terça-feira, 13 de abril de 2010

VSFTPD com usuários em chroot - definitivo

Bem pessoal, aqui começo eu com uma dica simples. Configurar o servidor VSFTPD que é o padrão RH, e que vem no CentOS.

Depois de muita pesquisa e ajuda do Garme, conseguimos colocar o server de ftp no ar \o/

Requisitos: o obejtivo era criar um servidor ftp semelhante ao de host sharing, onde cada usuario tem acesso apenas a pasta do seu site.

segue aqui como foi que funcionou.

em /etc/vsftpd/vsftpd.conf

temos esse arquivo de configuração


# nao aceita conexao de usuario anonimo
anonymous_enable=no

# usuarios cadastrados localmente podem usar o ftp
local_enable=YES

# eles podem escrever nos diretorios
write_enable=YES

# permissao padrao
local_umask=022


dirmessage_enable=YES
xferlog_enable=YES

connect_from_port_20=YES
xferlog_std_format=YES

# --- aqui vem o pulo do gato ---
#Diz que os usuarios locais vao logar em chroot
chroot_local_user=yes

# uma lista com usuarios em chroot
# os usuarios nessa lista NAO vao estar em chroot
chroot_list_enable=YES

# a lista com os usuarios que nao vao participar do chroot
chroot_list_file=/etc/vsftpd/chroot_list

#usa o arquivo /etc/passwd
passwd_chroot_enable=YES

#escutando em IPV4
listen=YES

OBS: isso é o básico para que funcione, você pode achar mais documentação no site do Centos.

ok. temos o arquivo configurado =)


# service vsftpd restart

agora iremos criar um usuario pro ftp.

# adduser ftpuser
# passwd ftpuser
New UNIX password:
Retype new UNIX password:

pronto, temos o usuario criado.

edite o arquivo /etc/passwd

procure a linha referente ao usuario que vc acabou de adicionar.
Nnormalmente, ela estará no final do arquivo.

ftpuser:x:502:502::/home/ftpuser:/bin/bash


Edite a linha , trocando o home do usuário pra onde você quer que ele tenha acesso. e somente naquele diretório.

Ex.: você quer que o usuário tenha acesso apenas ao diretório /var/www/meusite
entao vamos fazer o seguinte

Antes: ftpuser:x:502:502::/home/ftpuser:/bin/bash
Depois: ftpuser:x:502:502::/var/www/meusite:/bin/bash

se o diretório desejado ja exsitir, tudo bem, se nao tiver, vamos criar...

# mkdir /var/www/meusite

vamos dar as permissoes ao novo usuário

chwon -R ftpuser:ftpuser /var/www/meusite

prontinho.


Bem. Com isso, ele ainda nao vai conectar, dependendo as configuraçoes de segurança do Selinux.

para ver se o ftp está habilitado para que os usuários loguem em seus diretorios home , rode o seguinte comando como root:

# getsebool -a | grep ftp

a saida será semelhante a essa :

allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
allow_tftp_anon_write --> off
ftp_home_dir --> off
ftpd_connect_db --> off
ftpd_disable_trans --> off
ftpd_is_daemon --> on
httpd_enable_ftp_server --> off
tftpd_disable_trans --> off

veja que o ftp_home_dir está off, ou seja, o usuario nao pode logar no seu home =)

pra ativar, é simples. Rode o comando como root:


-->
# setsebool -P ftp_home_dir on

Pronto, está ativado. Vamos verificar ?

# getsebool -a | grep ftp

allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
allow_tftp_anon_write --> off
ftp_home_dir --> on
ftpd_connect_db --> off
ftpd_disable_trans --> off
ftpd_is_daemon --> on
httpd_enable_ftp_server --> off
tftpd_disable_trans --> off

Pronto ! Com isso o seu servidor FTP irá funcionar :D

quinta-feira, 11 de fevereiro de 2010

CentOS: Pidgin fix.

Ao instalar o pidgin, se ocorrer o seguinte erro:

pidgin: symbol lookup error: pidgin: undefined symbol: gst_registry_fork_set_enabled

Execute:

# yum update gstreamer*


C ya, guys!!! =D

Fonte:
http://wdawe.com/index.php/pidgin-undefined-symbol-error-gst_regist?blog=1

CentOS: configurar hostname.

Edite o arquivo /etc/sysconfig/network modificando a diretiva HOSTNAME.

Ex:

HOSTNAME="www.example.com"

para

HOSTNAME="web"

ou ainda

HOSTNAME="web.meudominio.com.br"

Obs: para que a alteração tome efeito imediatamente, execute o comando:

# hostname web.meudominio.com.br



Para verificar se correu bem, digite o comando:

# hostname


C ya, guys!!! =D


Fonte:
http://www.electrictoolbox.com/changing-hostname-centos

XEN: Como clonar uma VM.

I. Clonar com script interativo:


# virt-clone --prompt


Responda as perguntas na seguinte ondem:

1o. nome da VM a ser clonada;
2o. nome da VM clone;
3o. local no disco onde a VM clone será armazenada.


II. Clonar para um novo arquivo:


# virt-clone -o original_guest -n new_guest -f \

/var/lib/xen/images/new_guest.img

Obs: original_guest é a VM de origem, new_guest é o nome da nova VM e /var/lib/xen/images/new_guest.img é o arquivo onde será criada a nova VM.


III. Clonar para um novo volume lógico:


# virt-clone -o original_guest -n new_guest \
-f /dev/VolGroup00/NewGuestVolume

Obs: /dev/VolGroup00/NewGuestVolume volume lógico da nova VM.


Atenção: para o processo de clonagem a VM de origem deve estar desligada.


C ya, guys!!! =D


Fontes:
http://kbase.redhat.com/faq/docs/DOC-15886
http://rm-rf.es/xen-duplicar-maquina-virtual-virt-clone/

quarta-feira, 10 de fevereiro de 2010

XEN: Rede Local Virtual com NAT (revisado)

1o. Parar o serviço xend para que seja prossível modificar o modelo de rede para usar NAT:


# service xend stop


2o. Editar o arquivo /etc/xen/xend-config.sxp: comente as linhas


(network-script network-bridge)

(vif-script vif-bridge)

e descomente

(network-script network-nat)
(vif-script vif-nat)


Obs: após esta modificação ative o xend:

# service xend start


3o. Ativar o NAT para a interfaces de rede: editar o arquivo /etc/sysctl.conf modificando a diretiva


net.ipv4.ip_forward = 0

para

net.ipv4.ip_forward = 1

Obs: executar o comando

# sysctl -p

para que a modificação seja visível (senão só no próximo boot).


4o. Alterar o arquivo de configuração das VMs, modificando:


vif = [ "mac=00:16:36:5d:fa:1f,bridge=virbr0,script=vif-bridge" ]

para

vif = [ 'ip=192.168.1.10' ]
gateway = "192.168.1.1"



5o. Informar ao dom0 que ele pode encaminhar requisições para certas portas para a VLAN.


# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

ou ainda
# iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE
onde 192.168.0.0/16 é o ip da VLAN.


6o. Agora é só configurar as regras para encaminhamento de portas para a VM correta. Exemplo:


# iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 80 -j DNAT -- to 192.168.1.10:80


C ya, guys!! =D


Fontes:
http://www.excentral.org/archives/2007/03/23/rhel5-xen-nating
http://www.howtoforge.com/perfect_xen_setup_debian_ubuntu_p6
http://wiki.kartbuilding.net/index.php/Xen_Networking
http://www.higherpass.com/linux/Tutorials/Installing-And-Configuring-Xen/2/

XEN: Criando uma VM (domU) no CentOS.

I. Utilizando um aplicativo gráfico:


1o. Instale o pacote virt-manager:

# yum install virt-manager

2o. Execute o aplicativo virt-manager:

# virt-manager &

Agora é só seguir as instruções e avançar, avançar, ...


II. Utilizando a linha de comando e internet:


1o. Instale o pacote python-virtinst:

# yum install python-virtinst

2o. Crie a pasta que conterá as VMs:

# mkdir /vm


Obs: se está usando SELinux faça os seguintes comandos:

# semanage fcontext -a -t xen_image_t "/vm(/.*)?"
# restorecon -R /vm
# ls -dZ /vm


3o. Execute o comando:

# virt-install \
--paravirt \
--name webserver01 \
--ram 512 \
--file /vm/webserver.nixcraft.com.img \
--file-size 10 \
--nographics \
--location http://mirrors.kernel.org/centos/5.3/os/x86


Obs: nome da máquina é webserver01, memória ram 512 mb, hd de 10Gb, somente texto.

Dica: O processo de instalação da internet demora bastante. Se tem as mídias de instalação e deseja instalar a partir delas, instale o apache (httpd) e copie o conteúdo do(s) DVD/CDs:

# cp -r /media/CentOS_5.2_Final/CentOS/ /var/www/html/CentOS_5.2_Final/CentOS

Agora é só apontar a diretiva --location para http://localhost/CentoOS_5.2_Final/CentOS

Ou ainda, utilizar o passo-a-passo a seguir.


III. Utilizando a linha de comando e CD/DVD de instalação:


1o. Instale o pacotes necessários:

# yum install python-virtinst qemu virt-viewer

2o. Crie a pasta que conterá as VMs:

# mkdir /vm

3o. Execute o comando:

# virt-install \
--connect qemu:///system \
--name mailserver
--ram 500 \
--file /dev/HostVG/mailserver.cyberciti.biz \
--network network:default \
--accelerate \
--vnc \
--cdrom /dev/cdrom


Obs: nome da máquina é mailserver, memória ram 500 mb.

Dica: Se preferir usar ISOs a partir das mídias de instalação, utilize o seguinte comando:

# virt-install \
--name www2 \
--ram 1000 \
--file /dev/sdc \
--network bridge:eth1 \
--cdrom /tmp/centosbootdvd.iso



C ya, guys!!! =D

Fontes:
http://www.cyberciti.biz/tips/rhel-centos-xen-virtualization-installation-howto.html
http://wiki.centos.org/HowTos/Xen/InstallingCentOSDomU