Projeto

Geral

Perfil

Suporte #2245

Acesso a máquina virtual

Adicionado por Miguel Lopes Luismais de 12 anos atrás. Alterado há mais de 12 anos atrás.

Estado:
Fechado
Prioridade:
Imediata
Categoria:
Servidor Linux
Data de início:
31/10/2011
Data de fim:
% Completo:

0%


Descrição

Boa tarde,

nao consigo aceder à maquina virtual.
Não responde a pings.
Quando poderei ter acesso?

Obrigado.

Histórico

#1 Atualizado por Tiago Simoes Batistamais de 12 anos

  • Estado alterado de Novo para Fechado

Quando te apanhar na praça pagas-me um copo que te lixas!!!!

Já fiz reset às regras da tua firewall..... O que vale é que trancas a casa toda mas deixas a fechadura debaixo do tapete :D

Bom trabalho

#2 Atualizado por Miguel Lopes Luismais de 12 anos

A conta de root muda de password quando faz reboot?

#3 Atualizado por Tiago Simoes Batistamais de 12 anos

Sim, é um bug que eu ainda não corrigi.... não pensei que voces andassem a fazer reboot das máquinas!

Na proxima versão da coisa prometo que verifico isso!

#4 Atualizado por Miguel Lopes Luismais de 12 anos

Como é que é suposto actualizar o kernel no Scientific Linux?

#5 Atualizado por Tiago Simoes Batistamais de 12 anos

Já te destranquei a máquina de novo... para a próxima, por favor começa por usar um script decente para criares a firewall, recomendo o que deixo abaixo. Tens que editar as redes administrativas (aqui apenas mostro a do IT) e os portos que queres abrir ao publico e/ou para as rede administrativas.

Não recomendo que tentes filtrar tráfego de saída num servidor, isso dá jeito é num router, mas num servidor tens total controlo sobre o que está a correr... Se tiveres desconfianças, adiciona as regras que quiseres ao OUTPUT, e no fim mete um -J LOG (não metas a politica DROP), por forma a gravares tudo o que sai fora dos padrões autorizados, a partir da informação recolhida então faz uma versão melhorada do filtro.

Com relação ao kernel... Esta uma máquina como outra qualquer... A documentação para RHEL6, CENTOS6 e SL6 deverá ser toda válida! Mas se vais trabalhar nisso recomendo VIVAMENTE que testes numa VM local antes de tentares meter nesta!

Este script não foi testado em SL6, apenas em CENTOS 5.6 onde está a gerir uma firewall simples mas funcional. Não sei se em SL6 continuam a existir todos os módulos, existe a possibilidade de alguns terem mudado de nome e de outros virem potencialmente simplificar este script....

#!/bin/sh
# Autor: Tiago Simoes Batista a19944@gmail.com
#
#
# Hosts do IT:
#    193.136.92.0/255.255.254.0
#
#
# Portos públicos:
#     443  (https)
#     80   (http)
#
# Portos administrativos:
#     7002 (weblogic admin sobre https)
#     7003 (weblogic Server-0 sobre http para testes)
#     7004 (seblogic Server-0 sobre https para testes, self signed)
#     8081 (oracle apex)
#     8443 (tomcat sobre https)
#     3306 (mysql)
#     1521 (oracle XE)
#     22   (ssh)
#
# Protocolos extra a aceitar:
#     icmp (throthled)
#
# Interfaces onde tudo é permitido:
#     lo
#

PUBLIC_PORTS="443,80" #https, httpd

ADMIN_PORTS="7002,7003,7004,8443,8081,3306,1521,22" #wl admin, wl Server0 (http), wl Server0 (https), tomcat, apex, mysql, oracle XE, ssh

# Redes separadas por espacos
ADMIN_NETS="193.136.92.0/255.255.254.0 192.168.0.0/255.255.0.0 172.16.0.0/255.240.0.0 10.0.0.0/255.0.0.0" 

######### binaries #############
IPTABLES=`which iptables`
IP6TABLES=`which ip6tables`

if [ "X`whoami`" != "Xroot" ]; then
    IPTABLES="`which sudo` $IPTABLES" 
    IP6TABLES="`which sudo` $IP6TABLES" 
fi

# reset, iniciar tudo a partir de um estado conhecido:
$IPTABLES -F
$IPTABLES -X
for i in `cat /proc/net/ip_tables_names`; do
    $IPTABLES -t $i -F
    $IPTABLES -t $i -X
done

# Ignora tudo o que vem do exterior a não ser que seja permitido explicitamente
# Nota: Se for necessário auditar tráfego nesta máquina, isto tem que mudar
$IPTABLES -P INPUT DROP

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A FORWARD -i lo -j ACCEPT

# Aceitar icmp apenas se o rate não for muito elevado
$IPTABLES -A INPUT -p icmp -m limit --limit 10/min -j ACCEPT

# Aceitar sessões já estabelecidas
$IPTABLES -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Permitir acesso do exterior
$IPTABLES -A INPUT -p tcp -m tcp -m multiport --dports $PUBLIC_PORTS -m conntrack --ctstate NEW -j ACCEPT

# Permitir acesso administrativo
for NET in $ADMIN_NETS; do
    $IPTABLES -A INPUT -s $NET -p tcp -m tcp -m multiport --dports $ADMIN_PORTS -m conntrack --ctstate NEW -j ACCEPT
done

# Repetir tudo para IPV6, se o modulo estiver disponivel

[ ! -f  /proc/net/if_inet6 ] && exit 0

# reset, iniciar tudo a partir de um estado conhecido:
$IP6TABLES -F
$IP6TABLES -X
for i in `cat /proc/net/ip6_tables_names`; do
    $IP6TABLES -t $i -F
    $IP6TABLES -t $i -X
done

# Ignora tudo o que vem do exterior a não ser que seja permitido explicitamente
# Nota: Se for necessário auditar tráfego nesta máquina, isto tem que mudar
$IP6TABLES -P INPUT DROP

# Impedir o forward de uma placa para outra
$IP6TABLES -P FORWARD DROP

# Tráfego gerado por nos pode sair
$IP6TABLES -P OUTPUT ACCEPT

# Aceitar (e encaminhar) tudo em lo
$IP6TABLES -A INPUT -i lo -j ACCEPT
$IP6TABLES -A FORWARD -i lo -j ACCEPT

# Aceitar icmp apenas se o rate não for muito elevado
$IP6TABLES -A INPUT -p icmpv6 -m limit --limit 10/min -j ACCEPT

# Aceitar sessões já estabelecidas
$IP6TABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Permitir acesso público
$IP6TABLES -A INPUT -p tcp -m tcp -m multiport --dports $PUBLIC_PORTS -m state --state NEW -j ACCEPT
# permitir acesso administrativo
for NET in $ADMIN6_NETS; do
    $IP6TABLES -A INPUT -s $NET -p tcp -m tcp -m multiport --dports $ADMIN_PORTS -m state --state NEW -j ACCEPT
done

#6 Atualizado por Miguel Lopes Luismais de 12 anos

OK, obrigado pelo script, vou dar uma olhadela.

Em relação ao kernel, a minha questão é que um 'yum update' faz download do novo kernel e não conheço outra forma de o carregar a não ser por reboot, por isso estranhei quando disseste que nao pensasses que se fizessem reboots às máquinas.

Também disponível em: Atom PDF