Rafael Lima » segurança http://rafael.adm.br Empreendedorismo, Web, Agile, Tecnologia, Desenvolvimento, Negócios, Marketing, Aplicação Web, Ruby on Rails. Sat, 03 Dec 2011 23:55:38 +0000 http://wordpress.org/?v=2.9.1 pt hourly 1 Segurança e Hardening de servidores linux http://rafael.adm.br/p/seguranca-e-hardening-de-servidores-linux/ http://rafael.adm.br/p/seguranca-e-hardening-de-servidores-linux/#comments Mon, 06 Oct 2008 04:48:57 +0000 Rafael Lima http://rafael.adm.br/?p=257

Este final de semana fiquei envolvido com questões de segurança nos servidores da BielSystems. Deixo aqui uma sopinha de letras para quem quiser buscar ler mais sobre o assunto.

]]> http://rafael.adm.br/p/seguranca-e-hardening-de-servidores-linux/feed/ 0 Cuidado ao publicar um projeto OpenSource http://rafael.adm.br/p/cuidado-ao-publicar-um-projeto-opensource/ http://rafael.adm.br/p/cuidado-ao-publicar-um-projeto-opensource/#comments Tue, 19 Aug 2008 04:27:37 +0000 Rafael Lima http://rafael.adm.br/?p=217

Uma dica de segurança para evitar que você acabe publicando informações indevidas em projetos Rails OpenSource

Download RSS

]]> http://rafael.adm.br/p/cuidado-ao-publicar-um-projeto-opensource/feed/ 0 Artigo sobre backup do mySQL no Amazon S3 no iMasters http://rafael.adm.br/p/artigo-sobre-backup-do-mysql-no-amazon-s3-no-imasters/ http://rafael.adm.br/p/artigo-sobre-backup-do-mysql-no-amazon-s3-no-imasters/#comments Mon, 28 Apr 2008 16:48:24 +0000 Rafael Lima http://rafael.adm.br/p/artigo-sobre-backup-do-mysql-no-amazon-s3-no-imasters/

O iMasters publicou hoje meu artigo sobre backup do mySQL no Amazon S3.

Abraços a todos.

]]> http://rafael.adm.br/p/artigo-sobre-backup-do-mysql-no-amazon-s3-no-imasters/feed/ 0 Configurando sistema de backup do banco de dados MySQL no Amazon S3 em 10 minutos http://rafael.adm.br/p/configurando-sistema-de-backup-do-banco-de-dados-mysql-no-amazon-s3-em-10-minutos/ http://rafael.adm.br/p/configurando-sistema-de-backup-do-banco-de-dados-mysql-no-amazon-s3-em-10-minutos/#comments Thu, 20 Mar 2008 05:20:11 +0000 Rafael Lima http://rafael.adm.br/p/configurando-sistema-de-backup-do-banco-de-dados-mysql-no-amazon-s3-em-10-minutos/

Por indicação do William, passei a usar o AutoMySQLBackup em conjunto com um script de sincronização de diretórios no Amazon S3, para realizar backup dos bancos de dados MySQL dos servidores dedicados da BielSystems.

Este script é bem completo e tem tudo que alguém pode precisar para um sistema de backup eficiente e seguro em ambiente de produção.

Abaixo segue o “pacacá” de instalação:

Por motivos de segurança, sugiro que você crie um usuário somente para backup, que tenha permissão apenas de leitura (SELECT). Para fazer isso, conforme sugerido aqui, rode o comando abaixo no servidor que possui o MySQL instalado.

$ mysql -u root -p -e "GRANT SELECT, LOCK TABLES ON *.* TO ‘backup’@'localhost’ IDENTIFIED BY ‘escolha-uma-senha’;"

Depois disso baixe o script AutoMySQLBackup no seu diretório de scripts, por exemplo, /usr/local/scripts

$ mkdir -p /usr/local/scripts
$ cd /usr/local/scripts
$ wget -c http://ufpr.dl.sourceforge.net/sourceforge/automysqlbackup/automysqlbackup.sh.2.5

Edite o arquivo com seu editor preferido (ex: nano -w automysqlbackup.sh.2.5) e configure os parâmetros. Fora os parâmetros de acesso ao banco de dados (lembre-se de usar o usuário backup que foi criado no passo anterior), sugiro a alteração destes parâmetros:

# Mail setup
# What would you like to be mailed to you?
# – log   : send only log file
# – files : send log file and sql files as attachments (see docs)
# – stdout : will simply output the log to the screen if run manually.
# – quiet : Only send logs if an error occurs to the MAILADDR.
MAILCONTENT="log"

# Separate backup directory and file for each DB? (yes or no)
SEPDIR=yes

# Additionally keep a copy of the most recent backup in a seperate directory.
LATEST=yes

Coloque o script para rodar no cron diariamente.

$ cd /etc/cron.daily
$ ln -s /usr/local/scripts/automysqlbackup.sh.2.5 automysqlbackup

Enviando os arquivos de backup para uma conta no Amazon S3

Para enviar o backup realizado para um conta no Amazon S3, que é o web service de storage da Amazon, siga as instruções abaixo que foram retiradas deste link.

Antes de mais nada, instale o ruby 1.8.4 ou mais novo e a biblioteca de ssl para o ruby.

$ sudo apt-get install ruby libopenssl-ruby

Confirme a versão do ruby

$ ruby -v
ruby 1.8.6 (2008-03-03 patchlevel 114) [i686-linux]

Agora vamos instalar o s3sync que é um script de sincronização de diretórios locais com diretórios no S3.

Vá para o diretório que você deseja instalar o s3sync, como por exemplo /usr/local/scripts

$ cd /usr/local/scripts

Faça o download e descompacte:

$ wget http://s3.amazonaws.com/ServEdge_pub/s3sync/s3sync.tar.gz
$ tar xvzf s3sync.tar.gz

Remova o arquivo compactado:

$ rm s3sync.tar.gz

Crie um diretório para os certificados e baixe alguns:

$ cd s3sync
$ mkdir certs
$ cd certs
$ wget http://mirbsd.mirsolutions.de/cvs.cgi/~checkout~/src/etc/ssl.certs.shar

rode o instalador dos certificados

$ sh ssl.certs.shar

Pronto, s3sync instalado!

Vamos agora criar um script que pega os últimos arquivos de backup e envia para a sua conta do S3.

Crie o arquivo de script com o conteúdo abaixo. Exemplo: /usr/local/scripts/automysqlbackup-upload-to-s3.sh

#!/bin/bash
cd /usr/local/scripts/s3sync
export AWS_ACCESS_KEY_ID=yourS3accesskey
export AWS_SECRET_ACCESS_KEY=yourS3secretkey
export SSL_CERT_DIR=/usr/local/scripts/s3sync/certs
ruby s3sync.rb -r –ssl –delete /backups/latest nomedobucket:backup/mysql

Observações:

  • O comando –delete diz para o s3sync excluir os arquivos que existem no S3 mas não existem mais na pasta local.
  • Para enviar somente os últimos backups (diretório latest), é necessário que o parâmetro LATEST seja igual a yes no AutoMySQLBackup
  • Atenção para o nome do bucket, para os paths e principalmente para o path /backups/latest que deve conter o diretório que está configurado no parâmetro BACKUPDIR do AutoMySQLBackup concatenado com “/latest”.

O último passo é configurar o AutoMySQLBackup para rodar o script de envio dos arquivos para o S3 logo após cada backup.

Para isso altere o parâmetro POSTBACKUP como o exemplo abaixo:

# Command run after backups (uncomment to use)
POSTBACKUP="/usr/local/scripts/automysqlbackup-upload-to-s3.sh"

Parabéns, você já está com um backup seguro e eficiente!

Abraços e até a próxima.

]]> http://rafael.adm.br/p/configurando-sistema-de-backup-do-banco-de-dados-mysql-no-amazon-s3-em-10-minutos/feed/ 1 Exploit para vmsplice no kernel 2.6 do linux permite acesso de root para usuário local http://rafael.adm.br/p/exploit-para-vmsplice-no-kernel-26-do-linux-permite-acesso-de-root-para-usuario-local/ http://rafael.adm.br/p/exploit-para-vmsplice-no-kernel-26-do-linux-permite-acesso-de-root-para-usuario-local/#comments Tue, 12 Feb 2008 12:04:36 +0000 Rafael Lima http://rafael.adm.br/p/exploit-para-vmsplice-no-kernel-26-do-linux-permite-acesso-de-root-para-usuario-local/

Foi descoberta uma falha que afeta praticamente todas as distribuições que possuem versão do kernel de 2.6.17 a 2.6.24.1

Esta falha permite que usuários locais tenham acesso de root. Este bug afeta em geral os serviços de hosting onde os usuários tem acesso por SSH. Caso você utilize um computador em casa que só você tem acesso, o bug pode existir, mas não vai te afetar, pois usuários remotos não conseguem acesso de root sem ter uma conta de usuário normal na máquina.

Para testar se o seu sistema está vulnerável, copie o conteúdo do exploit para a máquina de teste e rode os comandos abaixo:

[code]

$ gcc exploit.c -o exploit
$ whoami
(irá mostrar seu nome de usuário)
$ ./exploit
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7d90000 .. 0xb7dc2000
[+] root
$ whoami
root
(você estará logado como root)
[/code]

Mais informações: busque no google

]]> http://rafael.adm.br/p/exploit-para-vmsplice-no-kernel-26-do-linux-permite-acesso-de-root-para-usuario-local/feed/ 0