Componente ATER
Arquitetura do Componente ATER
Politica de Uso do Componente ATER
Status da Implantação do Componente ATER
Subir a VM do cliente do PoP com os requisitos de hardware recomendados utilizando o software de virtualização a escolha;
Configurar as interfaces de rede da VM conforme especificado na seção 1.2.1;
Instalar os pacotes necessários listados na seção 1.2.2;
Configurar o firewall da VM conforme especificado na seção 1.2.3;
Configurar o servidor ssh conforme especificado na seção 1.2.4;
Criar uma conta ater conforme especificado na seção 1.2.5.
Adote o seguinte padrão para as interfaces:
Interface | Descrição |
---|---|
eth0 | Interface de acesso remoto para o cliente do PoP |
eth1 | Interface de testes isolados do ATER |
Certifique-se que as bridges da VM do cliente do PoP estão configuradas para seguirem este padrão.
Para configurar as interfaces de rede no Debian 7 devemos modificar o arquivo de interfaces contido em "/etc/network/interfaces";
Abra o arquivo "/etc/network/interfaces" com o seu editor de preferência:
# nano /etc/network/interfaces |
Configure o arquivo seguindo o seguinte padrão:
# This file describes the network interfaces available on your system |
Substitua as seguintes variáveis da interface eth0:
Descrição | |
---|---|
<IP público para acesso remoto> | Endereço de IP público para o acesso remoto da VM do cliente do PoP |
<Máscara do IP> | Máscara de subrede do IP público |
<Gateway da rede> | Endereço IP do gateway para o acesso a internet |
<Servidor de DNS primário> | Endereço do servidor de nomes primário |
<Servidor de DNS secundário> | Endereço do servidor de nomes secundário (opcional) |
Substitua as seguintes variáveis da interface eth1:
Descrição | |
---|---|
<IP público para acesso remoto> | Endereço de IP público para execução dos testes isolados do ATER |
<Máscara do IP> | Máscara de subrede do IP público |
Reinicie as configurações de interface:
# /etc/init.d/networking restart |
Efetue os seguintes testes:
Comando | Resultado esperado | |
---|---|---|
Conexão com a internet | # ping 8.8.8.8 -c 5 | 5 packets transmitted, 5 received, 0% packet loss... |
Resolução de nomes (DNS) | # ping google.com -c 5 | 5 packets transmitted, 5 received, 0% packet loss... |
Abra o arquivo "/etc/apt/sources.list" com o seu editor de preferência:
# nano /etc/apt/sources.list |
Deixe o arquivo da seguinte forma:
deb http://ftp.br.debian.org/debian/ wheezy main contrib non-free deb http://security.debian.org/ wheezy/updates main contrib non-free # wheezy-updates, previously known as 'volatile' |
Recarregue a sua lista de diretórios:
# apt-get update |
Nome do pacote | Descrição | Versão homologada |
---|---|---|
iptables | Regras de filtragem de tráfego (firewall) | 1.4.14-3.1 |
iptables-persistent | Software para persistência das configurações das regras do iptables | 0.5.7 |
iperf | Software para transmissão de tráfego entre computadores | 2.0.5-3 |
ssh | Cliente e servidor de secure shell | 1:6.0p1-4+deb7u2 |
sudo | Provém poderes limitados de super-usuário (root) a usuários específicos | 1.8.5p2-1+nmu1 |
ntp | Daemon para sincronismo do relógio | 1:4.2.6.p5+dfsg-2+deb7u1 |
tcpdump | Ferramenta para análise de tráfego | 4.3.0-1+deb7u1 |
tcptraceroute | Ferramenta para traçar rotas utilizando pacotes TCP | 1.5beta7+debian-4 |
traceroute | Ferramenta para traçar a rota dos pacotes em redes IPv4 e IPv6 | 1:2.0.18-3 |
mtr | Ferramenta de visualização Full screen do traceroute X11 e ncurses | 0.82-3 |
ethtool | Ferramenta para visualização e configuração de interfaces de rede Ethernet | 1:3.4.2-1 |
wget | Ferramenta para baixar arquivos da web | 1.13.4-3+deb7u2 |
Instale os pacotes necessários listados acima:
# aptitude install iptables iptables-persistent iperf ssh sudo ntp tcpdump tcptraceroute traceroute mtr ethtool wget |
A política do firewall do cliente do PoP recomendada é de:
Chave | Política |
---|---|
INPUT | DROP [0:0] |
FORWARD | ACCEPT [0:0] |
OUTPUT | ACCEPT [0:0] |
Para configurar o firewall utilizando a ferramenta iptables no Debian 7 devemos modificar o arquivo "/etc/iptables/rules.v4";
Abra o arquivo "/etc/iptables/rules.v4" com o seu editor de preferência:
# nano /etc/iptables/rules.v4 |
Por padrão, seguindo a política descrita acima damos drop em todo pacote que tenta entrar no cliente do PoP, entretanto ele deve aceitar pacotes de:
Regra | |
---|---|
Rede local | -A INPUT -i lo -j ACCEPT |
Rede do INF (UFG) | -A INPUT -s 200.137.197.192/26 -j ACCEPT |
ICMP | -A INPUT -p icmp -j ACCEPT |
NTP | -A INPUT -p udp --sport 123 -j ACCEPT |
Conexões já estabelecidas | -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT |
Aconselhamos a liberar também a conexão para a rede da sua instituição.
No final, seu arquivo rules.v4 deve estar parecido com:
# Generated by iptables-save v1.4.14 on Tue Jan 20 14:00:00 2015 |
Para que as regras de firewall sejam aplicadas é necessário que seja dado um reload no iptables-persistent:
# /etc/init.d/iptables-persistent reload |
Verifique se as regras foram aplicadas rodando o comando:
# iptables -L -n |
Você deverá ter algo semelhante a:
Chain INPUT (policy DROP) Chain FORWARD (policy ACCEPT) Chain OUTPUT (policy ACCEPT) |
Abra o arquivo "/etc/ssh/sshd_config" com o seu editor de preferência:
# nano /etc/ssh/sshd_config |
Por padrão o cliente do PoP deve ter as seguintes configurações de SSH:
Configuração | Valor |
---|---|
Port | 6622 |
PermitRootLogin | no |
UseDNS | no |
Caso o seu arquivo de configuração não tenha alguma das configurações, basta adicioná-la no final do arquivo.
No final, seu arquivo sshd_config deve ter algo semelhante a:
# Package generated configuration file UseDNS no |
Após modificar o arquivo e deixa-lo de acordo com o padrão salve-o e feche o editor;
Para que as configurações entrem em vigor é necessário reiniciar o servidor ssh:
# /etc/init.d/ssh restart |
Para criar uma conta no Debian 7 você pode utilizar o comando "useradd":
# useradd ater -m -s /bin/bash |
A conta deve ter permissão de sudo (deve estar no grupo sudo);
Abra o arquivo "/etc/group" com o seu editor de preferência:
# nano /etc/group |
sudo:x:27: |
O número 27 pode mudar para outro, este é apenas o identificador do grupo no seu sistema.
Adicione o usuário ATER no grupo, para isto basta adicionar o nome do usuário no final da linha:
sudo:x:27:ater |
Caso tenha múltiplos usuários eles devem estar separados por "," (vírgula), por exemplo:
sudo:x:27:ater,ater2 |
Após a modificação, salve o arquivo e feche o seu editor;
Altere a senha da conta para uma senha qualquer (senha segura de preferência);
Para alterar a senha de um usuário no Debian 7 você deve utilizar o comando "passwd":
# passwd ater |
Após a criação da conta encaminhe os dados de acesso a nossa equipe ATER.