois
podem ser utilizados por quaisquer das soluções mantidas no ambiente, ao invés de ficar à disposição de
um único serviço.
A virtualização surgiu na década de 1960, sendo utilizada em
mainframes IBM. Entretanto, nas décadas seguintes, em razão
do alto custo para aquisição e manutenção de mainframes,
bem como do surgimento dos computadores de menor
porte – plataforma baixa ou x86 –, a maioria das empresas
optou por esses computadores de menor custo. Esses
computadores foram adquiridos em grande quantidade, às
vezes, um para cada serviço a ser suportado, ou ainda várias
unidades por solução – dependendo de sua complexidade.
Figura 1: Redução da complexidade
A virtualização voltou a ganhar fôlego em razão do aumento de capacidade

dos processadores e do fato de que passaram a incluir recursos para suportar
a virtualização.
Nesta aula, veremos os tipos de virtualização existentes, as principais
soluções de mercado para ambientes Linux, além de implementar uma
solução muito utilizada – KVM1.
7.1. TIPOS DE VIRTUALIZAÇÃO Tux, mascote do Linux. Fonte:

http://tinyurl.com/hyn8rtc
A virtualização consiste de uma camada entre o hardware e o software que

emula um ambiente para as máquinas virtuais. Essa camada é denominada de
hipervisor2 (ou hypervisor). Sua função é receber as chamadas de sistema das
máquinas virtuais e atuar sobre o hardware físico – tais como processadores,
memória, dispositivos de armazenamento e de entrada/saída.

1
Kernel-based Virtual Machine – tipo de infraestrutura de virtualização utilizada em ambientes Linux.
2
Camada de software destinada a gerenciar e intermediar máquinas virtuais sobre um determinado hardware.
Cada máquina virtual, também denominada de VM3 (Virtual Machine) consiste de um hardware emulado
no qual pode ser instalado um determinado sistema operacional e suas aplicações. O ambiente virtual
pode ainda promover a integração ou o isolamento das máquinas virtuais de acordo com a topologia de
rede desejada. A figura a seguir ilustra a instalação tradicional do sistema operacional diretamente no
hardware e o ambiente virtualizado (com o hipervisor e as máquinas virtuais).
Figura 2: Instalação tradicional do sistema operacional e o ambiente virtualizado
Os tipos principais de virtualização são: virtualização total (ou full) e paravirtualização. Existem ainda
outros tipos com propósitos extremamente específicos que não serão abordados aqui, tais como
virtualização parcial simulada (para alguns tipos de programas) e virtualização de armazenamento
(utilizado, por exemplo, em storages4).
A virtualização total consiste de uma emulação total de hardware para o sistema

operacional virtualizado, o qual não necessita nem de saber que está em ambiente virtual.
Assim, todo o acesso ao hardware é controlado pela solução de virtualização.
Na paravirtualização as máquinas virtuais podem fazer chamada de sistema diretamente
para a camada de virtualização e para o hardware físico.
A figura a seguir permite a comparação entre a virtualização total e a paravirtualização.
Figura 3: Comparação: virtualização total e paravirtualização

3
Virtual Machine – Ou máquina virtual, é a emulação de um sistema computacional.
4
Dispositivo específico para armazenamento de dados que os disponibiliza diretamente a um servidor ou na rede.
7.2. SOLUÇÕES DE MERCADO

Existem numerosas soluções de virtualização para o ambiente Linux, mas considerando os hipervisores
do tipo 1, podemos reduzi-los a quatro: VMWare ESX; Microsoft Hyper-V; XEN; e KVM.
Em termos de soluções proprietárias, as líderes são o VMware ESX e Microsoft Hyper-V. Sendo que esta
última executa somente em ambiente Windows, entretanto, suporta máquinas virtuais Linux. Software
livre, ou de código aberto, tem-se XEN e o KVM.
O VMware ESX possui recursos para gerenciamento clusters compostos de múltiplos servidores de
virtualização (ESX), inclusive localizados em múltiplos sites. Um cluster VMware ESX pode manter dezenas
de VM em cada servidor ESX. Possui vários recursos, entre eles: de balanceamento de carga – como a
possibilidade de migração de VM ativas de um host ESX para outro (denominado live migration5); de
transferência da VM de um storage para outro (denominado storage migration); e de alta disponibilidade
– como a transferência de VM para outro nó do cluster, mesmo em caso de falha súbita do host ESX
(denominado HA Protect).
Verifique na página da VMware o funcionamento dos recursos de alta

disponibilidade. Acesse o link disponível a seguir.
http://tinyurl.com/jtutt58
O Microsoft Hyper-V é uma solução da Microsoft para ambientes Windows. Entre seus principais recursos
estão suporte replicação de VM, live migration, storage migration e implementação automática de VMs.
Agora, avalie quais são os recursos mais interessantes do Hyper-V.

Acesse o link a seguir.
http://tinyurl.com/zgbaybz
Tanto o VMware ESX quanto o Microsoft Hyper-V têm licenciamento proprietário e custo de aquisição,
sendo recomendado a avaliação do custo-benefício para adotá-las.
7.3. ARQUITETURA DO KVM

O KVM (Kernel-based Virtual Machine) é uma solução de virtualização total, de código aberto, baseada em
Linux. Podendo ser executada em equipamentos de arquitetura x86, processadores Intel e AMD, com
suporte a extensões Intel VT e AMD-V, respectivamente.
O KVM executa em um kernel modificado, podendo suportar dezenas de máquinas virtuais. A partir do
kernel versão 2.6.20, passou a ser distribuído como um componente do Linux.
Sua estrutura é baseada nos seguintes componentes: Módulo KVM – módulos do kernel com os drivers
para manipulação do hardware virtual; Espaço do usuário – versão modificada do QEMU que executa os
controles de interfaces de entrada/saída, efetuando o gerenciamento das VM. Conforme ilustrado na
figura a seguir:

5
Técnica de transferência de máquinas virtuais de um hypervisor a outro sem desligamento ou interrupção dos serviços.
Figura 4: Componentes da estrutura
No KVM, as máquinas virtuais são processos do Linux, beneficiando-se, assim, dos mecanismos de
controle de processos e memória do sistema operacional hospedeiro, inclusive swap6.
7.4. INSTALAÇÃO DO KVM

7.4.1. PRÉ-REQUISITOS
Para as atividades práticas desta aula, é necessário a utilização do sistema operacional Ubuntu.
Instale o suporte ao KVM no sistema operacional:
# apt-get install kvm qemu-kvm qemu-utils
7.4.2. CRIAÇÃO DE UMA MÁQUINA VIRTUAL

DISCO VIRTUAL
Para o provisionamento de uma máquina virtual, é necessário, inicialmente, criar um disco rígido virtual.
Existem dois modos de criação de discos virtuais. O primeiro modo com o comando dd – provisiona no
disco físico todo o espaço especificado. Já o segundo modo comando qemu-img – cria o disco virtual,
mas provisiona o espaço no disco físico na medida em que for sendo alocado na VM.

6
Técnica de transferência de dados armazenados entre a memória primária e secundária de um dispositivo, com o objetivo de
melhorar a utilização da memória.
Criação de disco virtual com dd (Opção 1):

# dd if=/dev/zero of=disco.img bs=10G count=5
Cria um arquivo denominado disco.img de tamanho 10GB. Recomendável utilizar um

nome amigável, o que facilita identificar a qual VM pertence cada disco virtual, isso é
especialmente útil caso existam múltiplas VM no hospedeiro.
Criação de disco virtual com qemu-img (Opção 2):

# qemu-img create –f qcow2 vm1-ubuntu.img 10G
Cria um arquivo denominado vm1-ubuntu.img em formato compatível com qemu. São

suportados ainda os seguintes formatos: raw – formato padrão, útil para exportação para
outras soluções; cloop – útil para imagens compactadas em CD-ROM; vmdk – compatível
com VMware; vdi – compatível com VirtualBox.
INSTALAÇÃO DA MÁQUINA VIRTUAL

Nos comandos a seguir, será feita a configuração de uma máquina virtual utilizando-se a interface de
linha de comando.
Iniciar uma VM com 512 MB de memória ram:
# kvm –m 512 –hda vm1-ubuntu.img
Indicar local da imagem a ser utilizada na instalação:

# kvm –cdrom /tmp/Ubuntu.iso –m 512 –hda vm1-ubuntu.img
Ou
# kvm –cdrom /dev/cdrom –m 512 –hda vm1-ubuntu.img
Iniciar a máquina virtual:

# kvm –cdrom –m 512 –hda vm1-ubuntu.img –boot d
Quando solicitado, crie um usuário denominado aluno e senha aluno.
7.4.3. CRIAÇÃO DE UMA REDE PRIVADA PARA AS MÁQUINAS VIRTUAIS

Em muitos casos, você pode querer criar uma rede privada entre máquinas virtuais, muito útil, por
exemplo, caso deseje criar uma zona militarizada (MZ7), uma zona desmilitarizada (DMZ8) ou ainda isolar
um ambiente de testes. Para isso, é útil criar uma bridge9 para conexão das máquinas que deseja colocar
na mesma rede.
A figura a seguir ilustra uma rede privada entre duas VMs e sua conectividade com o hospedeiro:

7
Militarized Zone – Segmento de rede protegido utilizado geralmente para servidores mais sensíveis à problemas de segurança.
8
Demilitarized Zone (Zona Desmilitarizada) segmento da rede que é exposta a uma rede externa não confiável ou à internet.
9
Tipo de conexão utilizada para conectar computadores em redes distintas, também denominada de ponte.
Figura 5: Rede privada entre duas VMs
Criar uma bridge no hospedeiro:

# brctladdbr br0
Configurar endereço IP para o hospedeiro na bridge:

# ifconfig br0 192.168.10.1
Criar interface de rede do tipo TAP para uso pela VM (vm1-ubuntu):

# brctladdrif br0 tap0
Caso queira criar uma interface de rede TAP para uma segunda VM:
# brctladdrif br0 tap1
Acesse a VM (vm1-ubuntu) e configure o endereço 192.168.10.2:

# ifconfig eth1 192.168.10.2 (Este comando na vm1-ubuntu)
7.4.4. INICIALIZANDO MÁQUINAS VIRTUAIS

Ao iniciar uma máquina virtual, pode acontecer de não haver nenhuma interface de rede configurada.
Caso isso ocorra, é útil verificar qual é a interface disponível e adicioná-la à VM.
Verificar quais os drivers de rede disponíveis:
# kvm –net nic,model=?
Definir o driver e MAC10 e ser utilizado:

# kvm –m 512 –vm1-ubuntu.img –net,model=e1000,macaddr=84.8F.69.C8.06.62
–net user
Pode ser útil ainda criar um acesso SSH 11 entre o hospedeiro e a VM:

10
Media Access Control – Endereço associado a uma interface em redes Ethernet.
# kvm –m 512 –vm1-ubuntu.img –net nic –net user,hostfwd=tcp::5555 -:22
Testar o acesso SSH entre o hospedeiro e a VM:

# ssh –p 5555 aluno@127.0.0.1
Digite alguns comandos para verificar que está logado na VM, em seguida, faça logoff da máquina virtual
e retorne ao prompt do hospedeiro.
Caso seja necessário liberar o acesso da VM à rede do hospedeiro, é necessário liberar as configurações
no firewall do hospedeiro, que, por padrão, não encaminha pacotes entre duas redes. Para isso, digite:
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables –P FORWARD ACCEPT
Considerando que a rede da VM seja 192.168.10.0 e a interface de rede eth1:

# iptables –A POSTROUTING –t nat –s 192.168.10.0/24 –o eth1 –j
MASQUERADE
Termina aqui nossa primeira aula desta unidade. Introduzimos conceitos que serão importantes ao longo
desta parte do conteúdo. Continue os estudos desta disciplina e até breve!
Aula 8 | DHCP
Nesta aula, vamos implementar o serviço DHCP12, responsável pela distribuição de endereços IP13 e outras
configurações na rede, conforme já estudado na Unidade de Interação e Aprendizagem (UIA) anterior.
Continue os estudos desta disciplina e boa aula!
8.1. INSTALAÇÃO E CONFIGURAÇÃO DE UM SERVIDOR DHCP

Os exemplos desta aula e das próximas consideram o uso no Linux do editor de texto VIM.
Visite a página disponível no link a seguir que contém três tutoriais

sobre o VIM: um básico, um médio e um avançado!
http://tinyurl.com/jpzb8aq
Para as atividades práticas desta aula, é necessária a utilização de duas máquinas virtuais com o sistema
operacional Ubuntu. A primeira máquina virtual (VM1) deve possuir endereço IP estático na rede
192.168.10.0/24, preferencialmente 192.168.10.1/24. Enquanto a segunda máquina virtual (VM2) utilizará
IP dinâmico fornecido pelo servidor.

11
Secure Shell – Protocolo para estabelecimento de sessão remota segura entre um cliente e um servidor utilizado em redes
privadas e na internet.
12
Dynamic Host Configuration Protocol – Protocolo para configuração dinâmica de dispositivos em uma rede.
13
Internet Protocol – protocolo de camada de rede utilizado para identificação de um dispositivo na rede.
Figura 6: Cliente e servidor DHCP
Certifique-se de que a solução de virtualização que você está utilizando permite a comunicação entre a
VM1 e VM2.
Configure um endereço IP estático na VM1:
# vim /etc/network/interfaces
auto eth0
iface eth0 inet static
address 192.168.10.1
netmask 255.255.255.0
network 192.168.10.0
broadcast 192.168.10.255
Reinicie o serviço de rede da VM1:
# /etc/init.d/networking restart
Instale o servidor DHCP na VM1:
# apt-get install isc-dhcp-server
Edite o arquivo de configuração dhcpd.conf indicando os parâmetros necessários:
# vim /etc/dhcp/dhcpd.conf
ddns-update-style interim;
max-lease-time 14400;
subnet 192.168.10.0 netmask 255.255.255.0 {
option routers 192.168.10.254;
option subnet-mask 255.255.255.0;
option domain-name “rede.teste”;
option domain-name-servers 192.168.10.253;
option time-offset -18000;
range 192.168.10.100 192.168.0.200;
}
Reinicie o serviço dhcpd na VM1:
# /etc/init.d/dhcpd restart
Configure a máquina virtual VM2 para utilizar IP dinâmico:
# vim /etc/network/interfaces
auto eth0
iface eth0 inet dhcp
Inicialmente verifique na VM2 o endereço obtido:
# ifconfig
Ao reiniciar o serviço de rede da VM2 (cliente), esta deve obter um endereço dentro da faixa (range) que
havia sido especificada na VM1 (servidor). Agora, verifique na VM1 (servidor) o conteúdo do arquivo
dhcp.leases, que contém informações como endereço IP, MAC e de tempo relacionadas aos clientes:
# less /var/lib/dhcp.leases

assista à videoaula que traz uma demonstração da instalação do serviço
DHCP em ambiente Linux.
8.2. CONFIGURAÇÃO DE ENDEREÇOS ESTÁTICOS COM DHCP

Nesta atividade, serão utilizadas as mesmas máquinas virtuais do item anterior: VM1 (servidor DHCP) e
VM2 (cliente DHCP).
Agora você irá configurar a VM2 para obter sempre um mesmo endereço IP predeterminado. O que é
muito útil para você utilizar em ativos de rede e outros dispositivos, tais como impressoras.
Verifique qual é o endereço MAC da VM2:
# ifconfig
Anote o endereço MAC da interface de rede. Vamos considerar que o MAC seja 84.8F.69.C8.06.62.
Configure o arquivo dhcpd.conf na VM1 (servidor):
Acrescente as seguintes linhas no arquivo:
host vm2-ubuntu {
option host-name “vm2-ubuntu.rede.teste”;
hardware Ethernet 84.8F.69.C8.06.62;
fixed-address 192.168.10.2;
}
Agora verifique na VM2 o novo endereço obtido:

# ifconfig
Confira o conteúdo do arquivo dhcp.leases na VM1 (servidor):
# less /var/lib/dhcp.leases
Observe as entradas nesse arquivo. O endereço IP anterior e o atual da VM2 (cliente) constam no arquivo
dhcp.leases.
8.3. UTILIZAÇÃO DE DHCP EM REDES COMPARTILHADAS

O servidor DHCP pode distribuir endereços em diferentes redes. O que é muito útil quando você tem
redes segmentadas. Para isso, é necessário que o servidor possua interface de rede em todas as redes em
que deseja atender.
No item anterior, o servidor DHCP atendia a rede 192.168.10.0/24. Vamos configurá-lo para que atenda
também a rede 192.168.20.0/24.
Edite o arquivo /etc/dhcp/dhcpd.conf da VM1 (servidor):
ddns-update-style interim;
max-lease-time 14400;
subnet 192.168.10.0 netmask 255.255.255.0 {
option routers 192.168.10.254;
option domain-name-servers 192.168.10.253;
range 192.168.10.100 192.168.0.200;
}
host vm2-ubuntu {
option host-name “vm2-ubuntu.rede.teste”;
hardware Ethernet 84.8F.69.C8.06.62;
fixed-address 192.168.10.2;
}
subnet 192.168.20.0 netmask 255.255.255.0 {
range 192.168.20.10 192.168.0.250;
}


8.4. RESTRIÇÃO DO DHCP A UMA ÚNICA INTERFACE DE REDE

Nas situações em que o servidor DHCP possui mais de uma interface de rede, pode ser útil restringir a interface
de rede que atende às solicitações DHCP dos clientes. Para isso, edite o arquivo /etc/default/isc-dhcp-server:
# vim /etc/default/isc-dhcp-server
INTERFACES=”eth0”
Alternativamente, se desejar em mais de uma interface:
# vim /etc/default/isc-dhcp-server
INTERFACES=”eth0 eth1 wlan0”
NAC (Network Access Control) ou Controle de Acesso à Rede é um

componente importante de uma solução de gerenciamento de
segurança abrangente. Acesse o link a seguir e aprenda mais sobre esse
assunto!
http://tinyurl.com/zhcbd77
Finalizamos aqui nossa aula sobre DHCP. Ficou com alguma dúvida? Retorne ao conteúdo ou busque
esclarecimentos no Fórum de Dúvidas. Senão, passe para nossa aula seguinte. Até lá.
Aula 9 | DNS
Nesta aula, vamos implementar o serviço DNS14, responsável pela

resolução de nomes em uma rede local. Essas noções são essenciais para o
dia a dia profissional e para o estudioso(a) da área. Continue estudando!
Na Unidade de Interação e Aprendizagem (UIA) anterior, você estudou as implementações típicas de

DNS, envolvendo servidores de DNS primário e secundário. Aqui você irá instalar esses dois tipos e
também um terceiro (denominado cache), cuja função é, em geral, embutida no primário e no
secundário.
Iniciará pelo servidor cache, utilizado para armazenar por tempo determinado consultas anteriores de
DNS já feitas por algum dispositivo da rede interna, com o objetivo agilizar o tempo de resposta e
diminuir o tráfego no link WAN15. Em seguida instalará: o primário – que responde a consulta sobre
nomes em seu domínio; e o secundário – divide a carga de consultas sobre nomes no domínio local com
o primário provendo uma redundância ao sistema.

14
Domain Name System – Protocolo para gerenciamento e resolução de nomes em redes privadas e na internet.
15
Wide Area Network – Rede com ampla área de abrangência, podendo alcançar diferentes regiões dentro de um país ou mesmo
fora dele.
9.1. PRÉ-REQUISITOS
Para as atividades práticas desta aula, é necessário a utilização do sistema operacional Ubuntu. Você
pode continuar a utilizar as duas máquinas virtuais utilizadas na aula anterior (VM1 e VM2). Certifique-se
que os endereços IP sejam: VM1 – 192.168.10.1 e VM2 – 192.168.10.2.
Figura 7: Servidor DNS primário e secundário
9.2. INSTALAÇÃO DE UM SERVIDOR DNS CACHE

Nesta atividade, será feita a instalação do servidor DNS cache na VM1. O servidor cache não contém
informações sobre os servidores de sua rede local. Sua finalidade é reduzir o número de consultas que
uma filial envia pelo link de rede WAN (em direção à internet ou à matriz da empresa por exemplo).
Inclua na própria VM1 o endereço IP do servidor DNS. Edite o arquivo /etc/resolv.conf e inclua a entrada
especificada a seguir:
# vim /etc/resolv.conf
nameserver 192.168.10.1
Altere o arquivo /etc/host.conf para garantir que a VM1 consulte o serviço bind antes de consultar o
arquivo hosts local:
# vim /etc/host.conf
order bind,hosts
OBS.: Certifique-se que, na diretiva order, o bind apareça antes de hosts.
Agora, vamos iniciar a instalação dos serviços DNS na VM1:

# apt-get install bind9 dnsutils
Instale também o aplicativo dig que utilizaremos em vários testes:

# apt-get install dig
Verifique se o serviço DNS está em execução:

# service bind9 status
Vamos fazer uma consulta ao servidor DNS cache local para determinar o endereço IP de ead.iesb.br:
# dig @192.168.10.1 ead.iesb.br
Agora vamos determinar o endereço IP dos servidores de correio eletrônico do domínio iesb.br:
# dig iesb.br MX
Consulte a Aula 5 para rever os tipos de registros DNS.

Veja outras informações sobre a utilização do comando dig e os tipos de

registro. Consulte o manual local do sistema operacional digitando man
dig ou acesse o link disponível a seguir.
http://tinyurl.com/88yx3s
9.3. CONFIGURAÇÃO DE UM SERVIDOR DNS PRIMÁRIO

Vamos agora implementar um servidor DNS primário.
Para isso, iremos editar o arquivo de configuração do serviço e os arquivos de zonas. O arquivo de
configuração contém algumas informações sobre o serviço DNS, em especial, a relação de zonas
mantidas por esse servidor e em qual diretório estão os arquivos de zonas. Os conceitos sobre zonas de
DNS foram abordados na Aula 5 (Conceitos e Definições de DNS).
Na implementação, são pelo menos quatro zonas que devem ser incluídas: uma de dicas (tipo hint); uma
para resolução direta; e duas para resolução reversa.
Edite o arquivo /etc/resolv.conf para incluir a diretiva search:
search rede.teste
Edite o arquivo de configuração /etc/bind/named.conf para incluir informações das zonas:
# vim /etc/bind/named.conf
Options {
Directory “/etc/bind”;
};
zone “rede.teste” IN {
type master;
file “db.rede”;
};
zone “0.0.127.in-addr.arpa” IN {
type master;
file “db.0.0.127”;
};
zone “db.10.168.192” IN {
type master;
file “db.10.168.192”;
};
Edite o arquivo de zona /etc/bind/db.rede:
# vim /etc/bind/db.rede
$TTL 604800

@ IN SOA ns1.rede.teste. root.ns1.rede.teste. (

2 ;serial
604800 ;refresh
86400 ;retry
2419200 ;expire
604800) ;negative cache TTL
@ IN NS ns1.rede.teste.
localhost IN A 127.0.0.1
ns1 IN A 192.168.10.1
ns2 IN A 192.168.10.2
Edite o arquivo de zona /etc/bind/db.0.0.127:
# vim /etc/bind/db.0.0.127
$TTL 604800
2 ;serial
604800 ;refresh
86400 ;retry
2419200 ;expire
1 IN PTR localhost.
Edite o arquivo de zona /etc/bind/db.10.168.192:
# vim /etc/bind/db.10.168.192
$TTL 604800
2 ;serial
604800 ;refresh
86400 ;retry
2419200 ;expire
localhost IN A 127.0.0.1
ns1 IN A 192.168.10.1
ns2 IN A 192.168.10.2
Reinicie o serviços DNS:
# service bind9 restart
Caso ocorra um problema na inicialização do servidor, pare o servidor e o reinicie em modo debug:
#service bind9 stop
# named –g
O comando named –g lhe indicará se existem problemas e onde possam estar. Após ver qual é o
problema, pressione simultaneamente as teclas CRTL+C para interromper o DNS e edite o arquivo com
problemas. Repita esse comando quantas vezes foram necessárias, até que os problemas tenham sido
solucionados.
Reinicie o serviço DNS:
# service bind 9 restart
Teste o serviço DNS do servidor 192.168.10.1 fazendo algumas consultas com o comando dig:
# dig @192.168.10.1 n1.rede.teste
# dig @192.168.10.1 ns1
# dis @192.168.10.1 ns2
9.4. CONFIGURAÇÃO DE UM SERVIDOR DNS SECUNDÁRIO

Agora, você irá instalar e configurar o servidor secundário.
Inclua na VM1 e na VM2 o endereço IP dos servidores DNS. Edite o arquivo /etc/resolv.conf e inclua a
entrada especificada a seguir:
Na VM2 altere o arquivo /etc/host.conf para garantir que consulte o serviço bind antes de consultar o
arquivo hosts local:
# vim /etc/host.conf
order bind,hosts
OBS.: Certifique-se que na diretiva order o bind apareça antes de hosts.
Agora vamos iniciar a instalação dos serviços DNS na VM2:

# apt-get install bind9 dnsutils
No servidor VM1 (primário) e VM2 (secundário) adicione a seguinte entrada no arquivo
/etc/bind/named.conf:
dnssec-enable yes;
É necessário gerar uma chave a ser compartilhada pelo primário e secundário.
Na VM1, digite o comando dns-sec-keygen:
# dns-sec-kengen –a hmac –md5 –b 128 –n host rede.teste
Observe que a entrada ‘key=‘ no arquivo .private é a chave a ser utilizada.
No servidor VM1 (primário) e VM2 (secundário), adicione a seguinte entrada no arquivo

/etc/bind/named.conf:
key “TRANSFER” {
algorithm hmac-md5;
secret “<chave>”;
};
No servidor VM2 (secundário), adicione a referência ao primário no arquivo /etc/bind/named.conf:
server 192.168.10.1 {
keys {
TRANSFER;
};
};
No servidor VM2 (secundário), adicione a seguinte entrada no arquivo /etc/bind/named.conf.local:
# vim /etc/bind/named.conf.local
zone “rede.teste” {
type slave;
file “slave.rede.teste”;
masters { 192.168.10.1; };
allow-notify { 192.168.10.1; };
};
Verifique que o arquivo /etc/bind/named.conf contenha uma diretiva referenciando rndc.key, por
exemplo, include /etc/bind/rndc.key.
Certifique-se que os horários dos servidores VM1 (primário) e VM2 (secundário) estejam sincronizados.
Você sabia que o sequestro de DNS, em decorrência de falhas nas

implementações, é frequente? Isso redireciona o acesso destinado a um
site legítimo para um outro falso, o que pode causar numerosos
problemas aos usuários. Esse problema afeta desde grandes provedores
de internet e operadoras de telecomunicações, até empresas de menor
porte e roteadores domésticos. Acesse o link a seguir para saber mais!
http://tinyurl.com/grqhsnc
E aí, muito conteúdo? Estamos ficando cada vez mais especialistas no assunto, com isso, cresce a quantidade e a
qualidade daquilo que aprendemos ao longo da disciplina. Continue os estudos desta disciplina e até breve!


Aula 10 | TELNET E FTP
Estudantes, estamos na metade do caminho para adquirir as competências e habilidades proporcionadas por
esta Unidade de Interação e Aprendizagem (UIA). Nesta aula, falaremos sobre TELNET16 e FTP17. Fique atento e
bons estudos!
O TELNET, conforme visto na Aula 4, é destinado à comunicação bidirecional entre dois dispositivos. Cada
um deles emula um terminal virtual de rede que codifica os dados em ASCII de 7 bits em campos de 8 bits
e o tráfego em texto plano. Já o FTP é utilizado para a transferência de arquivos através da rede ou
Internet. Na Aula 4, você também estudou as características do FTP.
Nesta aula, você vai implementar um servidor TELNET e um servidor FTP.
10.1. INSTALAÇÃO E CONFIGURAÇÃO DO SERVIDOR TELNET

Para estas atividades (TELNET), é necessária a utilização do sistema operacional Ubuntu. Você pode
continuar a utilizar as duas máquinas virtuais utilizadas na aula anterior (VM1 e VM2). Certifique-se que os
endereços IP sejam: VM1 – 192.168.10.1 e VM2 – 192.168.10.2.
Figura 8: Cliente e servidor TELNET
10.1.2. INSTALAÇÃO DO SERVIDOR TELNET

Instale o servidor TELNET na VM1 (servidor):
# apt-get install telnetd
Verifique o funcionamento do servidor TELNET:

# /etc/init.d/xinetd status
Acesse a VM2 (cliente) e faça uma conexão TELNET com a VM1 (servidor):
# telnet 192.168.10.1
Alternativamente, você pode indicar a porta para conexão:

# telnet 192.168.10.1 21

16
Protocolo utilizado em redes privada e na internet para comunicação bidirecional entre dois dispositivos.
17
File Transfer Protocol – Protocolo para transferência de arquivos em redes privadas e na internet por meio de um servidor
dedicado.
10.1.3. COMANDOS TELNET

Após conectado, você pode utilizar os seguintes comandos:
? Para ajuda
close Encerra a conexão
display Mostra as configuração de tela
environ Define variáveis de ambiente do sistema operacional
set Modifica configurações da conexão
unset Carrega a configuração padrão de conexão
logout Encerra a conexão. Alguns servidores não suportam logout
mode Alterna entre os modos ASCII (texto) e o BINARY (para envio de

arquivos binários)
10.1.4. CONSIDERAÇÕES DE SEGURANÇA

Considerando a falta de segurança do TELNET, é recomendável que seja utilizado somente dentro de
redes seguras. Caso seja necessário conceder acesso externo, faça-o somente via VPN18. Entretanto, você
pode melhorar um pouco a segurança, restringindo efetuando algumas restrições no acesso.
Uma primeira modificação é alterar a porta do TELNET no arquivo /etc/services incluindo, por exemplo, a
seguinte entrada:
telnet 7000/tcp
Uma segunda opção são alterações úteis que podem ser feitas no arquivo /etc/xinetd/telnet, por
exemplo:
only_from = 192.168.10.0/24
no_access = 192.168.20.0/24
access_times = 8:00-19:00
Nas versões mais antigas do Ubuntu e em algumas distribuições Linux, o TELNET utiliza o inetd ao invés
do xinetd. Uma atualização pode ser feita pela instalação do pacote xinetd.

18
Virtual Private Network – Forma de permitir que usuários externos acessem conteúdos disponibilizados somente na rede
interna, por meio do estabelecimento de um túnel de comunicação seguro através de redes públicas utilizando criptografia.
10.2. INSTALAÇÃO E CONFIGURAÇÃO DO SERVIDOR FTP

Para estas atividades, é necessária a utilização do sistema operacional Ubuntu. Você pode continuar a
utilizar as duas máquinas virtuais (VM1 e VM2) utilizadas anteriormente (TELNET). Certifique-se que os
Figura 9: Cliente e servidor FTP
10.2.2. INSTALAÇÃO DO SERVIDOR FTP

Agora, instale o pacote vsftpd na VM1 (servidor):
# apt-get install vsftpd
Verifique o status do serviço xinetd:
# /etc/init.d/xinetd status
Caso necessário, ajuste o xinetd para iniciar junto com o sistema operacional:
# sysv-rc-conf on
Verifique se o servidor vsftpd está funcionando:
# service vsftpd status
O acesso ao servidor FTP pode ser feito a partir de uma grande diversidade de clientes, por meio de
interface de linha comando ou por interface gráfica – seja por clientes específicos para FTP ou mesmo
por navegadores.
Acesse a VM2 (cliente) e faça uma conexão FTP com a VM1 (servidor). Na linha de comando, digite:
# ftp 192.168.10.1
OBS.: Utilize o usuário anonymous.


10.2.3. COMANDOS FTP

Após conectado, você pode utilizar os seguintes comandos:
? Para ajuda
ls Lista os diretórios do servidor
dir Lista o conteúdo do diretório
cd Muda de diretório
get Para download de arquivo
put Para upload de arquivo
delete Remove um arquivo do servidor
binary Alterna para o modo binário
close Fecha a sessão FTP
bye Fecha a sessão FTP e o cliente
10.2.4. CONSIDERAÇÃO DE SEGURANÇA

Considere que o servidor FTP não é muito seguro. Apesar da possibilidade de
login autenticado, existem muitas brechas de segurança reportadas, além do
problema de confidencialidade pela transferência não encriptada de conteúdo.
Você pode utilizar o servidor FTP somente internamente na empresa, ou
disponibilizá-lo na internet. A recomendação é não colocar documentos sigilosos
ou confidenciais nele. Disponibilize somente documentos que podem ser
acessados pelo público interno – no caso do servidor FTP restrito à intranet ou
pelo público em geral – no caso de servidor FTP público.
Alguns ajustes podem ser feitos no arquivo de configuração para melhorar a segurança, tais como
bloquear o acesso anônimo, sem senha, e a escrita, deixando-o no modo leitura (somente para
download). Para isso, edite o arquivo de configuração /etc/vsftpd.conf:
# vim /etc/vsftpd.conf
anomynous_enable = NO
local_enable = NO
write_enable = NO
chroot_local_user = YES
10.3. CRIAÇÃO DE DIRETÓRIO PARA COMPARTILHAMENTO DE CONTEÚDO

A criação de um diretório compartilhado para acesso departamental, por exemplo, pode ser muito útil na
empresa. Sendo frequentemente utilizado para compartilhar formulários, tabelas de preços e outros itens
dentro de um determinado setor, grupo de pessoas – mesmo em filiais diferentes, etc.

Você agora vai criar um grupo, incluir dois usuários e utilizar um deles para fazer o upload de um arquivo,
e o outro para fazer o download do mesmo arquivo.
Acesse a VM1 (servidor) e digite os seguintes comandos:
# groupadd ftp-users
# mkdir –p /home/ftp-users
# chmod 750 /home/ftp-users
# chown root:ftp-users /home/ftp-users
# useradd –g ftp-users –d /home/ftp-users aluno2
# passwd aluno2
# useradd –g ftp-users –d /home/ftp-users aluno3
# passwd aluno3
OBS.: Anote a senha utilizada para os usuários criados.
# /etc/init.d/vsftpd restart
Acesse a VM2 (cliente) e digite os seguintes comandos:
# cd /tmp
# echo Arquivo teste criado pelo aluno2 > arquivo_enviado_aluno2.txt
# ftp aluno2@192.168.10.1
Veja de há algum outro arquivo no servidor:
> ls
> put arquivo_aluno2.txt
> dir
> bye
Ainda a partir da VM2 (cliente), acesse o servidor FTP:
# ftp aluno3@192.168.10.1
> ls
> get arquivo_aluno2.txt
> bye
Se desejar, teste o acesso ao servidor FTP com outro usuário. Você consegue
acessar o arquivo arquivo_enviado_aluno2.txt com outro usuário que não seja o
aluno2 ou aluno3?
10.4. CONFIGURAÇÃO DE SERVIDORES VIRTUAIS

A configuração de servidores FTP virtuais pode ser útil se desejar mais de um serviço FTP no mesmo
servidor. Essa solução tem caído em desuso atualmente graças à virtualização – que permite a
implementação rápida de servidores – aliada à questão de estanqueidade proporcionada por servidores
FTP distintos para clientes distintos.
Quais são os passos para a criação de múltiplos servidores FTP virtuais?

Inicialmente, deve ser criado um arquivo de configuração para cada servidor FTP virtual, seguido da
criação de usuários e diretórios. Finalmente, uma alteração no arquivo do xinetd relacionado ao FTP.
A partir da VM1 (servidor), copie o arquivo de configuração do servidor FTP principal e o edite:
# cp /etc/vsftpd.conf /etc/vsftpd-1.conf
Em seguida, edite a diretiva ftp_username:
# vim /etc/vsftpd-1.conf
ftp_username=virtual1
Crie os usuários e diretórios a seguir:
# mkdir –p /var/ftp/virtual
# useradd virtual1 –d /var/ftp/virtual/virtual1
# chown root.root /var/ftp/virtual/virtual1
# chmod –R 755 /var/ftp/virtual/virtual1
Edite o arquivo de configuração /etc/xinetd.d/vsftpd incluindo as seguintes linhas ao final:
# vim /etc/xinetd.d/vsftpd-1
service ftp
{
disable = yes
bind = 192.168.10.101
socket_type = stream
wait = no
user = root
server = /usr/bin/vsftpd
server_args = /etc/vsftpd-1.conf
nice = 10
}
Finalmente, inclua o vsftpd-1 como serviço:
# sysv-rc-conf on
# /etc/init.d/xinetd.d restart
A quantidade de incidentes de segurança nas redes das empresas

aumenta a cada ano, tendo o TELNET e o FTP como uma das maiores
fontes de problemas. Leia mais sobre isso acessando o link a seguir.
http://tinyurl.com/zxrxxrd

A adoção de boas práticas após um incidente de segurança é sempre

adequada. Veja as recomendações dados pela empresa de hospedagem
de sites Locaweb, disponível no link a seguir.
http://tinyurl.com/jqqwbv4
Finalizamos aqui nossa décima aula. Vimos importantes questões sobre o TELNET e o FTP. Ficou com alguma
dúvida? Retorne ao conteúdo ou busque esclarecimentos no Fórum de Dúvidas. Continue os estudos desta
disciplina e até breve!
Aula 11 | SSH
Nesta aula, vamos implementar o serviço SSH, muito útil no acesso remoto seguro e na transferência de
arquivos para outros computadores. Fique conosco e bons estudos!
Na Aula 5, você estudou as características desse protocolo. Aqui, você irá instalar o serviço SSH, fará a
geração de chaves criptográficas para acesso sem senha, transferirá arquivos e verá como criar scripts
para execução.
O protocolo SSH-1 foi criado em julho de 1995, por Tatu Ylölen, como um programa de código aberto.
Ainda nesse mesmo ano, devido ao grande sucesso, foi criada por ele uma empresa para manter e
comercializar a solução, em especial da versão SSH 2.0, lançada já no ano seguinte e que resolvia alguns
problemas e limitações da versão anterior.
Posteriormente, foi permitido que usuários Linux a utilizassem livremente. Tendo surgido a versão
OpenSSH, patrocinada pelo projeto OpenBSD, logo recodificada para execução no Linux e no Solaris.
Utilizaremos o OpenSSH, que é uma das implementações de SSH mais utilizadas em Linux e que permite
a utilização tanto do SSH, para conexões remotas, como do SCP19, para transferência de arquivos.
Para as atividades desta aula, é necessário a utilização do sistema operacional Ubuntu. Você pode
continuar a utilizar as duas máquinas virtuais utilizadas anteriormente (VM1 e VM2). Certifique-se que os
Figura 10: Cliente SSH e Servidor OpenSSH

19
Secure Copy – Transferência de segura de arquivos entre dispositivos baseada no protocolo SSH.

assista à videoaula com a instalação do serviço SSH.
11.2. INSTALAÇÃO DO OPENSSH

Agora, vamos iniciar a instalação do OpenSSH na VM1:
# apt-get install openssh-server
Verifique que o OpenSSH está executando:

# /etc/init.d/ssh status
11.3. TESTANDO O ACESSO AO SERVIDOR

Na VM1 (servidor), caso não exista, crie um usuário aluno com senha aluno.
# adduser aluno
A partir da VM2 (cliente), faça uma conexão SSH com a VM1 (servidor):
# ssh aluno@192.168.10.1
Como se trata do primeiro acesso da VM1 ao VM2, será apresentada uma mensagem de confirmação da
chave RSA20 do servidor, por exemplo:
The authenticity of host ‘vm1-ubuntu.rede.teste’ can’t be established.
RSA key fingerprint is 4a:de:0a:c4:35:4e:3f:ed:27:38:8a:74:44:4d:93:67
Are you sure you want to continue connecting (yes/no)?
Escolha a opção yes (sim).
Verifique que você está efetivamente logado na VM1 (servidor):

$ uname –a
Pode encerrar a conexão SSH:

$ exit
11.4. GERAÇÃO DE CHAVES PARA ACESSO REMOTO SSH SEM SENHA

Em muitos casos, pode ser útil a opção de acesso SSH sem a necessidade de senha, especialmente
quando da administração de múltiplos servidores. Seja para a execução de scripts ou a transferência de
arquivos de maneira mais automática.

20
Algoritmo de geração de chaves criptográficas.
Para isso, é necessária a geração de um par de chaves criptográficas e o compartilhamento da chave

pública com o cliente.
Inicialmente, certifique-se que a VM1 (servidor) e a VM2 (cliente) possuam um usuário denominado
aluno. Caso necessário, crie este usuário em ambas as máquinas.
Acesse a VM2 (cliente) com o usuário aluno e acesse o diretório home deste usuário:
$ cd /home/aluno
Verifique a existência de um diretório oculto denominado .ssh:
$ ls –la
Crie esse diretório, caso não exista:
$ mkdir /home/aluno/.ssh
Agora faça a geração das chaves:
$ ssh-keygen –t rsa
Acesse o diretório /home/aluno/.ssh e veja que as chaves foram criadas:
$ cd /home/aluno/.ssh
$ ls –l
Neste momento, você irá copiar a chave pública da VM2 (cliente) para um diretório específico na VM1
(servidor) utilizando SCP. Para, em seguida, a incluirmos em um arquivo determinado.
Assim, a partir da VM2, e logado como usuário aluno, copie a chave pública para a VM1:
$ scp id_rsa.pub aluno@192.168.10.1:/home/aluno/.ssh/chave_publica_vm2
Ainda a partir da VM2, acesse a VM1 por SSH:
$ ssh aluno@192.168.10.1
Observe que ainda foi pedida a senha. Agora, acesse o diretório /home/aluno/.ssh e inclua a chave
pública que veio da VM2 no arquivo authorized.keys:
$ cat chave_publica_vm2 >> authorized.keys
Observe a utilização de dois símbolos maior que >>. Isso permite que o conteúdo da chave pública seja
anexado ao final do arquivo authorized.keys. O que é muito útil sobretudo quando você está
adicionando chaves públicas nesse arquivo sem excluir as que porventura já estejam lá.
Ainda de dentro da conexão SSH, reinicie o serviço SSH da VM2:
$ sudo /etc/init.d/ssh restart
Para testar (ainda a partir da VM2), saia da sessão SSH e tente reconectar:
$ ssh aluno@192.168.10.2
Se tudo foi feito corretamente, você deve ter se conectado sem a necessidade de digitar a senha.
Perceba que as possibilidades com o compartilhamento da chave pública são imensas. Você pode, por
exemplo, querer que determinados servidores periodicamente copiem alguns dados para um
determinado local para, digamos, serem feitas cópias de segurança. Muito útil quando se liga com
serviços diversos como servidores web, de aplicação, de e-mail, de banco de dados, de FTP, entre outros.

11.5. AJUSTES DE SEGURANÇA RECOMENDADOS

Quando da instalação do pacote openssh foi criado um arquivo de configuração denominado
/etc/ssh/ssh_config. Neste arquivo, estão as diretivas de funcionamento do sistema, tais como: porta; se
aceita conexão ssh do usuário root; entre outras.
Todavia, para colocar o SSH em funcionamento em um servidor, é recomendável que sejam feitos ajustes
em algumas diretivas.
Assim, recomenda-se verificar, e se necessário ajustar, as seguintes diretivas no arquivo
/etc/ssh/ssh_config:
• #PubkeyAuthentication yes – Você pode permitir a autenticação baseada na chave

pública. Todavia o comprometimento da segurança daquele host pode afetar também todos os
servidores acessíveis a partir do host, uma vez que o acesso é direto sem a necessidade de senhas.
Se você não deseja esse tipo de risco, altere essa diretiva para no.
• #PermitRootLogin no – Por padrão, não é permitido o acesso como usuário root pelo SSH.
Embora seja uma grande facilidade para instalação e administração de serviços ao se permitir o
login como usuário root. Dados os privilégios do usuário root pode ser um grande risco permitir
seu acesso remotamente, sobretudo se este recurso for combinado com o da diretiva
PubKeyAuthentication.
• #AllowUsers aluno – Você pode restringir o acesso SSH a usuário específicos.
• #DenyUsers – Em antagonismo com a diretiva anterior, você pode criar uma lista de negação
de usuários.
• #AllowGroups alunos dba backup – Você pode permitir o acesso SSH somente de
usuários de grupos pré-determinados.
• #DenyGroups alunos dba sysadmin – Analogamente aos usuários, você pode criar uma
lista de negação baseada em grupos de usuários.
• #Port 22 – Por padrão a porta do SSH é a 22. Mas para dificultar ataques uma boa estratégia é
trocar por uma outra porta.
• #LoginGraceTime 30s – Restrinja o tempo permitido para completar o login.
• #ListenAddress 0.0.0.0 – Quando o servidor possui várias interfaces de rede é

recomendável restringir por quais pode-se acessar o servidor por SSH.
• #ClienteAliveInternal 300 – Indica em quanto tempo um cliente SSH será

desconectado se não houver atividade.
11.6. COMO EXECUTAR COMANDOS EM MÚLTIPLOS HOSTS VIA SSH

Você provavelmente irá desejar em algum momento executar o mesmo comando simultaneamente em
vários servidores Linux. Especialmente quando precisar instalar ou corrigir algo rapidamente e em muitos
servidores.
Isso pode ser feito por SSH, seja um comando simples ou mesmo um script complexo. Por exemplo:
# ssh aluno@192.168.10.1 “bash –s” < script_teste
Sendo que o parâmetro “-s” se destina a solicitar que os parâmetros sejam solicitados pela entrada
padrão (no caso o teclado).
Observe que, dependendo da complexidade do script, você pode ter de lançar mão de regras baseada
em expressões regulares com sed ou awk.
A utilização de boas práticas na implementação de qualquer serviço é

sempre recomendada, inclusive com o OpenSSH, que já é considerada
uma solução segura. Veja algumas delas acessando o link a seguir.
http://tinyurl.com/qat263z
A utilização de SSH a partir de dispositivos Windows é uma realidade

em muitas empresas tanto para acessar servidores Linux a partir de
estações de trabalho Windows quanto a partir de servidores Windows
acessar servidores Linux. Acesse o site Technet da Microsoft e veja
algumas dicas e recomendações sobre isso, por meio do link a seguir.
http://tinyurl.com/j2marar
Ficou com alguma dúvida? Retorne ao conteúdo ou busque esclarecimentos no Fórum de Dúvidas. Senão,
passe para nossa aula seguinte, que é a última da nossa Unidade de Interação e Aprendizagem (UIA). Até lá!
Aula 12 | SERVIDOR WEB – LINUX (APACHE)
Nesta aula, vamos implementar o servidor web, um dos serviços mais utilizados na internet e em redes
corporativas, que se baseia, sobretudo, no protocolo HTTP21. Você o estudou na Aula 4, estudando sobre seu
funcionamento, transações, métodos e os códigos de erro. Fique atento e boa aula!
Fonte: http://tinyurl.com/j5a4p2k
Existem vários servidores web disponíveis para Linux e outros sistemas operacionais. Você instalará o
Apache, um dos líderes mundiais em termos de quantidade de instalações e em volume de tráfego
(NETCRAFT, 2016).
Lançado em 1995, como um projeto da The Apache Software Foundation, o Apache possui diversos
recursos muito úteis e bastante utilizados, incluindo: acesso seguro (SSL22 e TLS23); suporte a conteúdo
dinâmico, suporte a domínios virtuais e proxy.

21
Hypertext Transfer Protocol – protocolo para transferência de hipertexto utilizado em sistemas web.
Visite a página da Apache Foundation e veja a variedade de projetos

associados com servidores web existentes por lá. Acesse por meio do
link a a seguir.
http://tinyurl.com/jdb7oet
Para as atividades desta aula, é necessário a utilização do sistema operacional Ubuntu. Você pode
continuar a utilizar as duas máquinas virtuais utilizadas anteriormente (VM1 e VM2). Certifique-se que os
Figura 11: Web browser e web server
12.2. INSTALAÇÃO
O servidor web Apache, assim como outros serviços, pode ser instalado de três maneiras diferentes: a
partir do código fonte, sendo compilado durante a instalação; utilizando-se o pacote obtido diretamente
da internet; ou com o repositório do sistema operacional.
Por questões de facilidade em geral, no dia a dia, é instalado por meio do repositório, entretanto, em
determinadas situações, pode ser interessante instalá-lo por meio de compilação, o que ocorre em
situações extremas de carga. Mas dada a facilidade de instalação, a robustez e a quantidade de
parâmetros que podem ser ajustados, você instalará do modo mais usual.
Instale o Apache a partir do repositório na VM1 (servidor):
# apt-get install apache2 apache2-doc apache2-utils
Verifique o funcionamento do serviço:
# etc/init.d/httpd status
O servidor já está instalado e em execução, com suas configurações padrão.
Faça um teste de acesso a partir da VM1 (servidor), acessando o navegador e digitando a URL24
http://localhost. Você verá a página padrão gerada durante a instalação. Alternativamente, você pode
testá-lo a partir de outras máquinas na rede, tais como a VM2 (cliente), digitando no navegador a URL
http://192.168.10.1.

22
Secure Sockets Layer – Protocolo de criptografia utilizado na transmissão segura de conteúdo multimídia em servidores web.
23
Transport Layer Security - Protocolo de criptografia que provê privacidade e integridade do conteúdo do conteúdo multimídia
entre um servidor web e seu cliente.
24
Uniform Resource Locator – Endereço web utilizado para fazer referência a um recurso disponibilizado na rede. Por exemplo:
http://ead.iesb.br:80/index.php.
12.3. CONFIGURAÇÃO BÁSICA

As diretivas de funcionamento do servidor web Apache ficam nos arquivos e diretórios contidos em
/etc/apache2/ e denominados:
• apache2.conf – É o principal arquivo de configuração, alguma de suas diretivas

serão abordadas mais adiante neste item.
• ports.conf – Especifica as portas utilizadas pelos hosts virtuais, tanto pelo HTTP
quanto HTTPS.
• conf.d/ – Contém configurações relativas à segurança e à configuração SSL.
• sites-available/ – Contém os arquivos dos hosts virtuais que definem os diferentes

sites mantidos. São as configurações disponíveis.
• sites-enabled/ – Contém as configurações que estão sendo efetivamente utilizadas

e são links simbólicos para o diretório sites-available/.
• mods-available – Contém os módulos disponíveis.
• mods-enable/ – Contém os módulos que efetivamente serão utilizados.
De todo modo, as configurações principais estão no arquivo /etc/apache2/apache2.conf, e é por esse

arquivo que você deve começar a configuração.
Fique atento, pois, apesar de o Apache entrar em funcionamento assim que instalado, não deve ser
nunca colocado em produção sem antes ser ajustado. Apesar de robusto, você certamente irá querer
melhorar aspectos de segurança e desempenho para tirar o melhor dele.
Além, é claro, de algumas configurações que demonstram cuidado na instalação, como a correta configuração
das mensagens de erro que possam ser geradas. Lembra as mensagens estudadas na Aula 4? Pois é!
Algumas são geradas por erro do usuário, outras pelo servidor. Assim, é boa prática configurá-las para
informar ao usuário o erro ocorrido, redirecionando para o local correto, por exemplo, uma página com o
logotipo da empresa, informando sobre uma falha e oferecendo algum tipo de ajuda para o usuário se
localizar. Independentemente se o problema for um erro de digitação ou uma sobrecarga momentânea no
servidor. Afinal quem gosta de receber aquelas mensagens padrão em inglês informando um erro estranho?
Você pode se perguntar: quais são os parâmetros que devo considerar para ajuste?
Bem! Aqui vão alguns deles: DocumentRoot, DirectoryIndex, Listen,

DefaultType, DeflateCompressionLevel, <Directory>,
MaxRequestsPerChild MaxRequestsPerThread, RLimitCPU,
RLimitMEM, RLimitNPROC, ThreadsPerChild.
A descrição de cada um deles está no manual do Apache2, inclusive na documentação que você instalou
nesta aula.
Vamos a uma breve descrição. O DocumentRoot indica a pasta onde os conteúdos da página serão
colocados. O DirectoryIndex especifica qual o documento padrão a ser carregado quanto o usuário digita
a URL do site, mas não especifica uma página, por exemplo: http://ead.iesb.br. Os demais indicam limites
de solicitações por threads.
Falando em threads, o servidor Apache utiliza MPM25 (Multi Processing Modules) na modalidade prefork
module ou worker module ou ainda event. Este último é recomendado se o site utilizar PHP26. Lidam com a
forma de alocação de memória.
O prefork dispará um processo e uma quantidade de processos filhos. Onde cada um fica aguardando
uma conexão de usuário. É o modo mais tradicional e antigo. Muito útil em aplicações não muito seguras,
como o PHP, pois, em caso de falha, o único processo que cai é o da conexão com problemas. O site fica
no ar, mas o desempenho da máquina sofre por manter múltiplos processos.
O worker utiliza threads. O que agiliza muito na criação de processos filhos, pela alocação prévia de
memória que faz. Muito útil se a quantidade de acessos varia muito de uma hora para outra.
O event é mais recente. Lida bem sobretudo com solicitações de keep-alive originadas pelos clientes.
Muito útil quando se tem grande quantidade de usuários concorrentes e com sessões de longa duração.
O Apache possui dezenas de ajustes que podem ser feitos. Visite o site
disponível no link a seguir e investigue alguns deles. Muito interessante
o que reescreve as URL, tornando-as mais atrativas e o que inclui
recomendações para turbinar o Apache.
http://tinyurl.com/z7fnqee
12.4. SERVIDORES VIRTUAIS

Os servidores virtuais são utilizados nas situações em que se
deseja múltiplos sites em um mesmo servidor. Útil para a
disponibilização de hotsites – utilizados no lançamento de
produtos ou eventos, no mesmo servidor web em que é
mantido o servidor web da empresa. Podendo os sites serem
mantidos no mesmo endereço IP, ou em IP diferentes.
Inicialmente, inclua as entradas no servidor DNS para
atendimento aos sites. Por exemplo: www.teste.com e
www.teste.edu. Incluindo as entradas do tipo A, PTR e CNAME nos arquivos de zona apropriados.
Verifique a Aula 9 para revisar como fazer.
Desabilite o host virtual padrão do Apache2, removendo o link simbólico para o diretório sites-enabled/:
# a2dissite 000-default.conf
Crie um arquivo de configuração para o servidor virtual:
# vim /etc/apache2/sites-available/teste.com.conf
<VirtualHost * :80>
ServerAdmin webmaster@teste.com

25
Multi Processing Module – Arquitetura que permite a utilização de módulos de diversos tipos para melhor uso da infraestrutura
de hardware, sobretudo processador e memória.
26
Personal Home Page – Linguagem de programação utilizada no desenvolvimento de páginas web dinâmicas.
ServerName teste.com
ServerAlias www.teste.com
DocumentRoot /var/www/teste.com/public_html/
ErrorLog /var/www/teste.com/logs/error.log
Options ExecCGI
AddHandler cgi-script .pl
</VirtualHost>
Habilite o servidor virtual criado utilizando o comando:
# a2ensite teste.com.conf
Reinicie o servidor Apache:
# service apache2 reload
Teste o acesso ao serviço a partir de um navegador da VM1 (servidor) ou VM2 (cliente).
12.5. SERVIDOR WEB SEGURO

Você deve agora configurar o servidor Apache para utilizar páginas criptografadas. Inicialmente, gerando
as chaves criptográficas e um certificado autoassinado.
12.5.1. GERAÇÃO DE CHAVE E CERTIFICADO PRÓPRIO AUTOASSINADO

A partir da VM1 (servidor), habilite o módulo de suporte ao SSL e reinicie o servidor Apache:
# a2enmod ssl
# a2ensite default-ssl
O certificado e a chave são salvos por padrão nos diretórios /etc/ssl/certs e /etc/ssl/private. Gere o
certificado autoassinado e a chave utilizando o seguinte comando:
# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout
/etc/ssl/private/apache.key -out /etc/ssl/certs/apache.crt
Serão feitas algumas perguntas para a geração do certificado, incluindo cidade, estado, nome da
empresa, unidade organizacional, nome do servidor (FQDN) e um endereço de e-mail.
Reinicie o servidor Apache:
# service apache2 restart
Teste o acesso ao serviço a partir de um navegador da VM1 (servidor) ou VM2 (cliente).
Pronto! Termina aqui nossa Unidade de Interação e Aprendizagem (UIA). Espero que tenha se dedicado e feito
as atividades práticas propostas no decorrer das aulas! Ficou com alguma dúvida? Retorne ao conteúdo ou
busque esclarecimentos no Fórum de Dúvidas. Senão, passe para a unidade seguinte. Até lá.

Você terminou o estudo desta unidade. Chegou o momento de verificar sua aprendizagem.
Ficou com alguma dúvida? Retome a leitura.
Quando se sentir preparado, acesse a Verificação de Aprendizagem da unidade no menu
lateral das aulas ou na sala de aula da disciplina. Fique atento, essas questões valem nota!
Você terá uma única tentativa antes de receber o feedback das suas respostas, com
comentários das questões que você acertou e errou.
Vamos lá?!


REFERÊNCIAS

NETCRAFT. October 2015 Web Server Survey. Disponível em:

<http://news.netcraft.com/archives/2015/10/16/october-2015-web-server-survey.html>. Acesso em: 6
fev. 2016.

GLOSSÁRIO
Bridge: Tipo de conexão utilizada para conectar computadores em redes distintas, também denominada
de ponte.
DHCP: Dynamic Host Configuration Protocol – Protocolo para configuração dinâmica de dispositivos em
uma rede.
DMZ: Demilitarized Zone (Zona Desmilitarizada) segmento da rede que é exposta a uma rede externa não
confiável ou à internet.
DNS: Domain Name System – Protocolo para gerenciamento e resolução de nomes em redes privadas e
na internet.
FTP: File Transfer Protocol – Protocolo para transferência de arquivos em redes privadas e na internet por
meio de um servidor dedicado.
HTML: HyperText Markup Language – Linguagem de programação utilizada para a construção de páginas web.
HTTP: Hypertext Transfer Protocol – protocolo para transferência de hipertexto utilizado em sistemas web.
HTTPS: Hypertext Transfer Protocol Secure – protocolo para transferência de hipertexto utilizado em
sistemas web que se utiliza de mecanismos de criptografia e autenticação.
HYPERVISOR: Camada de software destinada a gerenciar e intermediar máquinas virtuais sobre um
determinado hardware.
IP: Internet Protocol – protocolo de camada de rede utilizado para identificação de um dispositivo na rede.
KVM: Kernel-based Virtual Machine – tipo de infraestrutura de virtualização utilizada em ambientes Linux.
Live migration: Técnica de transferência de máquinas virtuais de um hypervisor a outro sem
desligamento ou interrupção dos serviços.
MAC: Media Access Control – Endereço associado a uma interface em redes Ethernet.
MPM: Multi Processing Module – Arquitetura que permite a utilização de módulos de diversos tipos para
melhor uso da infraestrutura de hardware, sobretudo processador e memória.
MZ: Militarized Zone – Segmento de rede protegido utilizado geralmente para servidores mais sensíveis à
problemas de segurança.
PHP: Personal Home Page – Linguagem de programação utilizada no desenvolvimento de páginas
web dinâmicas.
RFC*: Request for Comments – Documentos mantidos pelo IETF (Internet Engineering Task Force) com
especificações de padrões da internet.
RSA: Algoritmo de geração de chaves criptográficas.
SCP: Secure Copy – Transferência de segura de arquivos entre dispositivos baseada no protocolo SSH.
SSH: Secure Shell – Protocolo para estabelecimento de sessão remota segura entre um cliente e um
servidor utilizado em redes privadas e na internet.
SSL: Secure Sockets Layer – Protocolo de criptografia utilizado na transmissão segura de conteúdo
multimídia em servidores web.
Storage: Dispositivo específico para armazenamento de dados que os disponibiliza diretamente a um
servidor ou na rede.
Storage migration: Técnica de transferência dos dados (armazenados em disco) de uma máquina virtual
entre diferentes dispositivos de armazenamento de dados storage).
Swap: Técnica de transferência de dados armazenados entre a memória primária e secundária de um
dispositivo, com o objetivo de melhorar a utilização da memória.
TELNET: Protocolo utilizado em redes privada e na internet para comunicação bidirecional entre
dois dispositivos.
TLS: Transport Layer Security - Protocolo de criptografia que provê privacidade e integridade do conteúdo
do conteúdo multimídia entre um servidor web e seu cliente.
URL: Uniform Resource Locator – Endereço web utilizado para fazer referência a um recurso
disponibilizado na rede. Por exemplo: http://ead.iesb.br:80/index.php.
VM: Virtual Machine – Ou máquina virtual, é a emulação de um sistema computacional.
VPN: Virtual Private Network – Forma de permitir que usuários externos acessem conteúdos
disponibilizados somente na rede interna, por meio do estabelecimento de um túnel de comunicação
seguro através de redes públicas utilizando criptografia.
WAN: Wide Area Network – Rede com ampla área de abrangência, podendo alcançar diferentes regiões
dentro de um país ou mesmo fora dele.
* Termo não citado.

UIA2

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

UIA2

Caricato da

Copyright:

Formati disponibili

VERSÃO PARA IMPRESSÃO

ADMINISTRAÇÃO DE SERVIÇOS DA INTERNET

Aula 7 | Virtualização no Linux – KVM ........................................................................................5

Aula 9 | DNS ................................................................................................................................ 16

Aula 10 | TELNET e FTP .............................................................................................................. 22

Aula 11 | SSH .............................................................................................................................. 28

12.1. Pré-Requisitos ............................................................................................................................. 33

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

Aula 7 | VIRTUALIZAÇÃO NO LINUX – KVM

Acesse o Ambiente Virtual de Aprendizagem (AVA) da disciplina e

A virtualização possui muitas vantagens, entre elas a redução da complexidade e

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

Figura 1: Redução da complexidade

A virtualização voltou a ganhar fôlego em razão do aumento de capacidade

7.1. TIPOS DE VIRTUALIZAÇÃO Tux, mascote do Linux. Fonte:

A virtualização consiste de uma camada entre o hardware e o software que

Figura 2: Instalação tradicional do sistema operacional e o ambiente virtualizado

A virtualização total consiste de uma emulação total de hardware para o sistema

A figura a seguir permite a comparação entre a virtualização total e a paravirtualização.

Figura 3: Comparação: virtualização total e paravirtualização

7.2. SOLUÇÕES DE MERCADO

Verifique na página da VMware o funcionamento dos recursos de alta

Agora, avalie quais são os recursos mais interessantes do Hyper-V.

7.3. ARQUITETURA DO KVM

Figura 4: Componentes da estrutura

7.4. INSTALAÇÃO DO KVM

7.4.2. CRIAÇÃO DE UMA MÁQUINA VIRTUAL

Criação de disco virtual com dd (Opção 1):

Cria um arquivo denominado disco.img de tamanho 10GB. Recomendável utilizar um

Criação de disco virtual com qemu-img (Opção 2):

Cria um arquivo denominado vm1-ubuntu.img em formato compatível com qemu. São

INSTALAÇÃO DA MÁQUINA VIRTUAL

Indicar local da imagem a ser utilizada na instalação:

Iniciar a máquina virtual:

Quando solicitado, crie um usuário denominado aluno e senha aluno.

7.4.3. CRIAÇÃO DE UMA REDE PRIVADA PARA AS MÁQUINAS VIRTUAIS

Figura 5: Rede privada entre duas VMs

Criar uma bridge no hospedeiro:

Configurar endereço IP para o hospedeiro na bridge:

Criar interface de rede do tipo TAP para uso pela VM (vm1-ubuntu):

Acesse a VM (vm1-ubuntu) e configure o endereço 192.168.10.2:

7.4.4. INICIALIZANDO MÁQUINAS VIRTUAIS

Definir o driver e MAC10 e ser utilizado:

# kvm –m 512 –vm1-ubuntu.img –net nic –net user,hostfwd=tcp::5555 -:22

Testar o acesso SSH entre o hospedeiro e a VM:

Considerando que a rede da VM seja 192.168.10.0 e a interface de rede eth1:

8.1. INSTALAÇÃO E CONFIGURAÇÃO DE UM SERVIDOR DHCP

Visite a página disponível no link a seguir que contém três tutoriais

Figura 6: Cliente e servidor DHCP

Acesse o Ambiente Virtual de Aprendizagem (AVA) da disciplina e

8.2. CONFIGURAÇÃO DE ENDEREÇOS ESTÁTICOS COM DHCP

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

8.3. UTILIZAÇÃO DE DHCP EM REDES COMPARTILHADAS

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.

8.4. RESTRIÇÃO DO DHCP A UMA ÚNICA INTERFACE DE REDE

NAC (Network Access Control) ou Controle de Acesso à Rede é um

Nesta aula, vamos implementar o serviço DNS14, responsável pela

Na Unidade de Interação e Aprendizagem (UIA) anterior, você estudou as implementações típicas de

Figura 7: Servidor DNS primário e secundário

9.2. INSTALAÇÃO DE UM SERVIDOR DNS CACHE

Agora, vamos iniciar a instalação dos serviços DNS na VM1:

Instale também o aplicativo dig que utilizaremos em vários testes:

Verifique se o serviço DNS está em execução:

Consulte a Aula 5 para rever os tipos de registros DNS.