Scapy: send, sniff and dissect and forge network packets. Usable interactively or as a library
pypcap, Pcapy and pylibpcap: several different Python bindings for libpcap
libdnet: low-level networking routines, including interface lookup and Ethernet frame transmission
dpkt: fast, simple packet creation/parsing, with definitions for the basic TCP/IP protocols
Impacket: craft and decode network packets. Includes support for higher-level protocols such as NMB and SMB
pynids: libnids wrapper offering sniffing, IP defragmentation, TCP stream reassembly and port scan detection
Dirtbags py-pcap: read pcap files without libpcap
flowgrep: grep through packet payloads using regular expressions
httplib2: comprehensive HTTP client library that supports many features left out of other HTTP libraries
Knock Subdomain Scan, enumerate subdomains on a target domain through a wordlist
Mallory, man-in-the-middle proxy for testing
mitmproxy: SSL-capable, intercepting HTTP proxy. Console interface allows traffic flows to be inspected and edited on the fly

Debugging and reverse engineering

Paimei: reverse engineering framework, includes PyDBG, PIDA, pGRAPH
Immunity Debugger: scriptable GUI and command line debugger
IDAPython: IDA Pro plugin that integrates the Python programming language, allowing scripts to run in IDA Pro
PyEMU: fully scriptable IA-32 emulator, useful for malware analysis
pefile: read and work with Portable Executable (aka PE) files
pydasm: Python interface to the libdasm x86 disassembling library
PyDbgEng: Python wrapper for the Microsoft Windows Debugging Engine
uhooker: intercept calls to API calls inside DLLs, and also arbitrary addresses within the executable file in memory
diStorm64: disassembler library for AMD64, licensed under the BSD license
python-ptrace: debugger using ptrace (Linux, BSD and Darwin system call to trace processes) written in Python

Fuzzing

Sulley: fuzzer development and fuzz testing framework consisting of multiple extensible components
Peach Fuzzing Platform: extensible fuzzing framework for generation and mutation based fuzzing
antiparser: fuzz testing and fault injection API
TAOF, including ProxyFuzz, a man-in-the-middle non-deterministic network fuzzer
untidy: general purpose XML fuzzer
Powerfuzzer: highly automated and fully customizable web fuzzer (HTTP protocol based application fuzzer)
FileP: file fuzzer. Generates mutated files from a list of source files and feeds them to an external program in batches
SMUDGE
Mistress: probe file formats on the fly and protocols with malformed data, based on pre-defined patterns
Fuzzbox: multi-codec media fuzzer
Forensic Fuzzing Tools: generate fuzzed files, fuzzed file systems, and file systems containing fuzzed files in order to test the robustness of forensics tools and examination systems
Windows IPC Fuzzing Tools: tools used to fuzz applications that use Windows Interprocess Communication mechanisms
WSBang: perform automated security testing of SOAP based web services
Construct: library for parsing and building of data structures (binary or textual). Define your data structures in a declarative manner
fuzzer.py (feliam): simple fuzzer by Felipe Andres Manzano
Fusil: Python library used to write fuzzing programs

Web

ProxMon: processes proxy logs and reports discovered issues
WSMap: find web service endpoints and discovery files
Twill: browse the Web from a command-line interface. Supports automated Web testing
Windmill: web testing tool designed to let you painlessly automate and debug your web application
FunkLoad: functional and load web tester

Forensics

Volatility: extract digital artifacts from volatile memory (RAM) samples
SandMan: read the hibernation file, regardless of Windows version
LibForensics: library for developing digital forensics applications
TrIDLib, identify file types from their binary signatures. Now includes Python binding

Malware analysis

pyew: command line hexadecimal editor and disassembler, mainly to analyze malware
Exefilter: filter file formats in e-mails, web pages or files. Detects many common file formats and can remove active content
pyClamAV: add virus detection capabilities to your Python software
jsunpack-n, generic JavaScript unpacker: emulates browser functionality to detect exploits that target browser and browser plug-in vulnerabilities
yara-python: identify and classify malware samples

PDF

Didier Stevens’ PDF tools: analyse, identify and create PDF files (includes PDFiD, pdf-parser and make-pdf and mPDF)
Opaf: Open PDF Analysis Framework. Converts PDF to an XML tree that can be analyzed and modified.
Origapy: Python wrapper for the Origami Ruby module which sanitizes PDF files
pyPDF: pure Python PDF toolkit: extract info, spilt, merge, crop, encrypt, decrypt…
PDFMiner: extract text from PDF files
python-poppler-qt4: Python binding for the Poppler PDF library, including Qt4 support

Misc

InlineEgg: toolbox of classes for writing small assembly programs in Python
Exomind: framework for building decorated graphs and developing open-source intelligence modules and ideas, centered on social network services, search engines and instant messaging
RevHosts: enumerate virtual hosts for a given IP address
simplejson: JSON encoder/decoder, e.g. to use Google’s AJAX API
PyMangle: command line tool and a python library used to create word lists for use with other penetration testing tools
Hachoir: view and edit a binary stream field by field

Other useful libraries and tools

IPython: enhanced interactive Python shell with many features for object introspection, system shell access, and its own special command system
Beautiful Soup: HTML parser optimized for screen-scraping
matplotlib: make 2D plots of arrays
Mayavi: 3D scientific data visualization and plotting
RTGraph3D: create dynamic graphs in 3D
Twisted: event-driven networking engine
Suds: lightweight SOAP client for consuming Web Services
M2Crypto: most complete OpenSSL wrapper
NetworkX: graph library (edges, nodes)
pyparsing: general parsing module
lxml: most feature-rich and easy-to-use library for working with XML and HTML in the Python language
Pexpect: control and automate other programs, similar to Don Libes `Expect` system
Sikuli, visual technology to search and automate GUIs using screenshots. Scriptable in Jython
PyQt and PySide: Python bindings for the Qt application framework and GUI library

via : Coruja de TI

Existem vários tipos de firewall, de todos os preços. O tipo mais simples e ao mesmo tempo um dos mais eficazes para PCs domésticos são os firewalls de bloqueio, onde você simplesmente fecha todas as portas do micro (ou deixa abertas apenas as portas de que você realmente precisa). Se ninguém consegue se conectar a seu PC, 90% das brechas de segurança são anuladas.

Outro ponto comum é a necessidade de compartilhar a conexão com a Web. Nos meus artigos sobre o Coyote mostrei como usar um 486 para esta tarefa, desta vez vamos ver como é fácil fazer o mesmo com qualquer distribuição Linux. Isto permite que você use o seu próprio PC, sem precisar montar e manter outro micro só para isso, além de resolver as limitações do Coyote com modems PCI e placas de rede Wireless.

Isso pode ser feito facilmente através do Iptables. A receita funciona em qualquer distribuição que utilize o Kernel 2.4, basicamente qualquer coisa que você ainda possa querer usar hoje em dia.

Existem vários programas gráficos para configuração de firewalls, como por exemplo o GuardDog e o Shorewall (usando no Red Hat e Mandrake). Estes programas também trabalham com o Iptables, eles servem apenas para facilitar a configuração, criando as regras a partir das escolhas feitas pelo usuário.

A configuração do Iptables é feita diretamente via terminal, basta você ir inserindo as regras uma a uma. As regras se perdem ao reiniciar o micro por isso depois de testar tudo vamos criar um script para que elas sejam recriadas automaticamente a cada reboot.

O Iptables é tão versátil que pode ser usado para praticamente tudo relacionado à inspeção, encaminhamento e até mesmo alteração de pacotes. Se ele não fizer algo é possível criar um módulo que o faça. Já que as possibilidades são infinitas mais seu tempo não, vou ficar em algumas regras simples que resolvem a maior parte dos problemas do dia a dia. A partir daí você pode ir se aperfeiçoando e desenvolvendo soluções mais sofisticadas.

Antes de mais nada você precisa verificar se o pacote do iptables está instalado. Se você estiver no Mandrake basta dar um “urpmi iptables”. Se você estiver no Debian, Kurumin ou Conectiva, um “apt-get install iptables” resolve.

Para garantir que o Iptables está mesmo carregado, dê também um:

modprobe iptables

Vamos então à criação das regras que determinam o que entra e o que não entra na máquina. Se o seu micro está ligado apenas à internet, sem uma rede local, então são necessárias apenas duas regras para resolver o problema. Abra um terminal, logue-se como root e digite o comando:

iptables -A INPUT -p tcp –syn -j DROP
iptables -A INPUT -i ppp0 -p udp –dport 0:30000 -j DROP

Isso fará com que o micro passe a ignorar conexões vindas em qualquer porta TCP, sem enviar sequer uma confirmação de que o pacote foi recebido. Você continuará conseguindo acessar a internet normalmente, mas ninguém conseguirá se conectar diretamente ao seu PC; um servidor Web ou SSH que você esquecesse de desativar passariam despercebidos. Apenas as conexões iniciadas por você são aceitas, o que permite que alguns programas de compartilhamento como o gtkgnutella e o Kazza continuem funcionando normalmente. A segunda regra é opcional (dica do Fabricio Carvalho), ela bloqueia também parte das portas UDP, adicionando uma camada extra se segurança.

O efeito colateral é que alguns programas que abrem servidores podem deixar de funcionar. Você não conseguirá mais receber arquivos pelo ICQ por exemplo, como se estivesse acessando através de uma conexão compartilhada via NAT.

O interessante é que você pode desativar o firewall a qualquer momento, para isso basta um único comando: iptables -F

Isso elimina todas as regras do Iptables, fazendo com que seu micro volte a aceitar todas as conexões. Você pode usa-la para permitir que alguém se conecte rapidamente via ssh na sua maquina por exemplo e depois fechar tudo novamente reinserindo as regras anteriores.

Se você tiver uma rede local e quiser que os micros da rede interna seja capazes de se conectar normalmente, mas mantendo o bloqueio a tudo que vem da internet, basta dar um “iptables -F” e começar de novo, desta vez adicionando primeiro a regra que permite os pacotes vindos da rede local:

iptables -A INPUT -p tcp –syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

Em seguida vem os comandos anteriores:

iptables -A INPUT -p tcp –syn -j DROP

Altere o “192.168.0.0/255.255.255.0″ para a faixa de endereços e máscara de sub-rede que estiver utilizando na sua rede. Este exemplo serve para redes que utilizam a faixa de 192.168.0.1 até 192.168.0.254.

O Iptables processa os comandos em seqüência. Então todos os pacotes passam pela primeira instrução antes de ir para a segunda. Quando um pacote vem de um dos endereços da rede local é imediatamente aceito, os demais vão para as duas últimas linhas e acabam recusados. É uma simples questão de sim ou não. A primeira linha diz sim para os pacotes da rede local enquanto as duas ultimas dizem não para todos os demais.

Imagine agora que você queira permitir ao mesmo tempo pacotes vindos da rede local e uma certa porta vinda da Internet, como por exemplo a porta 22 do SSH. Neste caso você adicionaria mais uma regra, mantendo as regras anteriores:

iptables -A INPUT -p tcp –destination-port 22 -j ACCEPT

iptables -A INPUT -p tcp –syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp –syn -j DROP
iptables -A INPUT -p udp -j DROP

Agora tudo o que vem na porta 22 (tanto da Internet quanto da rede local) é aceito, tudo o que vem da rede local é aceito e todo o resto é rejeitado. Você pode adicionar mais linhas para abrir outras portas. Se você quisesse abrir também as portas 1021 e 1080, a lista ficaria assim:

iptables -A INPUT -p tcp –destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp –destination-port 1021 -j ACCEPT
iptables -A INPUT -p tcp –destination-port 1080 -j ACCEPT

iptables -A INPUT -p tcp –syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp –syn -j DROP

Isso permite que você mantenha disponíveis apenas os servidores que você realmente quer disponibilizar e nos momentos que quiser. A qualquer tempo você pode dar um iptables -F e readicionar apenas as regras para fechar tudo.

Vamos então à segunda receita, para compartilhar a conexão. Ela é ainda mais simples e também permite ativar ou desativar o compartilhamento a qualquer momento.

Em primeiro lugar você deve configurar as suas placas de rede e modem e verificar se tanto a conexão com a Internet quando a conexão com os micros da rede local estão funcionando normalmente. O compartilhamento da conexão em sí pode ser feito com apenas três comandos:

Para compartilhar a conexão do modem com a rede local:

modprobe iptable_nat
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Para compartilhar uma conexão via ADSL ou cabo instalada na eth0:

modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Para desativar o compartilhamento, vale o de sempre: iptables – F

Isso mesmo, é só isso… O compartilhamento e ativado ou desativado imediatamente, sem que seja necessário reiniciar a conexão. Rápido, prático e confiável.

As três linhas respectivamente ativam o módulo nat do iptables, responsável pela tradução de endereços, avisam para o iptables que ele deve direcionar todas as conexões recebidas para a interface ppp0 (o modem) ou eth0 (a primeira placa de rede) e devolver as respostas para os clientes e confirmam a ativação no arquivo de configuração do TCP/IP.

Não faz mal se você acessa via modem e não fica permanentemente conectado. A regra mantém o compartilhamento ativo mesmo que você desconecte e reconecte várias vezes.

Se os clientes da rede já estiverem configurados para acessar a web através do endereço IP usado pelo servidor (192.168.0.1 se você quiser substituir uma máquina Windows compartilhando através do ICS) você já deve ser capaz de acessar a web automaticamente nos demais PCs da rede.

Uma observação é que estas regras não incluem um servidor DHCP, você deve configurar os clientes com endereço IP fixo ou então ativar o serviço DHCPD na sua distribuição. No Mandrake ou Red Hat basta ativar o serviço no painel de controle e o DHCP já irá funcionar automaticamente.

A configuração nos clientes fica: Endereço IP: Qualquer endereço dentro da faixa de endereços usada pelo servidor. Ex: 192.168.0.3 Servidor DNS: Os endereços dos servidores DNS do seu provedor. Ex: 200.177.250.10 Gateway Padrão: O endereço do servidor. Ex: 192.168.0.1 Domínio: O domínio do seu provedor. Ex: terra.com.br

As linhas de compartilhamento da conexão não conflitam com as regras de firewall que vimos anteriormente, você deve apenas ter o cuidado de colocá-las no inicio da seqüência. Neste caso nosso script completo ficaria assim:

# Carrega os módulos
modprobe iptables
modproble iptable_nat

# Compartilha a conexão
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# Abre algumas portas (opcional)
iptables -A INPUT -p tcp –destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp –destination-port 1021 -j ACCEPT
iptables -A INPUT -p tcp –destination-port 1080 -j ACCEPT

# Abre para a rede local
iptables -A INPUT -p tcp –syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

# Fecha o resto
iptables -A INPUT -p tcp –syn -j DROP

Se você quiser que o PC também não responda a pings, adicione a linha:

echo “1″ > /proc/sys/net/ipv4/icmp_echo_ignore_all

Mais uma linha interessante de se adicionar, que protege contra pacotes danificados (usados em ataques DoS por exemplo) é:

iptables -A FORWARD -m unclean -j DROP
(esta linha deve ser adicionada antes das demais)

Agora já temos 10 comandos, fora os para abrir portas específicas. Não seria muito prático ficar digitando tudo isso cada vez que precisar reiniciar o micro. Para automatizar isso, basta colar todos os comandos dentro de um arquivo de texto. Você pode salvá-lo como por exemplo: /usr/local/bin/meu_firewall

Em seguida, dê permissão de execução para o arquivo (chmod +x /usr/local/bin/meu_firewall) e você terá um shell script que pode ser chamado a qualquer momento. Basta digitar: meu_firewall

Para tornar a inicialização realmente automática, você precisa apenas colocar o comando num dos arquivos de inicialização do sistema. Abra o arquivo /etc/rc.d/rc.local e adicione a linha:

/usr/local/bin/meu_firewall

No Debian e Kurumin você pode usar o arquivo /etc/init.d/bootmisc.sh

As regras que vimos acima funcionam como um firewall de bloqueio. Ou seja, o servidor não deixa que ninguém acesse os compartilhamentos de arquivos ou conectem o backorifice instalado na máquina com o Windows 98, mas não impedem que os usuários baixem e-mails com vírus ou que acessem uma página web que explore alguma das vulnerabilidades do IE por exemplo. Ao usar clientes Windows o ideal é complementar o firewall com um bom antivírus.

Vamos agora a um último passo que é fowardar certas portas para os hosts da rede interna. Isso permite que você rode um servidor de FTP ou crie um servidor de Counter Strike por exemplo em qualquer um dos micros da rede e não apenas no servidor que está diretamente conectado à internet. O servidor simplesmente direciona todas as requisições recebidas na porta para o micro especificado, de forma transparente. Também aprendemos a fazer isso no Coyote, lembra? Mas ele utiliza o ipchains, uma versão antiga do firewall, por isso os comandos são diferentes.

O foward de portas também usa o Nat, por isso você também deve carregar o módulo caso não tenha feito anteriormente:

modprobe iptable_nat

Em seguida vem as regras para fazer o forward da porta.

Neste caso estou direcionando a porta 22 (do SSH) na conexão com a internet (eth0) para o micro 192.168.0.2 da rede local:

iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 22 -j DNAT –to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i eth0 –dport 22 -d 192.168.0.2 -j ACCEPT

Neste outro caso estou direcionando as portas 25 (SMTP), 110 (POP3) e telnet (23) na conexão com a internet (eth0) para o micro 192.168.0.2 da rede local:

iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 25 -j DNAT –to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i eth0 –dport 25 -d 192.168.0.2 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 110 -j DNAT –to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i eth0 –dport 110 -d 192.168.0.2 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 23 -j DNAT –to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i eth0 –dport 23 -d 192.168.0.2 -j ACCEPT

Basta alterar a regra, adicionando a porta e a máquina da rede interna para onde ele deve ser redirecionada. Se você acessa via modem, basta substituir o “eth0″ em ambas as linhas por “ppp0″. Esta regra pode ser usada em conjunto com as anteriores, mas deve ir sempre logo no início do arquivo, antes das regras para compartilhar a conexão e, claro, antes das regras para fechar tudo

Você pode repetir o comando várias vezes para direcionar varias portas diferentes para várias máquinas. Naturalmente uma mesma porta não pode ser fowardada duas vezes.

Também é possível fowardar ranges de portas. No Unreal Tournament por exemplo você precisa abrir as portas UDP 7777, 7778 e 7779 neste caso as regras seriam:

iptables -t nat -A PREROUTING -i eth0 -p udp –dport 7777:7779 -j DNAT –to-dest 192.168.0.2
iptables -A FORWARD -p udp -i eth0 –dport 7777:7779 -d 192.168.0.2 -j ACCEPT

Por: Carlos E. Morimoto
Fonte: Guia do hardware

depois verifica a unidade onde é estar usando o comando:

fdisk -l

depois formata ele usando o comando:

mkfs.ext3 /dev/sda1 (troque o sda1 pelo seu HD)

ai pra resolver temos 2 opções:

1º vc montar o HD sata e copia o arquivo de /usr pra ele

2º depois de feito o bakcup vc pode montar o Hd sata em cima do diretorio /usr e usar ele normal

Pronto, com isso teremos acesso a partição, mas lembre-se, quem é responsável por montar uma partição na inicialização do sistema? Isso, o arquivo /etc/fstab, vamos editá-lo acrescentando as seguintes linhas:

/dev/sda1 /usr etx2 default 0 0

Para Linux
Para FreeBSD/NetBSD/OpenBSD e/ou sistemas UNIX proprietários (Solaris, HP-UX, IRIX, etc.)
Para Microsoft Windows

Esta é a lista (começando pelos mais populares):

Nessus: A melhor ferramenta de inventariação de vulnerabilidades com código fonte disponível
O Nessus é uma ferramenta de inventariação remota de vulnerabilidades para sistemas Linux, BSD, Solaris e outros Unixes. O seu funcionamento é baseado em plugins, possui uma interface GTK e efectua mais de 1200 verificações remotas de segurança. Produz relatórios em HTML, XML, LaTeX e texto simples que indicam as vulnerabilidades detectadas e os passos que devem ser seguidos para as eliminar.

Ethereal: Cheirando a cola que aguenta a Internet
O Ethereal é uma ferramenta pública de análise de protocolos para sistemas Unix e Windows. Permite a observação de dados capturados da rede em tempo real ou previamente capturados e guardados num ficheiro ou disco. Pode-se navegar interactivamente nos dados capturados, observando resumos ou informação pormenorizada de cada datagrama. O Ethereal possui diversas facilidades poderosas, nomeadamente uma linguagem rica para filtragem dos dados apresentados e a possibilidade de observar o fluxo de dados de uma sessão TCP reconstruída. Possui uma versão textual, não-gráfica, chamada tethereal.

Snort: Um sistema de detecção de intrusões (IDS) público para as massas
O Snort é uma ferramenta eficiente de detecção de intrusões, capaz de efectuar análises em tempo real de tráfego capturado e registo de datagramas em redes IP. Permite analisar protocolos, procura de conteúdos e pode ser usado para detectar diversos ataques e sondas, nomeadamente transbordamentos de memória (buffer overflows), levantamentos furtivos (stealth) de portos de transporte, ataques usando CGI, sondas para SMB, tentativas de identificação de sistemas operativos, etc. O Snort usa uma linguagem flexível baseada em regras para descrever o tráfego que deverá ser considerado ou não para posterior análise e um motor de detecção modular. Várias pessoas sugeriram que a Consola de Análise de Bases de Dados de Intrusões (Analysis Console for Intrusion Databases, ACID) fosse usada com o Snort.

Netcat: O canivete Suíço da rede
Um utilitário simples para Unix que lê e escreve dados de e para uma rede usando os protocolos TCP e UDP. Foi concebido para ser uma ferramenta terminal fiável para ser usada directamente ou indirectamente por outros programas ou scripts. É ainda uma ferramenta poderosa para analisar problemas ou explorar uma rede, uma vez que permite criar praticamente qualquer tipo de ligação que seja necessária e possui diversas capacidades intrínsecas interessantes.

TCPDump / WinDump: A ferramenta clássica de captura de dados em redes para monitorização e aquisição de tráfego
O Tcpdump é uma ferramenta não gráfica bem conhecida e muito apreciada para análise de tráfego em redes. Pode ser usada para apresentar os cabeçalhos dos datagramas que passam por uma interface de rede e que validam uma regra imposta. Esta ferramenta pode ser usada para detectar problemas de rede ou para monitorizar a actividade na rede. Existe uma versão própria para Windows chamado WinDump. TCPDump é ainda o código fonte da biblioteca Libpcap/biblioteca WinPcap de captura de datagramas, que é usada pelo Nmap entre outros utilitários. Note-se que muito utentes preferem o Ethereal, uma ferramenta de captura mais actual.

Hping2: Um utilitário para sondar a rede, um ping dopado
O hping2 cria e envia datagramas ICMP/UDP/TCP específicos e apresenta respostas aos mesmos. Foi inspirado no comando ping mas permite um maior controlo sobre as sondas enviadas. Também possui um modo traceroute muito conveniente e suporta fragmentação de IP. Esta ferramenta é particularmente útil para detectar (descobrir caminhos, se estão a funcionar, etc.) máquinas por detrás de uma firewall que bloqueie sondas enviadas por utilitários padrão.

DSniff: Uma série de ferramentas poderosas para auditoria de redes e testes de penetração
Esta colecção, bem concebida por Dug Song e muito popular, possui muitas ferramentas. As ferramentas dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf e webspy permitem monitorizar uma rede de forma passiva em busca de conteúdos interessantes (senhas, e-mail, ficheiros, etc.). As ferramentas arpspoof, dnsspoof, e macof facilitam a intercepção de tráfego de rede normalmente inacessível a um atacante (v.g., por causa da comutação de nível 2). As ferramentas sshmitm and webmitm realizam ataques activos de brincalhão-no-meio, contra sessões SSH ou HTTPS redireccionadas, explorando validações fracas inerentes ao uso de PKI ad-hoc. Um transporte parcial para Windows, suportado separadamente, está disponível aqui.

GFI LANguard: Um inventariador de problemas de segurança comercial para Windows
O LANguard analisa redes e produz relatórios com informação que inclui quais os nível de actualização (Service Packs level) do sistema de cada máquina, as correcções de segurança em falta, os recursos partilhados disponíveis, os portos de transporte disponíveis, serviços/aplicações disponíveis no computador, entradas-chave do registo (registry), senhas fracas, utilizadores e grupos e mais ainda. Os resultados da análise são apresentados num relatório em HTML, que pode ser adaptado/pesquisado. Aparentemente uma versão gratuita limitada está disponível para fins não comerciais ou para avaliação.

Ettercap: Caso ainda acredite que LAN comutadas fornecem muita segurança extra
O Ettercap é uma ferramenta não gráfica para inspecção/intercepção/registo de tráfego em LAN Ethernet. Ë capaz de dissecar de forma passiva ou activa inúmeros protocolos (inclusive os que são cifrados, como o SSH ou HTTPS). É ainda capaz de injectar dados em ligações estabelecidas e filtrar dados das mesmas em tempo real sem as des-sincronizar. Possui diversos modos de captura de tráfego que permitem fornecer um conjunto completo e eficaz de formas de inspecção. Suporta plugins. Consegue verificar se está ou não numa máquina ligada a uma LAN comutada e consegue ainda efectuar o levantamento da geometria da rede através do reconhecimento, activo ou passivo, de sistemas operativos.

Whisker/Libwhisker: A biblioteca e o inventariador de vulnerabilidades em CGI do Rain.Forest.Puppy
O Whisker é ferramenta de inspecção de servidores HTTP que permite detectar muitos problemas de segurança, nomeadamente a presença de CGI perigosos. Libwhisker é uma biblioteca de perl (usada pelo Whisker) que permite a criação de inspectores de HTTP específicos. Se pretende auditar mais do que servidores HTTP veja o Nessus.

John the Ripper: Um prospector de senhas sumariadas extraordinariamente eficaz, flexível e eficiente para múltiplas plataformas
John the Ripper é um prospector de senhas eficiente, actualmente disponível para muitas versões de Unix (11 são suportadas oficialmente, sem distinguir arquitecturas), DOS, Win32, BeOS e OpenVMS. A sua finalidade primeira é descobrir senhas Unix fracas. Suporta diversos tipos de sumários de senhas crypt(3) que são usuais nas várias versões de Unix, bem como sumários usados no Kerberos do AFS e sumários LM do Windows NT/2000/XP. Várias outras formas de sumariar senhas podem ser acrescentadas com a contribuição de melhoramentos.

OpenSSH / SSH: Um modo seguro de aceder remotamente a computadores
O Ssh (Secure Shell) é um programa para iniciar sessões em computadores remotos e neles executar comandos. Fornece um canal de comunicação seguro (cifrado) sobre uma rede insegura entre duas máquinas sem confiança mútua. Ligações X11 e demais tráfego para portos arbitrários TCP/IP podem ser redireccionados para o canal seguro. Foi também concebido para substituir o rlogin, rsh e rcp e pode ser usado para fornecer rdist e rsync com um canal de comunicação seguro. OpenSSH é parte do projecto OpenBSD, muito embora uma versão transportável execute na maioria dos sistemas UNIX. Note que o link SSH.Com acima não é gratuito para alguns fins, enquanto o OpenSSH é sempre gratuito. Os utentes com Windows podem experimentar a versão pública PuTTY SSH Client ou a versão agradável para consolas do OpenSSH que vem com o Cygwin. Há dezenas de outros clientes (gratuitos ou pagos) disponíveis para a maioria dos sistemas – aqui está uma lista enorme.

Sam Spade: Ferramenta pública de interrogação de redes para Windows
O SamSpade fornece uma realização e uma interface gráfica coerente para diversas tarefas de interrogação de redes. For desenhada com o propósito de detectar spammers mas pode ser útil para outras tarefas relacionadas com a exploração, administração e segurança de redes. Inclui ferramentas tal como o ping, nslookup, whois, dig, traceroute, finger, navegador HTTP elementar, transferência de zonas DNS, detector de retransmissores SMTP, localizador de servidores Web, entre outras. Utentes que não usem o Windows podem recorrer a versões interactivas de muitas das suas ferramentas.

ISS Internet Scanner: Inventariador de vulnerabilidades ao nível das aplicações
O Internet Scanner foi iniciado por Christopher Klaus em ’92 como um detector mínimo com código público. Actualmente é responsável por a ISS ser uma empresa milionária que comercializa uma miríade de produtos relacionados com segurança. O ISS Internet Scanner é bastante bom, mas não é barato. Portanto, empresas com orçamentos apertados podem querer experimentar alternativamente o Nessus. A revista Information Security de Março de 2003 avaliou 5 ferramentas de inventariação de vulnerabilidades (incluindo estas) e as conclusões estão disponíveis aqui. Note que as ferramentas de inventariação de vulnerabilidades apenas reportam a sua existência. Ferramentas comerciais para efectivamente explorar essas vulnerabilidades incluem a CORE Impact e a Canvas de Dave Aitel. Exploradores gratuitos de algumas vulnerabilidades podem ser encontrados em locais tal como Packet Storm e SecurityFocus.

Tripwire: O decano dos verificadores de integridade de ficheiros
É um verificador de integridade de directorias e ficheiros. O Tripwire é uma ferramenta que ajuda administradores de sistemas e utentes a monitorizar quaisquer modificações em conjuntos arbitrários de ficheiros. É usado regularmente (v.g. diariamente) em ficheiros nucleares dos sistemas. O Tripwire pode notificar administradores acerca de ficheiros corrompidos para que os mesmos possam iniciar atempadamente acções de controlo de estragos. Uma versão pública em código fonte é disponibilizada em Tripwire.Org. Os utilizadores de UNIX podem também optar pela ferramenta AIDE, que foi concebida como uma substituta gratuita do Tripwire. Ou podem querer conhecer melhor o Radmind.

Nikto: um inspector de servidores Web mais abrangente
O Nikto é um inspector de servidores Web que procura mais de 2000 ficheiros /GCI potencialmente perigosos e problemas em mais de 200 servidores. Usa a biblioteca LibWhisker mas normalmente é actualizado mais frequentemente que o próprio Whisker.

Kismet: Um poderoso inspector de comunicações sem fios
O Kismet é um poderoso inspector e dissecador de tráfego em redes 802.11b. É capaz de capturar tráfego com a maioria das interfaces de redes sem fios, de detectar automaticamente infra-estruturas de rede IP através de datagramas UDP, ARP e DHCP e de listas de equipamentos Cisco através do Cisco Discovery Protocol, de registar datagramas cifrados com técnicas vulneráveis e de produzir registos de capturas com um formato compatível com o Ethereal e com o tcpdump. Permite ainda desenhar redes detectadas e estimar áreas de cobertura em mapas importados ou imagens em ficheiro fornecidas pelos utentes. O suporte para Windows é actualmente rudimentar, pelo que os utentes podem experimentar o Netstumbler se tiverem problemas. Os utentes de Linux (e PDA Linux como o Zaurus) podem querer experimentar o inspector de redes sem fios Wellenreiter.

SuperScan: inventariador de portos TCP para Windows da Foundstone
Um inventariador de portos TCP abertos baseado em ligações, detector de máquinas com ping e tradutor de nomes de máquinas. Não é fornecido código fonte. Permite inventariar portos e máquinas usando gamas de endereços IP. Permite ainda iniciar uma ligação a um porto descoberto usando aplicações de apoio indicadas pelos utentes (v.g. Telnet, navegadores Web, FTP).

L0phtCrack 4 (actualmente “LC4″): Auditor e recuperador de senhas para Windows
O L0phtCrack tenta descobrir senhas em sistemas Windows a partir de sínteses que consegue obter de máquinas Windows NT/2000 isoladas, servidores em rede, controladores primários de domínios ou máquinas com Active Directory (desde que às mesmas se tenha acesso). Em alguns casos consegue capturar as sínteses do tráfego de rede. Possui também várias formas de adivinhar senhas (com dicionários, por força bruta, etc.). O L0phtCrack custa actualmente 350 USD/máquina e não é fornecido código fonte. Empresas com um orçamento apertado podem optar por experimentar as ferramentas John the Ripper, Cain & Abel e pwdump3.

Retina: Inventariador de vulnerabilidades comercial da eEye
Tal como o Nessus e o ISS Internet Scanner previamente mencionados, a função do Retina é a de procurar vulnerabilidades em todas as máquinas de uma rede e de produzir um relatório de avaliação sobre as mesmas.

Netfilter: O filtro de datagramas/firewall actual do núcleo Linux
O Netfilter é um filtro de datagramas poderoso que faz parte do núcleo Linux padrão. A sua configuração é feita através da aplicação iptables. Actualmente suporta filtragem de datagramas (mantendo ou não estado), todos os diferentes tipos de NAT (Network Address Translation) e alteração de datagramas. Para outras plataformas que não Linux ver pf (OpenBSD), ipfilter (várias outras variantes de UNIX), ou mesmo a firewall pessoal Zone Alarm (Windows).

traceroute/ping/telnet/whois: as ferramentas básicas
No meio de toda a propaganda acerca de ferramentas altamente sofisticadas que são disponibilizadas para apoiar a gestão dos mais variados aspectos de segurança, há que não esquecer as ferramentas básicas! Todos deveriam estar à vontade com estas ferramentas, uma vez que elas estão disponíveis na maioria dos sistemas operativos (excepto o Windows, que não possui whois e usa o nome tracert). Elas podem ser muito úteis para resolver enrascadas, muito embora para usos mais complexos sejam preferíveis os Hping2 e Netcat.

Fport: o netstat aperfeiçoado da Foundstone
A ferramenta fport indica todos os portos TCP/IP e UDP abertos na máquina onde é executada e mostra quais são as aplicações que os estão a usar. Desta forma serve para identificar rapidamente portos abertos desconhecidos e as aplicações que lhes estão associadas. Só executa em Windows mas muitos sistemas UNIX actualmente fornecem esta informação através do netstat (experimentar ‘netstat -pan’ em Linux). Aqui está um artigo da SANS acerca do uso do Fport e da análise dos seus resultados.

SAINT: Security Administrator’s Integrated Network Tool
SAINT é uma outra ferramenta comercial de inventariação de vulnerabilidades (tal como o ISS Internet Scanner ou o eEye Retina). Ao contrário dessas ferramentas apenas para Windows, o SAINT executa exclusivamente em UNIX. O código fonte do SAINT chegou a ser disponibilizado publicamente sem custos, mas actualmente é um produto comercial.

Network Stumbler: Inspector de rede 802.11 gratuito para Windows
O Netstumbler é a melhor ferramenta para Windows para encontrar pontos de acesso sem fios disponíveis (“wardriving”). Existe também uma versão WinCE para PDA e similares chamada Ministumbler. A ferramenta é actualmente gratuita apenas para Windows e não é fornecido o código fonte. Os autores assinalam que “o autor reserva-se o direito de alterar este acordo de licenciamento como melhor lhe convier sem disso dar nota.” (“the author reserves the right to change this license agreement as he sees fit, without notice.”). Os utentes de UNIX (e utilizadores avançados do Windows) podem experimentar alternativamente o Kismet.

SARA: Security Auditor’s Research Assistant
O SARA é uma ferramenta de inventariação de vulnerabilidades que derivou do mal-afamado inventariador SATAN. Os seus autores tentam disponibilizar actualizações de versões duas vezes por mês para acompanhar os avanços de software desenvolvido pela comunidade adepta do código aberto (como o Nmap e o Samba).

N-Stealth: um avaliador de servidores Web
O N-Stealth é uma ferramenta comercial de avaliação de segurança de servidores Web. É normalmente actualizado mais frequentemente que os similares gratuitos, como o whisker e o nikto, mas mantenha algum cepticismo em relação ao seu sítio Web. As afirmações “30,000 vulnerabilidades e explorações” e “Dezenas de verificações de vulnerabilidade são adicionadas todos os dias” são muitíssimo questionáveis. Note ainda que a maioria das ferramentas genéricas de inventariação de vulnerabilidades, como o Nessus, o ISS, o Retina, o SAINT e o SARA incluem componentes para avaliar servidores Web. Nem todas poderão, no entanto, estar tão actualizadas ou ser tão flexíveis. O N-stealth é apenas para Windows e não é fornecido código fonte.

AirSnort: uma ferramenta de criptanálise do 802.11 WEP
O Airsnort é uma ferramenta para redes locais sem fios (WLAN) que descobre chaves de cifra usadas na comunicação. Foi desenvolvida pelo Shmoo Group e actua monitorizando as comunicações sem fios de forma passiva, conseguindo calcular as chaves de cifra após a captura de um número suficiente de datagramas cifrados. O suporte para Windows está ainda muito rudimentar.

NBTScan: Recolhe informação NetBIOS em redes Windows
O NBTscan é um programa que pesquisa redes IP à procura de informação afecta a nomes NetBIOS. Envia pedidos de estado NetBIOS para cada endereço indicado numa gama e lista a informação recebida de forma legível por humanos. Para cada máquina que responde indica o endereço MAC, o endereço IP, o nome NetBIOS do computador e o nome do utente com sessão aberta no mesmo.

GnuPG / PGP: Proteja os seus ficheiros e comunicação usando criptografia avançada
O PGP é o programa de cifra famoso, criado por Phil Zimmerman, que ajuda a proteger os seus dados de terceiros não autorizados e a evitar outros riscos. O GnuPG é uma realização muito cuidada, e com código fonte disponível, do padrão PGP (o nome do programa é gpg). O GnuPG é totalmente gratuito, enquanto o PGP tem que ser pago para certos usos.

Firewalk: Um traceroute avançado
O Firewalk emprega técnicas semelhantes ao traceroute, na análise de respostas a datagramas IP, para determinar filtros de controlo de acesso em gateways e para levantar mapas de redes. Esta ferramenta clássica foi totalmente reescrita de raiz em Outubro de 2002. Note que a maior parte ou a totalidade da sua funcionalidade pode ser obtida com o Hping2 (quando usado com a opção –traceroute).

Cain & Abel: O L0phtcrack dos pobres
Cain & Abel é uma ferramenta gratuita de prospecção de senhas para sistemas Microsoft Windows. Permite uma prospecção fácil de vários tipos de senhas através da escuta da rede, da pesquisa de senhas cifradas usando ataques com dicionários ou exaustivos, da descodificação de senhas baralhadas, da descoberta de chaveiros e de senhas em cache e da análise de protocolos de encaminhamento. O código fonte não é fornecido.

XProbe2: Uma ferramenta activa de identificação de sistemas operativos
O XProbe é uma ferramenta que permite identificar o sistema operativo de uma máquina remota. Para o conseguir usa uma parcela das técnicas do Nmap bem como outras abordagens diferentes. O XProbe sempre privilegiou o protocolo ICMP na sua aproximação à identificação.

SolarWinds Toolsets: Uma imensidão de ferramentas de pesquisa/monitorização/ataque de redes
A SolarWinds criou e vende dúzias de ferramentas especializadas destinadas a administradores de sistemas. As ferramentas relacionadas com a segurança incluem vários pesquisadores de rede e um prospector SNMP exaustivo. Estas ferramentas são só para Windows, custam dinheiro e não incluem código fonte.

NGrep: um capturador & apresentador de datagramas muito útil
O ngrep procura fornecer todas as funcionalidades do grep da GNU mas aplicando-as ao nível rede. O ngrep é uma ferramenta baseada na biblioteca pcap que lhe permitirá especificar expressões regulares estendidas ou hexadecimais para encontrar conteúdos de transporte ou datagramas. Actualmente reconhece TCP, UDP e ICMP sobre Ethernet, PPP, SLIP, FDDI, Token Ring e interfaces nulas, e entende lógica de filtragem bpf de forma semelhante à de ferramentas comuns de captura de datagramas, tais como o tcpdump e o snoop.

Perl / Python: Linguagens interpretadas portáveis de aplicação generalizada
Muito embora esta página apresente muitas ferramentas desenhadas para lidar com as tarefas mais comuns, é importante ter a possibilidade de escrever as suas próprias (ou modificar outras existentes). O Perl e Python facilitam a criação rápida de scripts portáveis para teste, exploração de vulnerabilidades ou mesmo para corrigir sistemas! Arquivos como o CPAN estão recheados de módulos tais como o Net::RawIP e concretizações de protocolos para facilitar ainda mais a sua tarefa.

THC-Amap: Um inventariador de aplicações
O Amap (da THC) é um recente mas poderoso inventariador que analisa cada porto para identificar aplicações ou serviços sem tomar em considerar os mapeamentos estáticos.

OpenSSL: A melhor biblioteca criptográfica SSL/TLS
O Projecto OpenSSL é um esforço conjunto com o intuito de desenvolver um arsenal robusto, de nível comercial, com inúmeras funcionalidades e com código fonte público para exploração dos protocolos Secure Sockets Layer (SSL v2/v3) e Transport Layer Security (TLS v1), bem como para uso genérico de criptografia topo-de-gama. O projecto é gerido por uma comunidade mundial de voluntários que usam a Internet para comunicar, planear e desenvolver o arsenal OpenSSL e a sua documentação.

NTop: Um monitor de tráfego de rede
O Ntop mostra o uso da rede de uma forma muito similar à usada pelo top para processos. No modo interactivo mostra o estado da rede no terminal do utente. No modo Web actua como um servidor Web, criando imagens HTML com o estado da rede. Suporta um emissor/colector NetFlow/sFlow, uma interface HTTP para os clientes criarem aplicações sobre o Ntop e RRD para armazenar estatísticas de tráfego.

Nemesis: Um injector de datagramas simplificado
O Projecto Nemesis tem como intuito a gestão da pilha IP por humanos em UNIX/Linux (e actualmente também Windows) usando comandos de consola. O arsenal subdivide-se por protocolo e deverá permitir a injecção útil de fluxos de datagramas a partir de scripts. Se aprecia o Nemesis poderá também conhecer o hping2. Eles complementam-se muito bem.

LSOF: LiSt Open Files
Esta ferramenta de diagnóstico forense para Unix lista informação acerca dos ficheiros abertos pelos processos actuais do sistema. Pode também listar sockets de comunicação abertos por cada processo.

Hunt: Um capturador de datagramas avançado e intromissor em ligações para Linux
O Hunt observa ligações TCP e intromete-se nas mesmas ou termina-as. O Hunt foi concebido para ser usado na Ethernet e possui mecanismos activos para escutar ligações em redes comutadas. As funcionalidades avançadas incluem a retransmissão selectiva de ARP e a sincronização de ligações após os ataques. Se aprecia o Hunt veja também o Ettercap e o Dsniff.

Honeyd: A sua rede isco pessoal
O Honeyd é um pequeno servidor que simula uma rede de máquinas virtuais. As máquinas podem ser configuradas para executar serviços arbitrários e a sua personalidade TCP pode ser adaptada de modo a aparentarem determinadas versões de sistemas operativos. O Honeyd permite que uma única máquina use diversos endereços de uma LAN para simular a rede fictícia. É possível detectar as máquinas com ping ou com traceroute. Qualquer tipo de serviço numa máquina virtual pode ser simulado de acordo com um simples ficheiro de configuração. É ainda possível redirigir acessos a serviços para outras máquinas em vez de os simular. A página Web está actualmente indisponível por razões legais, mas o pacote tar V. 0.5 está ainda disponível aqui.

Achilles: Um mediador de ataque a servidores Web para Windows
Achilles é uma ferramenta concebida para testar a segurança de aplicações Web. Achilles é um servidor mediador (proxy) que actua interceptando sessões HTTP. O mediador HTTP típico retransmite dados de e para um navegador cliente e um servidor Web. O Achilles irá interceptar os dados de uma sessão HTTP em qualquer direcção e permite que o seu utente os altere antes de os retransmitir. Por exemplo, durante uma ligação HTTP SSL normal um mediador típico irá retransmitir a sessão entre o servidor e o cliente e permitir que as duas máquinas nos extremos negoceiem a sessão SSL. Pelo contrário, o Achilles, quando em modo intercepção, irá simular ser o servidor e irá negociar duas sessões SSL, uma com o navegador cliente e outra com o servidor Web. Durante a transmissão de dados entre os dois extremos o Achilles decifra os dados e permite que o seu utente altere e/ou registe os dados em claro antes da sua retransmissão.

Brutus: Um atacante por força bruta de autenticações em rede
Este prospector de senhas para Windows actua sobre serviços em rede de máquinas remotas, tentando adivinhar senhas usando um dicionário e permutações de termos do mesmo. Suporta HTTP, POP3, FTP, SMB, TELNET, IMAP, NTP e outros. O código fonte não é disponibilizado. Os utentes de UNIX devem consultar o THC-Hydra.

Stunnel: um interceptor criptográfico genérico de SSL
O programa stunnel foi concebido para actuar como um interceptor criptográfico de SSL entre um cliente remoto e um servidor local (lançável via inetd) ou remoto. Pode ser usado para adicionar a funcionalidade do SSL para servidores normalmente iniciados através do inetd, como servidores POP2, POP3 e IMAP, sem requerer quaisquer alterações dos seus programas. Ele negociará uma sessão SSL usando as bibliotecas OpenSSL ou SSLeay.

Paketto Keiretsu: TCP/IP radical
Paketto Keiretsu é uma colecção de ferramentas que usam estratégias novas e invulgares de exploração de redes TCP/IP. Elas encaixam funcionalidades no âmbito da infra-estrutura existente e puxam pelos protocolos para além dos seus fins originais. A colecção inclui Scanrand, um sistema invulgarmente rápido de descoberta de serviços em rede e de topologias de rede; Minewt, um encaminhador NAT/MAT que executa em modo utilizador; linkcat, que fornece uma ponte entre Ethernet e stdio; Paratrace, que faz o levantamento de caminhos em redes sem criar novas ligações; e Phentropy, que usa OpenQVIS para desenhar num espaço de fases tridimensional quantidades arbitrárias de entropia extraídas de fontes de dados. Apanharam tudo? .

Fragroute: o pior pesadelo dos sistemas IDS
O Fragroute intercepta, modifica e reescreve tráfego de saída, concretizando a maioria dos ataques descritos no documento Secure Networks: IDS Evasion (Redes Seguras: Fuga aos IDS). Dispõe de uma linguagem de regras simples para atrasar, duplicar, descartar, fragmentar, sobrepor, imprimir, reordenar, segmentar, forçar o caminho de retorno (source route), ou de outra forma brincar com todos os datagramas de saída destinados a uma máquina alvo com um suporte mínimo para actuar de forma aleatória ou probabilística. Esta ferramenta foi concebida com o propósito honesto de ajudar a testar sistemas de detecção de intrusões, firewalls e comportamentos básicos da pilha TCP/IP. Tal como Dsniff e Libdnet, esta ferramenta excelente foi programada por Dug Song.

SPIKE Proxy: brincar com o HTTP
Spike Proxy é um mediador HTTP com código público que serve para descobrir falhas de segurança em serviços Web. Faz parte do Spike Application Testing Suite (Arsenal de Teste de Aplicações Spike) e suporta a detecção de injecções automáticas de SQL, varrimento de sítios Web, tentativas exaustivas de passagem através de formulários de controlo de entradas, detecção de tentativas de provocar transbordamentos de memória (memory overflows) e detecção de varrimentos de directorias.

THC-Hydra: Um desobstruidor paralelizado de autenticações em rede
Esta ferramenta permite ataques rápidos com dicionários contra sistemas de autenticação em rede, incluindo FTP, POP3, IMAP, Netbios, Telnet, autenticação HTTP, LDAP, NNTP, VNC, ICQ, Socks5, PCNFS e outros. Inclui suporte para SSL e aparentemente agora faz parte do Nessus. Tal como o Amap, esta distribuição vem da malta fixe da THC.

1) Instalação

apt-get install proftpd

2)Grupo e usuarios

groupadd ftpusers (escolha um grupo qualquer)

adduser ftpuser (de sua escolha)

após a criação do gupo e dos usuarios vamos a editar o arquivos de configuração /etc/proftpd/proftpd.conf
deixand da seguinte forma.

ServerName “FTP ”
ServerType standalone
DefaultServer on

User ferla
Group ftpusers
DefaultRoot /var/www/ftp

AllowOverwrite on

AllowAll


AllowAll


AllowAll

salva e pronto só da um restart no proftpd “/etc/init.d/proftpd restart”

Até a proxima.

Antes de instalarmos o Cacti, precisamos preparar o ambiente para recebe-lo. Um dos requisitos é o banco de dados MySQL. Nele, já precisamos ter uma base dados e um usuário criado para que o Cacti seja instalado corretamente.

root@debian:~# mysql -p -u root

Enter password: **********

Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 18166
Server version: 5.1.37-0.dotdeb.1 (Debian)

Type ‘help;’ or ‘\h’ for help. Type ‘\c’ to clear the current input statement.

mysql> create database cacti;
Query OK, 1 row affected (0.00 sec)

mysql> grant all privileges on cacti.* to cacti@localhost identified by ‘senha’;
Query OK, 0 rows affected (0.00 sec)

mysql> quit
Bye

Instalação dos Pacotes

A instalação do Cacti é muito simples e você acha documentação relacionada facilmente na internet.

Vale lembrar que você precisa de um Apache com suporte a um PHP, suporte também a SNMP (pacote php5-snmp).

Dois pacotes também necessários, são RRDTool e o SNMP que são responsáveis por fornecer as informações que o Cacti precisa para o monitoramento.

Bom, vamos a instalação dos pacotes.

root@debian:~# aptitude install cacti cacti-spine rrdtool

Configuring libphp-adodb:

Configuring cacti
Webserver type: Apache2
Configure database for cacti with dbconfig-common?
Password of your database’s administrative user: **********
MySQL application password for cacti: **********
Password confirmation: **********

Ajustando as Configurações do Cacti

Vamos apenas conferir o arquivo de configuração para ver se está tudo OK.

root@debian:~# vi /etc/cacti/debian.php

$database_username=’cacti’;
$database_password=’senha’;
$basepath=”;
$database_default=’cacti’;
$database_hostname=”;
$database_port=”;
$dbtype=’mysql’;

Instalando e Configurando o SNMP

Primeiramente, vamos instalar os pacotes necessários.

root@debian:~# aptitude install snmpd php5-snmp

Agora precisamos configurar o SNMP para acesso publico, para que a coleta de informações seja possível.

root@debian:~# vi /etc/snmp/snmpd.conf

###############################################################################
# Access Control
###############################################################################

# sec.name source community
com2sec local localhost private
com2sec mynet 127.0.0.0/8 public
com2sec public default public

# sec.model sec.name
group mygroup v1 mynet
group mygroup v2c mynet
group local v1 local
group local v2c local
group public v1 public
group public v2c public

# incl/excl subtree mask
view all included .1 80
view system included .iso.org.dod.internet.mgmt.mib-2.system

# context sec.model sec.level match read write notif
access mygroup “” any noauth exact all none none
access public “” any noauth exact all none none
access local “” any noauth exact all all all

# —————————————————————————–

###############################################################################
# System contact information
###############################################################################

syslocation Unknown (configure /etc/snmp/snmpd.local.conf)
syscontact Root (configure /etc/snmp/snmpd.local.conf)

# —————————————————————————–

###############################################################################

Lembre-se de colocar um mynet correto para sua rede.
Testando e Debugando

Se você quiser testar antes de ir para a interface gráfica, ou se a mesma não funcionar, experimente algumas dessas dicas:
Ver se o daemon do SNMP está de fato rodando

root@debian:~# netstat -nlp | grep snm

udp 0 0 127.0.0.1:161 0.0.0.0:* 4221/snmpd

Tentar chegar até a máquina a ser monitorada com o nmap

root@debian:~# nmap -sU -p 161 127.0.0.1

Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-24 16:31 BRT
Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE
161/udp open|filtered snmp

Nmap done: 1 IP address (1 host up) scanned in 2.062 seconds

Use o snmpwalk para testar conectividade

root@debian:~# snmpwalk -v 2c -c public 127.0.0.1 system

SNMPv2-MIB::sysDescr.0 = STRING: Linux www.dominio.com.br 2.6.26-2-amd64 #1 SMP
SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (218855) 0:36:28.55
SNMPv2-MIB::sysContact.0 = STRING: Root (configure /etc/snmp/snmpd.local.conf)
SNMPv2-MIB::sysName.0 = STRING: www.dominio.com.br
SNMPv2-MIB::sysLocation.0 = STRING: Unknown (configure /etc/snmp/snmpd.local.conf)
SNMPv2-MIB::sysORLastChange.0 = Timeticks: (0) 0:00:00.00
SNMPv2-MIB::sysORID.1 = OID: SNMP-FRAMEWORK-MIB::snmpFrameworkMIBCompliance
SNMPv2-MIB::sysORID.2 = OID: SNMP-MPD-MIB::snmpMPDCompliance
SNMPv2-MIB::sysORID.3 = OID: SNMP-USER-BASED-SM-MIB::usmMIBCompliance
SNMPv2-MIB::sysORID.4 = OID: SNMPv2-MIB::snmpMIB
SNMPv2-MIB::sysORID.5 = OID: TCP-MIB::tcpMIB
SNMPv2-MIB::sysORID.6 = OID: IP-MIB::ip
SNMPv2-MIB::sysORID.7 = OID: UDP-MIB::udpMIB
SNMPv2-MIB::sysORID.8 = OID: SNMP-VIEW-BASED-ACM-MIB::vacmBasicGroup
SNMPv2-MIB::sysORDescr.1 = STRING: The SNMP Management Architecture MIB.
SNMPv2-MIB::sysORDescr.2 = STRING: The MIB for Message Processing and Dispatching.
SNMPv2-MIB::sysORDescr.3 = STRING: The management information definitions for the SNMP User-based Security Model.
SNMPv2-MIB::sysORDescr.4 = STRING: The MIB module for SNMPv2 entities
SNMPv2-MIB::sysORDescr.5 = STRING: The MIB module for managing TCP implementations
SNMPv2-MIB::sysORDescr.6 = STRING: The MIB module for managing IP and ICMP implementations
SNMPv2-MIB::sysORDescr.7 = STRING: The MIB module for managing UDP implementations
SNMPv2-MIB::sysORDescr.8 = STRING: View-based Access Control Model for SNMP.
SNMPv2-MIB::sysORUpTime.1 = Timeticks: (0) 0:00:00.00
SNMPv2-MIB::sysORUpTime.2 = Timeticks: (0) 0:00:00.00
SNMPv2-MIB::sysORUpTime.3 = Timeticks: (0) 0:00:00.00
SNMPv2-MIB::sysORUpTime.4 = Timeticks: (0) 0:00:00.00
SNMPv2-MIB::sysORUpTime.5 = Timeticks: (0) 0:00:00.00
SNMPv2-MIB::sysORUpTime.6 = Timeticks: (0) 0:00:00.00
SNMPv2-MIB::sysORUpTime.7 = Timeticks: (0) 0:00:00.00
SNMPv2-MIB::sysORUpTime.8 = Timeticks: (0) 0:00:00.00

Se deu tudo certo até aqui, você pode acessar a interface gráfica.

http://www.dominio.com.br/cacti

Existe uma configuração inicial que precisa ser realizada, mas é bem simples de realizar. Posterior a isso, é só adicionar as novas máquinas para serem monitoradas.

# apt-get install apache2 mysql-common mysql-server php4-common php4 php4-mysql php4-gd

# wget -c http://ufpr.dl.sourceforge.net/sourceforge/ocomonphp/ocomon_2.0Alpha1.tar.gz

# tar -xzvf /home/$USER/Desktop/ocomon_2.0Alpha1.tar.gz -C /var/www/

# cd /var/www/ocomon Criando banco: # mysql -u root -p mysql> create database ocomon; mysql> quit

# cd /var/www/ocomon/install/2.0/

# mysql -u root -p ocomon < DB_OCOMON_2.0_FULL.sql Acertando arquivos de configuração:

# cd /var/www/ocomon/includes

# cp config.inc.php-dist config.inc.php Na linha 10, coloque o usuário de seu DB, no meu caso como usei o root. Ficou: define (“SQL_USER”, “root”); //NOME DO USUÁRIO PARA ACESSAR A BASE DO OCOMON Na linha 13 coloque a senha, no meu caso não vou divulgar a senha, apenas para demostração aqui, deixei ela como ***. define (“SQL_PASSWD”, “***”); //AQUI DEVE SER COLOCADA A SENHA DO BASE DO OCOMON

O restante você configura conforme sua necessidade. Pronto, agora vá até seu navegador digite: http://IP_DO_Server/ocomon

user: admin

senha: admin

valeu!

Se vc não tiver utilizando lvm nas partições dos dominios, fica mais dificil aumetar o tamanho da partição. Por isso sempre utilize lvm.

Na próxima vez que o Linux for iniciado, será executado o fsck, que é o software similar ao scandisk do Windows. Na maioria dos casos o fsck automaticamente corrigirá os blocos defeituosos e os demais problemas, mas em alguns casos de maior danificação o programa o força a uma checagem manual, diretamente pela linha de comando.

Você saberá quando é necessário executar o fsck manualmente quando durante sua inicialização, o Linux parar e exibir uma mensagem de erro do fsck, que será similar a:

O prompt exibido lhe solicitará a senha do root para entrar no modo de manutenção. Você também tem a opção de pressionar as teclas Ctrl+D para ignorar os erros e tentar iniciar o Linux normalmente, mas se você escolher esta opção, provavelmente a máquina será reinicializada e retornará ao mesmo ponto onde parou, ou seja, na mensagem de erro. Após digitar a senha do root você cairá na linha de comando (prompt) em modo “single user”, que significa que os serviços (Apache, Bind, Samba, etc) ainda não foram inicializados. Observe a mensagem de erro gerada pelo fsck, um pouco acima do prompt será exibido o dispositivo que apresenta os erros no sistema de arquivos. Supondo que o problema esteja em /dev/hda1, execute: # e2fsck -y /dev/hda1 A opção “-y” é usada para assumir “yes” em todas as questões que podem surgir durante a fase de correção do sistema de arquivos. Seu uso é opcional, mas recomendável.

Terminada a execução do fsck, reinicialize a máquina com o comando:

# reboot

Pronto! Seu Linux inicializará normalmente agora.

Resumindo, você tem que digitar a senha do root para entrar na linha de comando e depois executar:

# e2fsck /dev/hdxx (onde xx indica a partição com problema)

Para lista todas as partições dos HDs de seu computador, digite:

# fdisk -l

Para descobrir as opções do fsck, digite o comando sem argumentos:

# e2fsck

Ou é claro, consulte sua página de manual:

# man fsck

Nota: o fsck suporta vários tipos de sistema de arquivos, daí a explicação para o comando “e2fsck”, ele é um alias para o comando “fsck” para sistema de arquivo do tipo ext2, “e2″ vem de “extended 2 file system”.

Sistema de arquivos ext3

Hoje é muito comum o uso de partições com a nova geração do extended file system, o ext3. Caso sua partição seja desse tipo, ao invés de usar “e2fsck”, use:

# fsck.ext3 /dev/hda1

Substitua /dev/hda1 pela partição correta no seu HD. Responda “sim”, “yes” ou “y” para todas as perguntas (ou é claro, use “fsck.ext3 -y“) e quando terminar reinicialize o micro com reboot e pronto.

Recomendação: não execute o comando fsck em partição montada.

Instalação e configuração do rsnapshot.

Na máquina que vai guardar o backup de outras máquinas:

apt-get install rsnapshot gcc rsync

Instalar também o rsync nas máquinas que serão backupeadas

apt-get install rsync

Na máquina de backup, configurar o arquivo /etc/rsnapshot.conf. Recomendo utilizar o arquivo em anexo como base.

No fim do arquivo, colocar as regras para a máquina de backup copiar os arquivos das outras máquinas, como por exemplo:

#Apollo (repositorio)
backup  root@192.168.20.6:/etc          apollo/
backup  root@192.168.20.6:/var/log      apollo/
backup  root@192.168.20.6:/var/www      apollo/
backup  root@192.168.20.6:/root         apollo/

Assim, na máquina de backup, dentro do diretório raiz de backup (no caso /media/hd/backup) serão criados outros subdiretório (daily.0, daily.1, weekly.0, monthly.0 etc.), e dentro deles terá o diretório apollo, contendo os diretórios escolhidos para serem copiados.

Importante! Não esquecer de fazer com que a máquina de backup possa acessar as outras máquinas via chave SSH. Caso o rsnapshot use o usuário root para logar, então o usuário root deve poder autenticar nas outras máquinas pela chave.

Também não esquecer de utilizar o comando “rsnapshot configtest”, toda vez que o arquivo de configuração for alterado. Assim se garante que a sintaxe dele está ok.

O problema mais comum é esquecer que nas regras os parâmetros são separados por tabulação. Se forem utilizados espaços, o backup não vai rodar, acusando erro de sintaxe.

Criar o arquivo /etc/cron.d/rsnapshot, para o cron rodar o backup todos os dias. Segue o conteúdo do arquivo:

00 22   * * *           root    /usr/bin/rsnapshot daily 2>&1 | rsnapreport.pl | mail -s "Backup Report" adisson@airesoliveira.com
00 20   * * 1           root    /usr/bin/rsnapshot weekly
00 23   1 * *           root    /usr/bin/rsnapshot monthly

Colocar o arquivo rsnapreport.pl, que está em anexo, no diretório /usr/bin/. Essa ferramenta formata o relatório do backup, sendo possível mandar por email.

http://www.airesoliveira.com/rsnapreport.pl

http://www.airesoliveira.com/rsnapshot.conf