ATENÇÃO PARA FUNCIONAR CORRETAMENTE SEU SISTEMA HOSPEDEIRO (HOST) DEVE ESTAR COM O SECUREBOOT DESATIVADO!

Para a instalação do Virtualbox no Fedora, é necessário estar com o repositório do rpmfusion-free instalado. Caso não esteja, digite o comando abaixo no konsole para adiciona-lo.

sudo dnf install https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm

No mesmo konsole, digite o comando abaixo:

sudo dnf install VirtualBox.x86_64

Digite "s" para confirmar a instalação e aguarde.

Após a instalação, digite no konsole ou no menu iniciar, Virtualbox.

Selecione "Novo"

Digite o nome do sistema que pretende instalar, no meu caso "Fedora 31". Depois "Próximo"

Informe quanto de memória quer utilizar. Coloquei 4gb.

Como não tenho nenhum disco no momento, então deixei a opção padrão, como mostra a imagem abaixo. Depois, clique em "Criar".

Mantive como padrão também o VDI. Depois clique em "Próximo".

Quero já o espaço dinâmico. Clique depois em "Próximo".

Esta tela, te informa o arquivo que será criado para a sua maquina virtual. No meu caso .vdi. Aumentei o espaço do disco para 30gb. Clique em "Criar"

Clique em "Configurações"

Clique em "Armazenamento"

Logo depois em "Vazio". Clique no disco "azul" e "Escolher uma Imagem do Disco". Procure pela sua iso em seu disco rígido e clique em "Ok"

Selecionei a imagem do Fedora 31. Logo depois, clique em "Ok"

Na tela principal, é somente clicar em "Iniciar"

Na próxima tela, deixe como esta e clique em "Iniciar"

==================================

Algumas observações finais

Hoje em dia alguns sistemas estão deixando de lado o suporte à instalação em modo bios legacy, assim é bom pensar na opção de instalar suas VMs usando a opção EFI habilitada

Caso aparece esta tela abaixo logo após sua primeira instalação do virtualBox seguindo esse tutorial, é sinal que ou você não reiniciou sua máquina após a instalação do programa ou ainda está com o secure boot habilitado

Mesma instalação da imagem anterior, mas dessa vez com secureboot desligado

Pra começar vamos iniciar a instalação do Fedora Server 32

Bora lá

Escolha o idioma que desejar , no caso vou em Português do Brasil

Vamos particionar nosso disco

Vá em "Destino de Instalação "
Após marque a opção "Personalizada" e click em "Pronto" bem a acima

Selecione o ponto de Montagem pra usar o esquema de particionamento no seguinte :
" Partição Padrão "

E Vamos Criar o nosso particionamento

Criamos uma Partição /boot com 500MB

Sempre é criar o sistema de arquivos em xfs eu sempre uso ext4 , só alterar
e escolher a seu gosto

Vamos adicionar o / com 50GB

Eu sempre gosto de usar sistema de arquivos em ext4 , mas tu podes usar da sua preferencia

Vamos adicionar uma partição para os backups com 450GB
no caso vamos criar um /backup

bom ele não criou do tamanho que eu gostaria

Vamos ajustar o sistema de arquivos e a Capacidade que desejamos

só clickar no sinal de mais ( + ) que ele atualiza pra ti

E por ultimo a partição swap

Bom nesse caso não precisa definir a capacidade , deixa em branco pra usar toda a capacidade de sobrou

Pronto , e nosso layout de particionamento esta pronto

Agora vamos para a configuração de rede Vá em
"Rede & nome de host"

Vá em configurar , onde vamos definir um endereço ip fixo , servidor sempre é recomendável ter um endereço ip fixo

Vá na guia "Configuração IPv4" selecione "Método" para Manual
e adicione o endereço ip e dns como mostra a imagem a baixo

e click em salvar

Agora juste no nome do seu servidor e click em "Aplicar"

No menu principal vá em "Configuração do Usuário"
Vamos definir a senha de root

Como é um servidor de backup eu sempre uso o usuário root

e Pronto

só iniciar a instalação

Após finalizar a instalação só reiniciar e pronto
já podes logar , temos a alternativa de usar o console , conectar via ssh ou melhor ainda podemos acessar via web o nosso servidor

Agora vamos logar no servidor , eu vou usar via interface web
acesso pelo endereço
http://:9090

Vamos acessar agora o terminal

Bom podemos agora efetuar tudo no terminal , vamos lá

Primeira coisa vamos efetuar o update do Fedora

# dnf update -y

antes de reiniciar caso não saiba usar o SELinux , podes desativar

# vim /etc/selinux/config

e Mude

de SELINUX=enforcing

Para SELINUX=disabled

só reiniciar o Servidor agora .

Bom Vamos inciar a instalação do bacula onde vamos instalar a útima versão que no caso vamos baixar o código fonte e compilar o bacula

Vamos desativar o firewalld . caso saiba usar pode usar sem problemas

# systemctl stop firewalld

# systemctl disable firewalld

Vamos instalar os pacotes para compilar o bacula

# dnf install vim make gcc gcc-c++ openssl-devel perl \
mc mtx readline-devel lzop lzo lzo-devel zlib-devel \
sudo gawk gdb libacl-devel lsscsi drpm wget -y

Vamos instalar agora o banco de dados MariaDB , tu podes usar o Postgresql se desejar

# dnf install mariadb-server mariadb-devel mariadb-server-utils \
 mariadb-embedded -y

Agora vamos iniciar o serviço do Mariadb e ativar na inicialização

# systemctl start mariadb.service
# systemctl enable mariadb.service

Vamos definir a senha de root , desativar usuário anonimo

Execute o comando

# mysql_secure_installation

e Vá respondendo Y ou N

# mysql_secure_installation

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB
      SERVERS IN PRODUCTION USE!  PLEASE READ EACH STEP CAREFULLY!

In order to log into MariaDB to secure it, we'll need the current
password for the root user. If you've just installed MariaDB, and
haven't set the root password yet, you should just press enter here.

Enter current password for root (enter for none): 
OK, successfully used password, moving on...

Setting the root password or using the unix_socket ensures that nobody
can log into the MariaDB root user without the proper authorisation.

You already have your root account protected, so you can safely answer 'n'.

Switch to unix_socket authentication [Y/n] Y
Enabled successfully!
Reloading privilege tables..
 ... Success!


You already have your root account protected, so you can safely answer 'n'.

Change the root password? [Y/n] Y
New password: 
Re-enter new password: 
Password updated successfully!
Reloading privilege tables..
 ... Success!


By default, a MariaDB installation has an anonymous user, allowing anyone
to log into MariaDB without having to have a user account created for
them.  This is intended only for testing, and to make the installation
go a bit smoother.  You should remove them before moving into a
production environment.

Remove anonymous users? [Y/n] Y
 ... Success!

Normally, root should only be allowed to connect from 'localhost'.  This
ensures that someone cannot guess at the root password from the network.

Disallow root login remotely? [Y/n] n
 ... skipping.

By default, MariaDB comes with a database named 'test' that anyone can
access.  This is also intended only for testing, and should be removed
before moving into a production environment.

Remove test database and access to it? [Y/n] Y
 - Dropping test database...
 ... Success!
 - Removing privileges on test database...
 ... Success!

Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.

Reload privilege tables now? [Y/n] Y
 ... Success!

Cleaning up...

All done!  If you've completed all of the above steps, your MariaDB
installation should now be secure.

Thanks for using MariaDB!

Vamos baixar a última versão do bacula que no caso é a versão 9.6.3

# wget --no-check-certificate 
https://sourceforge.net/projects/bacula/files/bacula/9.6.3/bacula-9.6.3.tar.gz

Descompacte e acesse o diretório:

# tar xvzf bacula-9.6.3.tar.gz
# cd bacula-9.6.3

Agora vamos para os comandos de compilação
onde já podemos definir o usuário do banco e também a senha, diretório onde irá ficar as conf do Bacula, plugins etc.

# ./configure --enable-smartalloc --with-mysql --with-db-user=root --with-db-password=fedora --with-db-port=3306 --with-openssl --with-readline=/usr/include/readline --sysconfdir=/etc/bacula --bindir=/usr/bin --sbindir=/usr/sbin --with-scriptdir=/etc/bacula/scripts --with-plugindir=/etc/bacula/plugins --with-pid-dir=/var/run --with-subsys-dir=/etc/bacula/working --with-working-dir=/etc/bacula/working --with-bsrdir=/etc/bacula/bootstrap --with-systemd --disable-conio --disable-nls --with-logdir=/var/log/bacula

# make -j 8

# make install

Acesse o diretório de scripts do Bacula pra configurar o banco de dados:

# cd /etc/bacula/scripts

E execute os scripts:

# ./create_mysql_database -u root -p
# ./make_mysql_tables -u root -p
# ./grant_mysql_privileges -u root -p

inicia o bacula

# bacula start

só digitar bconsole

# bconsole

Feito agora esta instalado o bacula no fedora

Vamos instalar o bacula-gui , uma versão web e vamos instalar via repositório mesmo

Importe a chave

# rpm --import http://bacula.org/downloads/baculum/baculum.pub

Vamos adicionar o repositório

echo "
[baculumrepo]
name=Baculum Fedora repository
baseurl=http://bacula.org/downloads/baculum/stable/fedora
gpgcheck=1
enabled=1" > /etc/yum.repos.d/baculum.repo

Vamos instalar

# dnf install baculum-common baculum-api baculum-api-httpd baculum-web baculum-web-httpd

Vamos adicionar o arquivo baculum no sudoers

echo "Defaults:apache "'!'"requiretty
apache  ALL=NOPASSWD:  /usr/sbin/bconsole
apache  ALL=NOPASSWD:  /usr/sbin/bdirjson
apache  ALL=NOPASSWD:  /usr/sbin/bsdjson
apache  ALL=NOPASSWD:  /usr/sbin/bfdjson
apache  ALL=NOPASSWD:  /usr/sbin/bbconsjson" > /etc/sudoers.d/baculum

Inicia o apache e ative na inicialização

# systemctl start httpd
# systemctl enable httpd

Primeiro configure a API através da URL http://:9096/ (admin, admin). É possível utilizar o idioma Português e testar cada uma das configurações feitas. Será definida uma credencial exclusiva de acesso à API (usuário e senha ou oauth), de acordo com as telas seguintes.

Então, acesse a interface Baculum (http://localhost:9095/ – admin, admin) e configure também o idioma, acesso ao banco de dados do Bacula, à API Baculum e credencial da Interface Baculum, conforme a seguir:

Pronto , podes administrar pela web

Guia de referencia :
bacula.lat/

Security Enhanced Linux ou SELinux é um mecanismo avançado de controle de acesso integrado na maioria das distribuições Linux modernas. Foi desenvolvido inicialmente pela Agência de Segurança Nacional dos EUA para proteger os sistemas de computador contra invasões e adulterações maliciosas. Com o tempo, o SELinux foi lançado em domínio público e várias distribuições o incorporaram em seu código.

Muitos administradores de sistemas consideram o SELinux um território um pouco desconhecido. O tópico pode parecer assustador e às vezes bastante confuso. No entanto, um sistema SELinux configurado corretamente pode reduzir muito os riscos de segurança, e saber um pouco sobre isso pode ajudá-lo a solucionar mensagens de erro relacionadas ao acesso. Neste tutorial vamos aprender sobre os conceitos por trás do SELinux - seus pacotes, comandos e arquivos de configuração - e as mensagens de erro que ele registra quando o acesso é negado. Também veremos alguns exemplos práticos de colocar o SELinux em ação.

Ambiente:
Para este laboratório foi utilizado 1 host, denominado de server01, com utilização do Apache para as devidas liberações.

Descrição dos servidores:
Server01:
Sistema Operacional : CentOS 7
Hostname : server01.fedorabr.lab
IP : 192.168.122.150/24

Neste tutorial, estaremos executando os comandos como o usuário root, a menos que seja indicado o contrário. Se você não tiver acesso à conta root e usar outra conta com privilégios sudo, precisará preceder os comandos com “sudo -” digitando seu password.

Por que o SELinux

Antes de começarmos, vamos entender alguns conceitos.

O SELinux implementa o que é conhecido como MAC (Mandatory Access Control / Controle de Acesso Obrigatório). Isto é implementado em cima do que já está presente em todas as distribuições Linux, o DAC (Discretionary Access Contro / Controle de Acesso Discricionáriol).

Para entender o DAC, vamos primeiro considerar como a segurança tradicional de arquivos do Linux funciona.

Em um modelo de segurança tradicional, temos três entidades: Usuário, Grupo e Outros (u, g, o) que podem ter uma combinação de permissões de Leitura, Gravação e Execução (r,w,x) em um arquivo ou diretório. Se o usuário “chico” criar um arquivo em seu diretório pessoal, esse usuário terá acesso de leitura/gravação a ele e, assim, o grupo “chico”. Uma "outra" entidade possivelmente não terá acesso a ela. No bloco de código a seguir, podemos considerar o conteúdo hipotético do diretório inicial de “chico”.

Você não precisa configurar este usuário “chico” - nós estaremos configurando muitos usuários mais tarde no tutorial.

Executando um comando como este:

[root@server01 ~]# ls -l /home/chico/

pode mostrar a saída como o seguinte:

total 0
-rw-r--r--. 1 root root 0 Mai  3 13:06 arquivo

Agora jo pode alterar esse acesso. chico pode conceder (e restringir) o acesso a este arquivo para outros usuários e grupos ou alterar o proprietário do arquivo. Essas ações podem deixar arquivos críticos expostos a contas que não precisam desse acesso. chico também pode restringir para ser mais seguro, mas isso é discricionário: não há como o administrador do sistema aplicá-lo a cada arquivo no sistema.

Considere outro caso: quando um processo Linux é executado, ele pode ser executado como o usuário root ou outra conta com privilégios de superusuário. Isso significa que se um hacker toma o controle do aplicativo, ele pode usar esse aplicativo para obter acesso a qualquer recurso que a conta do usuário tenha acesso. Para processos em execução como usuário root, basicamente isso significa acesso a tudo no servidor Linux.

Pense em um cenário em que você deseja impedir que os usuários executem scripts de shell de seus diretórios iniciais. Isso pode acontecer quando você tem desenvolvedores trabalhando em um sistema de produção. Você gostaria que eles visualizassem arquivos de log, mas você não quer que eles usem su ou sudo para comandos, e você não quer que eles executem quaisquer scripts de seus diretórios pessoais. Como você faz isso?

O SELinux é uma maneira de ajustar esses requisitos de controle de acesso. Com o SELinux, você pode definir o que um usuário ou processo pode fazer. Ele confina cada processo a seu próprio domínio para que o processo possa interagir apenas com determinados tipos de arquivos e outros processos dos domínios permitidos. Isso impede que um hacker sequestre qualquer processo para obter acesso ao sistema.

Configurando um sistema de teste

Para nos ajudar a aprender os conceitos, construiremos um servidor de teste executando tanto um servidor web quanto um servidor SFTP. Vamos começar com uma instalação simples do CentOS 7 com o mínimo de pacotes instalados e instalar os daemons Apache e vsftp nesse servidor. No entanto, não iremos configurar nenhum desses aplicativos.

Também criaremos algumas contas de usuário de teste no nosso servidor. Usaremos essas contas em lugares diferentes ao longo do tutorial.

Finalmente, instalaremos os pacotes relacionados ao SELinux necessários. Isso é para garantir que possamos trabalhar com os comandos mais recentes do SELinux.

Instalando os serviços Apache e SFTP

Primeiro, vamos efetuar login no servidor como usuário root e executar o seguinte comando para instalar o Apache:

[root@server01 ~]# yum install httpd

A saída mostrará o pacote que está sendo baixado e pedirá permissão para instalar:

Dependências resolvidas

==============================================================================================================================================================================
 Package                                   Arq.                                 Versão                                            Repo                                   Tam.
==============================================================================================================================================================================
Instalando:
 httpd                                     x86_64                               2.4.6-89.el7.centos                               updates                               2.7 M
Atualizando para as dependências:
 httpd-tools                               x86_64                               2.4.6-89.el7.centos                               updates                                90 k

Resumo da transação
==============================================================================================================================================================================
Instalar  1 Package
Upgrade              ( 1 Dependent package)

Tamanho total do download: 2.8 M
Is this ok [y/d/N]: y
Downloading packages:
Delta RPMs disabled because /usr/bin/applydeltarpm not installed.
(1/2): httpd-tools-2.4.6-89.el7.centos.x86_64.rpm                                                                                                      |  90 kB  00:00:00     
(2/2): httpd-2.4.6-89.el7.centos.x86_64.rpm                                                                                                            | 2.7 MB  00:00:00     
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Total                                                                                                                                         5.5 MB/s | 2.8 MB  00:00:00     
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Atualizando  : httpd-tools-2.4.6-89.el7.centos.x86_64                                                                                                                   1/3 
  Instalando   : httpd-2.4.6-89.el7.centos.x86_64                                                                                                                         2/3 
  Limpeza      : httpd-tools-2.4.6-88.el7.centos.x86_64                                                                                                                   3/3 
  Verifying    : httpd-tools-2.4.6-89.el7.centos.x86_64                                                                                                                   1/3 
  Verifying    : httpd-2.4.6-89.el7.centos.x86_64                                                                                                                         2/3 
  Verifying    : httpd-tools-2.4.6-88.el7.centos.x86_64                                                                                                                   3/3 

Instalados:
  httpd.x86_64 0:2.4.6-89.el7.centos                                                                                                                                          

Dependência(s) atualizada(s):
  httpd-tools.x86_64 0:2.4.6-89.el7.centos                                                                                                                                    

Concluído!

Inicie o daemon manualmente e deixe configurado para iniciarlizar juntamento com o SO:

[root@server01 ~]# systemctl start httpd
[root@server01 ~]# systemctl enable httpd
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.

A execução do systemctl status httpd.service o comando mostrará que o serviço está agora em execução:

[root@server01 ~]# systemctl status httpd
● httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
   Active: active (running) since Sex 2019-05-17 16:15:38 -03; 1min 13s ago
     Docs: man:httpd(8)
           man:apachectl(8)
 Main PID: 4090 (httpd)
   Status: "Total requests: 0; Current requests/sec: 0; Current traffic:   0 B/sec"
   CGroup: /system.slice/httpd.service
           ├─4090 /usr/sbin/httpd -DFOREGROUND
           ├─4091 /usr/sbin/httpd -DFOREGROUND
           ├─4092 /usr/sbin/httpd -DFOREGROUND
           ├─4093 /usr/sbin/httpd -DFOREGROUND
           ├─4094 /usr/sbin/httpd -DFOREGROUND
           └─4095 /usr/sbin/httpd -DFOREGROUND

Mai 17 16:15:37 server01.fedorabr.lab systemd[1]: Starting The Apache HTTP Server...
Mai 17 16:15:38 server01.fedorabr.lab systemd[1]: Started The Apache HTTP Server.


...
…

Em seguida, instalaremos o vsftp:

[root@server01 ~]# yum install -y vsftpd

A saída deve ser semelhante ao seguinte:

Plugins carregados: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.ufes.br
 * extras: centos.ufes.br
 * updates: centos.ufes.br
Resolvendo dependências
--> Executando verificação da transação
---> O pacote vsftpd.x86_64 0:3.0.2-25.el7 será instalado
--> Resolução de dependências finalizada
Dependências resolvidas
==============================================================================================================================================================================
 Package                                 Arq.                                    Versão                                           Repo                                   Tam.
==============================================================================================================================================================================
Instalando:
 vsftpd                                  x86_64                                  3.0.2-25.el7                                     base                                  171 k
Resumo da transação
==============================================================================================================================================================================
Instalar  1 Package
Tamanho total do download: 171 k
Tamanho depois de instalado: 353 k
Downloading packages:
vsftpd-3.0.2-25.el7.x86_64.rpm                                                                                                                         | 171 kB  00:00:00     
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Instalando   : vsftpd-3.0.2-25.el7.x86_64                                                                                                                               1/1 
  Verifying    : vsftpd-3.0.2-25.el7.x86_64                                                                                                                               1/1 
Instalados:
  vsftpd.x86_64 0:3.0.2-25.el7                                                                                                                                                 
Concluído!

Em seguida, usaremos o systemctl start vsftpd.service para iniciar o daemon vsftpd e enable para habilitar na inicialização do SO. A saída deve mostrar algo como o seguinte:

[root@server01 ~]# systemctl start vsftpd.service

[root@server01 ~]# systemctl enable vsftpd.service
Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.

[root@server01 ~]# systemctl status vsftpd.service
● vsftpd.service - Vsftpd ftp daemon
   Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; disabled; vendor preset: disabled)
   Active: active (running) since Sex 2019-05-17 16:21:11 -03; 5s ago
  Process: 4153 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)
 Main PID: 4154 (vsftpd)
   CGroup: /system.slice/vsftpd.service
           └─4154 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

Mai 17 16:21:11 server01.fedorabr.lab systemd[1]: Starting Vsftpd ftp daemon...
Mai 17 16:21:11 server01.fedorabr.lab systemd[1]: Started Vsftpd ftp daemon.

Instalando Pacotes SELinux

Vários pacotes são usados ​​no SELinux. Alguns são instalados por padrão. Aqui está uma lista de distribuições baseadas no Red Hat:

• policycoreutils (fornece utilitários para gerenciar o SELinux)

• policycoreutils-python (fornece utilitários para gerenciar o SELinux)

• selinux-policy (fornece a política de referência do SELinux)

• selinux-policy-targeted (fornece diretiva segmentada do SELinux)

• libselinux-utils (fornece algumas ferramentas para gerenciar o SELinux)

• setroubleshoot-server (fornece ferramentas para decifrar mensagens de log de auditoria)

• setools (fornece ferramentas para monitoramento de log de auditoria, política de consulta e gerenciamento de contexto de arquivo)

• setools-console (fornece ferramentas para monitoramento de log de auditoria, política de consulta e gerenciamento de contexto de arquivo)

• mcstrans (ferramentas para traduzir diferentes níveis para um formato fácil de entender)

Alguns deles já estão instalados. Para verificar quais pacotes do SELinux estão instalados no seu sistema CentOS 7, você pode executar alguns comandos como o abaixo (com diferentes termos de pesquisa após grep) como o usuário root:

[root@server01 ~]# rpm -qa | grep selinux

A saída deve ser algo como isto:

selinux-policy-targeted-3.13.1-229.el7_6.9.noarch
libselinux-python-2.5-14.1.el7.x86_64
libselinux-utils-2.5-14.1.el7.x86_64
libselinux-2.5-14.1.el7.x86_64
selinux-policy-3.13.1-229.el7_6.9.noarch

Você pode ir em frente e instalar todos os pacotes com o comando abaixo (yum apenas atualizará qualquer um que você já tenha), ou apenas aqueles que você achar que faltam no seu sistema:

yum install policycoreutils policycoreutils-python selinux-policy selinux-policy-targeted libselinux-utils setroubleshoot-server setools setools-console mcstrans

Agora devemos ter um sistema carregado com todos os pacotes do SELinux. Também temos servidores Apache e SFTP em execução com suas configurações padrão. Também temos quatro contas de usuário regulares prontas para serem testadas, além da conta raiz .

Modos SELinux

É hora de começar a brincar com o SELinux, então vamos começar com os modos SELinux. A qualquer momento, o SELinux pode estar em qualquer um dos três modos possíveis:

• Enforcing
• Permissive
• Disabled

No modo enforcing, o SELinux reforçará sua política no sistema Linux e garantirá que todas as tentativas de acesso não autorizadas por usuários e processos sejam negadas. As negações de acesso também são gravadas em arquivos de log relevantes. Nós falaremos sobre as políticas do SELinux e os registros de auditoria mais tarde.

O modo permissive é como um estado semi-ativado. O SELinux não aplica sua política no modo permissivo, portanto, nenhum acesso é negado. No entanto, qualquer violação de política ainda é registrada nos logs de auditoria. É uma ótima maneira de testar o SELinux antes de aplicá-lo.

O modo disabled é auto-explicativo - o sistema não será executado com segurança aprimorada.

Verificando os modos e status do SELinux

Podemos executar o getenforce comando para verificar o atual modo SELinux.

[root@server01 ~]# getenforce

O SELinux deve estar atualmente no modo inforcing, então a saída ficará assim:

enforcing

Nós também podemos executar o sestatus comando:

[root@server01 ~]# sestatus

Quando o SELinux está habilitado, a saída mostrará:

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      31

Arquivo de Configuração do SELinux

O arquivo de configuração principal do SELinux é o /etc/selinux/config. Podemos executar o seguinte comando para visualizar seu conteúdo:

[root@server01 ~]# cat /etc/selinux/config

A saída será algo como isto:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted 

Existem duas diretivas neste arquivo. A diretiva SELINUX dita o modo SELinux e pode ter três valores possíveis como discutimos anteriormente.

A diretiva SELINUXTYPE determina a diretiva que será usada. O valor padrão é targeted. Com uma política direcionada, o SELinux permite personalizar e ajustar as permissões de controle de acesso. O outro valor possível é "MLS" (segurança multinível), um modo avançado de proteção. Também com o MLS, você precisa instalar um pacote adicional.

Ativando e Desativando o SELinux

Ativar o SELinux é bastante simples; mas, ao contrário de desativá-lo, deve ser feito em um processo de duas etapas. Assumimos que o SELinux está atualmente desativado e que você instalou todos os pacotes do SELinux da seção anterior.

Como primeiro passo, precisamos editar o /etc/selinux/config arquivo para alterar a diretiva SELINUX para o modo permissivo.

[root@server01 ~]# vim /etc/sysconfig/selinux

...
SELINUX=permissive
...

Definir o status como permissivo primeiro é necessário porque cada arquivo no sistema precisa ter seu contexto rotulado antes que o SELinux possa ser aplicado. A menos que todos os arquivos sejam adequadamente rotulados, os processos em execução em domínios confinados podem falhar porque não podem acessar arquivos com os contextos corretos. Isso pode fazer com que o processo de inicialização falhe ou inicie com erros. Introduziremos contextos e domínios mais adiante no tutorial.

Agora, emita uma reinicialização do sistema:

[root@server01 ~]# reboot

O processo de reinicialização verá todos os arquivos no servidor rotulados com um contexto SELinux. Como o sistema está sendo executado no modo permissivo, os erros do SELinux e as negações de acesso serão reportados, mas não parará nada.

Faça o login no seu servidor novamente como root . Em seguida, procure a string "SELinux está impedindo" do conteúdo do arquivo /var/log/messages.

[root@server01 ~]# cat /var/log/messages | grep "SELinux is preventing"

Se não houver erros relatados, podemos passar com segurança para a próxima etapa. No entanto, ainda seria uma boa idéia procurar texto contendo "SELinux" no arquivo /var/log/messages. Em nosso sistema, nós executamos o seguinte comando:

[root@server01 ~]# cat /var/log/messages | grep "SELinux"

Isso mostrou algumas mensagens relacionadas ao Kernel:

May 17 16:02:58 server01 kernel: SELinux:  Initializing.
May 17 16:03:02 server01 kernel: SELinux:  Class bpf not defined in policy.
May 17 16:03:02 server01 kernel: SELinux: the above unknown classes and permissions will be allowed
May 17 16:03:02 server01 systemd[1]: Successfully loaded SELinux policy in 167.634ms.
May 17 16:26:56 server01 kernel: SELinux:  Class bpf not defined in policy.
May 17 16:26:56 server01 kernel: SELinux: the above unknown classes and permissions will be allowed

Na segunda fase, precisamos editar o arquivo de configuração para alterar a directiva SELINUX para inforcing para aplicação no arquivo /etc/sysconfig/selinux:

...
SELINUX=enforcing
…

Em seguida, reinicie o servidor novamente.

[root@server01 ~]# reboot

Quando o servidor estiver on-line novamente, podemos executar o comando sestatus para verificar o status do SELinux. Agora deve mostrar mais detalhes sobre o servidor:

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          error (Success)
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      31

Verificando os modos e status do SELinux (novamente)

Podemos executar o comando getenforce para verificar o atual modo SELinux.

[root@server01 ~]# getenforce

Se o nosso sistema estiver executando no modo enforcing, a saída ficará assim:

Enforcing

A saída será diferente se o SELinux estiver desativado:

Disabled

Podemos também executar o comando sestatus para obter uma imagem melhor.

[root@server01 ~]# sestatus

Se o SELinux não estiver desativado, a saída mostrará seu status atual, seu modo atual, o modo definido no arquivo de configuração e o tipo de política.

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

Quando o SELinux está desativado, a saída mostrará:

SELinux status:        disabled

Também podemos alternar temporariamente entre os modos enforcing e permissive usando o comando setenforce. (Note que não podemos correr setenforce quando o SELinux está desativado.)

Primeiro mude o modo SELinux para permissivo em nosso sistema CentOS 7:

setenforce permissive

A execução do comando sestatus agora mostra que o modo atual é diferente do modo definido no arquivo de configuração:

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      31

Volte a aplicar :

setenforce enforcing

Política de SELinux

No coração do mecanismo de segurança do SELinux está sua política . Uma política é o que o nome implica: um conjunto de regras que definem os direitos de segurança e acesso para tudo no sistema. E quando dizemos tudo , queremos dizer usuários, funções, processos e arquivos. A política define como cada uma dessas entidades está relacionada entre si.

Alguma terminologia básica

Para entender a política, temos que aprender alguma terminologia básica. Nós entraremos nos detalhes mais tarde, mas aqui está uma breve introdução. Uma política do SELinux define o acesso do usuário a funções, acesso a funções a domínios e acesso ao domínio a tipos.

**Users **

O SELinux tem um conjunto de usuários pré-construídos. Toda conta de usuário regular do Linux é mapeada para um ou mais usuários do SELinux.
No Linux, um usuário executa um processo. Isso pode ser tão simples quanto o usuário chico abrindo um documento no editor vi (será a conta de chico executando o processo vi) ou uma conta de serviço executando o daemon httpd. No mundo do SELinux, um processo (um daemon ou um programa em execução) é chamado de subject.

Roles

Uma função é como um gateway que fica entre um usuário e um processo. Uma função define quais usuários podem acessar esse processo. As funções não são como grupos, mas mais como filtros: um usuário pode entrar ou assumir uma função a qualquer momento, desde que a função conceda isso. A definição de uma função na política do SELinux define quais usuários têm acesso a essa função. Também define a quais domínios de processo a função em si tem acesso. As funções entram em ação porque parte do SELinux implementa o que é conhecido como RBAC ( Role Based Access Control ).

Subjects e Objects

Um assunto é um processo e pode potencialmente afetar um objeto .
Um objeto no SELinux é qualquer coisa que possa ser usada. Isso pode ser um arquivo, um diretório, uma porta, um soquete TCP, o cursor ou talvez um servidor X. As ações que um sujeito pode executar em um objeto são as permissões do sujeito .

Domains para Subjects

Um domínio é o contexto dentro do qual um sujeito (processo) do SELinux pode ser executado. Esse contexto é como um invólucro em torno do assunto. Diz ao processo o que pode e não pode fazer. Por exemplo, o domínio definirá quais arquivos, diretórios, links, dispositivos ou portas estão acessíveis ao assunto.

Types para Objects

Um tipo é o contexto para o contexto de um arquivo que estipula o propósito do arquivo. Por exemplo, o contexto de um arquivo pode ditar que é uma página da Web ou que o arquivo pertence ao diretório /etc ou que o proprietário do arquivo é um usuário específico do SELinux. O contexto de um arquivo é chamado seu tipo na linguagem do SELinux.

Então, qual é a política do SELinux?

A política do SELinux define o acesso do usuário a funções, acesso a funções a domínios e acesso ao domínio a tipos. Primeiro, o usuário precisa estar autorizado a entrar em uma função e, em seguida, a função precisa ser autorizada para acessar o domínio. O domínio, por sua vez, é restrito para acessar apenas determinados tipos de arquivos.

A política em si é um monte de regras que dizem que os possíveis usuários podem assumir apenas funções de fulano, e essas funções serão autorizadas a acessar apenas domínios fulanos. Os domínios, por sua vez, podem acessar apenas os tipos de arquivos do tipo "so-and-so".

Dica de terminologia: O último bit, em que um processo em execução em um determinado domínio pode executar apenas determinadas operações em determinados tipos de objetos, é chamado de aplicação de tipo (TE).

Voltando ao tópico das políticas, as implementações de políticas do SELinux também são geralmente segmentadas por padrão. Se você se lembrar do arquivo de configuração do SELinux que vimos antes, a diretiva SELINUXTYPE está configurada para ser targeted. O que isto significa é que, por padrão, o SELinux irá restringir apenas certos processos no sistema (ou seja, apenas determinados processos são direcionados). Os que não são segmentados serão executados em domínios não delimitados.

A alternativa é um modelo de negação por padrão, em que todo acesso é negado, a menos que seja aprovado pela política. Seria uma implementação muito segura, mas isso também significa que os desenvolvedores precisam antecipar cada permissão possível que cada processo pode precisar em cada objeto possível. O comportamento padrão vê o SELinux preocupado apenas com determinados processos.

Comportamento da Política do SELinux

A política do SELinux não é algo que substitua a segurança tradicional do DAC. Se uma regra do DAC proibir o acesso de um usuário a um arquivo, as regras de política do SELinux não serão avaliadas porque a primeira linha de defesa já bloqueou o acesso. As decisões de segurança do SELinux entram em ação após a segurança do DAC ter sido avaliada.

Quando um sistema habilitado para o SELinux é iniciado, a política é carregada na memória. A política do SELinux vem em formato modular, muito parecida com os módulos do kernel carregados no momento da inicialização. E assim como os módulos do kernel, eles podem ser adicionados dinamicamente e removidos da memória no tempo de execução. O repositório de políticas usado pelo SELinux rastreia os módulos que foram carregados. O comando sestatus mostra o nome do armazenamento de políticas. O comando semodule -l lista os módulos de política do SELinux atualmente carregados na memória.

Para ter uma ideia disso, vamos executar o comando semodule:

[root@server01 ~]# semodule -l | less 

A saída será algo como isto:

aiccu   1.1.0
aide    1.7.1
ajaxterm        1.0.0
alsa    1.12.2
amanda  1.15.0
amtu    1.3.0
anaconda        1.7.0
antivirus       1.0.0
apache  2.7.2
apcupsd 1.9.0
apm     1.12.0
application     1.2.0
arpwatch        1.11.0
asterisk        1.12.1
auditadm        2.2.0
authconfig      1.0.0
authlogin       2.5.1
automount       1.14.1
avahi   1.14.1
awstats 1.5.0
bacula  1.2.0
base    (null)
...
...

semodule pode ser usado para várias outras tarefas, como instalar, remover, recarregar, atualizar, ativar e desativar módulos de política do SELinux.

Até agora você provavelmente estaria interessado em saber onde os arquivos do módulo estão localizados. A maioria das distribuições modernas inclui versões binárias dos módulos como parte dos pacotes do SELinux. Os arquivos de políticas possuem uma extensão .pp. Para o CentOS 7, podemos executar o seguinte comando:

[root@server01 ~]# ls -l /etc/selinux/targeted/modules/active/modules/

A listagem mostra vários arquivos com a extensão .pp. Se você olhar de perto, eles estarão relacionados a diferentes aplicativos:

...
-rw-r--r--. 1 root root 10692 Aug 20 11:41 anaconda.pp
-rw-r--r--. 1 root root 11680 Aug 20 11:41 antivirus.pp
-rw-r--r--. 1 root root 24190 Aug 20 11:41 apache.pp
-rw-r--r--. 1 root root 11043 Aug 20 11:41 apcupsd.pp
...

Os aruivos .pp não são legíveis por humanos.

A maneira como a modularização do SELinux funciona é que, quando o sistema inicializa, os módulos de política são combinados no que é conhecido como política ativa . Esta política é então carregada na memória. A versão binária combinada dessa política carregada pode ser encontrada no diretório /etc/selinux/targeted/policy.

[root@server01 ~]# ls -l /etc/selinux/targeted/policy/

mostrará a política ativa.

total 3768
-rw-r--r--. 1 root root 3857954 Mai 17 16:26 policy.31

Alterando as configurações booleanas do SELinux

Embora você não possa ler os arquivos do módulo de política, há uma maneira simples de ajustar suas configurações. Isso é feito através do SELinux booleans .

Para ver como funciona, vamos executar o comando semanage boolean -l.

[root@server01 ~]# semanage boolean -l | less

Isso mostra os diferentes switches que podem ser ativados ou desativados, o que eles fazem e seus status atuais:

ftpd_use_cifs                  (desativado,desativado)  Allow ftpd to use cifs
privoxy_connect_any            (ativado,ativado)  Allow privoxy to connect any
smartmon_3ware                 (desativado,desativado)  Allow smartmon to 3ware
mpd_enable_homedirs            (desativado,desativado)  Allow mpd to enable homedirs
xdm_sysadm_login               (desativado,desativado)  Allow xdm to sysadm login
xen_use_nfs                    (desativado,desativado)  Allow xen to use nfs
mozilla_read_content           (desativado,desativado)  Allow mozilla to read content
ssh_chroot_rw_homedirs         (desativado,desativado)  Allow ssh to chroot rw homedirs
mount_anyfile                  (ativado,ativado)  Allow mount to anyfile
cron_userdomain_transition     (ativado,ativado)  Allow cron to userdomain transition
xdm_write_home                 (desativado,desativado)  Allow xdm to write home
openvpn_can_network_connect    (ativado,ativado)  Allow openvpn to can network connect
xserver_execmem                (desativado,desativado)  Allow xserver to execmem
minidlna_read_generic_user_content (desativado,desativado)  Allow minidlna to read generic user content
authlogin_nsswitch_use_ldap    (desativado,desativado)  Allow authlogin to nsswitch use ldap
gluster_anon_write             (desativado,desativado)  Allow gluster to anon write
piranha_lvs_can_network_connect (desativado,desativado)  Allow piranha to lvs can network connect

...
...   

Podemos ver que a primeira opção permite que o daemon FTP acesse os diretórios iniciais dos usuários. A configuração está desativada no momento.

Para alterar qualquer uma das configurações, podemos usar o comando setsebool. Como exemplo, vamos considerar o acesso de gravação FTP anônimo:

[root@server01 ~]# getsebool ftpd_anon_write

Isso nos mostra que o interruptor está desligado no momento:

 ftpd_anon_write --> off 

Em seguida, alteramos o booleano para ativá-lo:

[root@server01 ~]# getsebool ftpd_anon_write on

Verificar o valor novamente deve mostrar a alteração:

 ftpd_anon_write --> on 

Booleanos alterados não são permanentes. Eles revertem para seus valores antigos após uma reinicialização. Para tornar as coisas permanentes, podemos usar o comutador -P com o comando setsebool.

Conclusão

Na primeira parte deste tutorial, tentamos entender alguns conceitos básicos sobre o SELinux. Vimos como o SELinux pode proteger um sistema, como podemos ativá-lo e em que modos ele pode ser executado. Também abordamos o tópico da política do SELinux. Em seguida, aprenderemos como usar o SELinux para restringir o acesso a arquivos e processos .
Até a próxima

Fim da primeira parte...


Link para a parte 2: Introdução ao SELinux: Arquivos e Processos

Olá Folks do Fedora!

Venho neste simples tutorial ensinar a vocês como instalar e configurar o serviço COCKPIT que pode ser utilizado no Fedora Server 32 para monitoramento e containers de aplicações dentro das mais variadas versões e tipos de instalações do Fedora Server.

Será bastante útil fazer todas as etapas abaixo se a instalação de seu Fedora Server foi a mínima, pois significará nesse caso que seu Cockpit provavelmente não está instalado ou veio desconfigurado.
Então mãos a obra...

ETAPA 01 - INSTALANDO OS PACOTES.

Para tal utilize os comandos abaixo em modo root/adm:

# dnf update 
# dnf install cockpit

ETAPA 02 - CONFIGURANDO PARA HABILITAR O SERVIÇO DO COCKPIT:

Para habilitar o serviço para ser carregado na próxima vez que o sistema ou o servidor for inicializado e para iniciar o serviço de imediato use os seguintes comandos abaixo como root/adm:
Para algumas versões do fedora server pode ser um dos comandos abaixo:

# systemctl enable --now cockpit.socket
# systemctl enable --now cockpit.service
# systemctl enable --now cockpit

Em versões antigas do fedora você poderá ter problemas com o parâmetro "--NOW", nesse caso utilize o seguinte par de comandos abaixo:

# systemctl enable cockpit.socket
# systemctl start  cockpit.socket

ETAPA 03 - ADICIONANDO O SERVIÇO AO FIREWALL-D E PORTA DE ACESSO DO COCKPIT:

Se você já definiu a zona padrão de seu firewallD você agora terá que adicionar o serviço dele para liberação do firewall e a porta de acesso para poder monitorar o cockpit dentro ou fora de sua rede. Segue abaixo os comando para tal em modo root/ADM:

# firewall-cmd --add-service=cockpit
# firewall-cmd --add-service=cockpit --permanent
# firewall-cmd --add-port=9090-10000/tcp --permanent
# firewall-cmd --add-port=80/tcp --permanent

(podem aparecer avisos informando que as portas solicitadas já estejam configuradas, ignore pois ele fará a mesma configuração novamente).

ETAPA 04 - TESTANDO SE O COCKPIT ESTÁ FUNCIONANDO:

Agora para testar você apenas precisa ir para um computador de sua rede local e usar o link abaixo no navegador ...
https://nome_da_maquina_cockpit:9090
(as outras portas mostradas na etapa anterior servem para você acessar via domínio ou extranet por portas de conexão bridge ou com roteamento externo).


(aqui você poderá logar com uma conta de usuário ou com a senha root do servidor).

Lembre-se que somente funcionará adequadamente se as liberações de zonas de seu firewalld estiverem corretamente configuradas.

ETAPA 05 - INFORMAÇÕES MAIS DETALHADAS DO COCKPIT:

Outras informações de configurações internas mais detalhadas você poderá achar no link abaixo. Caso esteja em inglês você apenas manda o tradutor do navegador traduzir.

Link da documentação Oficial: https://cockpit-project.org/

Abra o konsole e digite na ordem:

sudo systemctl disable systemd-resolved.service

sudo systemctl stop systemd-resolved

rm /etc/resolv.conf

apaga o link simbólico -> s

sudo service NetworkManager restart

Fonte: https://ask.fedoraproject.org/t/systemd-resolved-not-querying-dns-server-set-by-openvpn/9696/2

_Olá Folks do Fedora._

Venho, neste longo e bem descritivo tutorial, ensinar a como instalar e configurar todo o ambiente do fedora server para trabalho e deixar os serviços principais do mesmo funcionando para estruturação posterior. Primeiro vamos a instalação tela a tela e depois seguir os passos de cada serviço e ambiente a ser instalado...

ETAPA 01 - BAIXANDO E PREPARANDO A INSTALAÇÃO DO FEDORA SERVER

Em primeiro lugar vamos baixar a imagem de imtalação do Fedora Server do endereço abaixo:

Link: https://getfedora.org/pt_BR/server/download/

Depois você deverá gravar a ISO baixada através de um dos métodos citados abaixo para uma mídia de no mínimo 2.1 GB. Usando...

• gnome-disk-utility (através de "Restaurar Imagem").
• usando do comando DD (sudo dd bs=4M if=/local_e_nome_da_iso of=/dev/sdx status=progress oflag=sync (onde x é a identificação da unidade de mídia inserida).
• usando o Fedora Media Writer (https://developers.redhat.com/blog/2016/04/26/fedora-media-writer-the-fastest-way-to-create-live-usb-boot-media/)

Depois de gravado a Mídia de Instalação você agora deve dar o boot na máquina com sua BIOS ajustada para iniciar o sistema com a mídia inserida. Isso pode ser feito pelas opções de segurança e de boot de sua bios. Não esquecendo de desativar a opção de Secure Boot em sua bios pois isso impedirá de a instalação iniciar. No caso de máquinas padrões HC e SHC (servidores dedicados) a sua Bios precisará de conhecimento técnico de suporte do fabricante pois nesses casos exige uma complexidade muito alta para configurar as BIOS desses tipos de servidores e esse é um assunto de muita demanda explicativa para ser escrito nesse tutorial. Mas vamos adiante após o início da instalação do Fedora Server, tela a tela...

ETAPA 02 - INSTALANDO E DEFININDO PRÉ-DEFINIÇÕES BÁSICAS

Na tela abaixo você deverá escolher entre ...

• Install Fedora 31 (Nesta opção abrirá a tela gráfica do anaconda de instalação do Fedora).
• Test this media & Install Fedora (aqui sua mídia de instalação será testada e logo após se iniciará a tela gráfica do anaconda para instalação).
• Troubleshooting (Aqui você poderá realizar alguns testes de mídia e na memória do computador para busca de problemas).

Após escolher a opção de Instalação do Fedora 31 aparecerá uma tela idêntica a que está abaixo onde você deverá escolher o idioma correto para visualização da instalação e ajudar o anaconda a configurar algumas opções de idioma como teclado e dependências correlacionadas.

Na lacuna inferior da tela acima você poderá localizar mais rapidamente seu idioma bastando escrever o nome de seu país ou idioma.

Na tela que seguirá abaixo você deverá especificar várias opções relativas a como o sistema deverá ser instalado.

• Keyboard / Teclado - aqui você definirá melhor o tipo de layout de idioma de seu teclado.
• Installation Source / Origem da Instalação - aqui não mexemos nessa instalação a não ser que você esteja instalando via NETINSTALL.
• Language Support / Idioma - aqui já deverá estar correto se você selecionou corretamente na tela anterior. Caso não esteja essa será a última oportunidade para escolher o idioma correto.
• Time and Date / Data e Hora - Aqui você definira o fuso horário NTP para ser configurado em seu fedora server.
• Software Selection / Seleção de Softwares e Serviços - Aqui você poderá escolher entre os diversos softwares que podem vir instalados junto com a base do sistema bastando escolher na tela abaixo o que deseja.

Recomendamos que você escolha o mínimo de componentes possíveis para que seu servidor não se torne um servidor tão pesado assim já que muitas outras coisas você irá configurar depois manualmente. A diferença principal dos dois cenários acima é que o primeiro, mesmo você não escolhendo nenhum dos componentes ele instalará a base do sistema como Server para controle de rede. Já o segundo servirá como uma instalação mais compacta e que trará mais alguns componentes para você poder fazer a personalização do sistema não como server mas como outro controlador qualquer de outro serviço da rede que você poderá configurar posteriormente à instalação.

ETAPA 03 - DEFININDO OS PARÂMETROS DE CONEXÃO DE REDE DO SERVIDOR

Network & Host / Rede e Servidor - Nas telas abaixo você deverá especificar as configurações de seus NICs (adaptadores de rede) da LAN conectados as portas de rede de seu servidor. Normalmente seguimos o seguinte plano...

• SERVIDOR DE PONTA/BRIDGE DE REDE - Configuramos apenas as Interfaces Ethernet que estarão conectadas a rede interna com IPs, DNSs, Gateways e outros endereços fixos e deixamos as conexões externas em modo DHCP Automático ou em IP Estático se assim requererem.
• SERVIDOR DE DADOS E CONTROLE INTERNO - Neste cenário configuramos os vários NICs (interfaces de rede) para usarem IPs, DNSs, Gateways e outros fixos de acordo com o mapa estrutural de acesso que sua rede exigirá para controle de firewallD / Squid / IPTABLE e Proxy.

Se você não pretende usar IPv6 em sua rede com o Fedora server recomendo você ir para a guia "Configurações IPv6" e definir como "Ignorar". Caso contrário faça o mesmo descrito nas imagens acima escolhendo os valores IPv6 de conexão corretos de sua rede.

ETAPA 04 - DEFININDO O LOCAL E PARTICIONAMENTO DA INSTALAÇÃO.

Installation Destination / Destino da Instalação - Nas tela que se seguem você deverá definir o local de armazenamento da instalação e também definir as partições/tipos/local a serem criadas no destino...

Caso você escolha o modo "Personalizado" recomendamos você seguir as instruções da tela abaixo lembrando das seguintes regras...

• Hardware de Servidores de Verdade você poderá se beneficiar dos recursos de gerenciamento de volumes LVM (Logical Volume Manager) se for um servidor com mídias de alta performance. Pois no modo LVM de particionamentos você terá maior segurança e gerenciamento para re-dividir e redimensionar as partições criadas. Existirá também o modo Light de provisionamento LVM que lhe ajudará no equilíbrio de performance de servidores mais simples.
• Crie a partição /HOME separadamente da partição Raiz.
• Crie separadamente as partições /VAR / TMP para evitar corromper a Raiz do sistema.
• Não brinque em criar SWAPFILE e sim crie uma partição SWAP na mesma medida de tamanho de sua memória RAM, pois swapfile pode ajudar a corromper a Raiz do servidor.
• No caso de usar o Fedora Server em máquinas não destinadas a tal finalidade recomenda-se usar o padrão EXT4 de partição ao invés de LVM.

Vejamos as telas baixo...

Na tela abaixo você terá um maior controle sobre o particionamento a ser realizado...

Caso você tenha escolhido um particionamento mais detalhado e avançado provavelmente você estará na tela abaixo...

RECOMENDAÇÕES DE ESQUEMAS DE PARTICIONAMENTO PARA SEU FEDORA SERVER

Procure sempre criar as partições na ordem abaixo para evitar de você ter problemas e ter maior desempenho no servidor...

Depois que tudo estiver definido vamos agora iniciar a instalação clicando no botão abaixo...

ETAPA 05 - DEFININDO USUÁRIOS PADRÕES / SUDO / ROOT E SENHAS

Após a instalação ter iniciado, o programa de instalação Anaconda abrirá uma segunda tela pedindo para você definir as senhas de usuário padrão e de root/adm para você poder logar e gerenciar o sistema conforme as telas abaixo...


Feito isso só esperar finalizar a instalação , após só clickar em "Reinicializar"

ETAPA 06 - BAIXANDO TODAS AS ATUALIZAÇÕES RESTANTES.

Depois de inicializado é importante que você baixe todas as atualizações restantes de seu fedora utilizando o seguinte comando abaixo estando logado como root/adm...

# dnf update -y

ou

# dnf upgrade -y

Depois devemos reiniciar o Fedora Server após conclusão das atualizações com um dos comandos abaixo...

# reboot

ou

# shutdown -r now

ETAPA 07 - TORNANDO A FONTE DO CONSOLE MAIOR.

Pode acontecer, dependendo da adaptabilidade de seu Fedora Server com seu monitor, da fonte de texto do Console de comandos ficar muito pequena. Se for esse seu caso vamos aprender de uma maneira fácil a como alterar o padrão de fonte para um tamanho maior...
Primeiro instale o editor padrão linux NANO caso ele não tenha vindo com o fedora usando o comando abaixo...

# dnf install nano

Depois de instalado vamos agora verificar quais fontes estão disponíveis em seu Fedora Server para podermos alterar a fonte do Console. Para isso vamos ver o conteúdo da pasta /usr/lib/kbd/consolefonts e listar seu conteúdo com os comandos...

# cd /usr/lib/kbd/consolefonts && ls

Depois que você ver a lista acima das fontes disponíveis você poderá utilizar e testar a fonte que desejar lembrando que o último par de números de cada fonte representa o tamanho de compressão de pixels do console para cada letra, sendo assim quanto maior o valor maior será a quantidade de pixels por letra.
Para testar cada arquivo de fonte da lista ignore as terminações de ponto (.) de cada modelo de fonte e usando o comando setfont escreva o título do arquivo, conforme exemplo abaixo:

# setfont lat9w-16

Para que os ajustes fiquem permanentes no sistema ou para seu usuário basta para isso incluir o comando setfont com seu respectivo arquivo de fonte ao final do arquivo oculto .BASHRC da pasta de perfil do usuário ou no arquivo /ETC/BASHRC do sistema.

ETAPA 08 - FAZENDO AJUSTES DE CORES NO CONSOLE DE SEU FEDORA SERVER.

Depois que você reiniciar seu Fedora Server e logar pela primeira vez verá que depois de rodar o comando LS perceberá que quase todas as pastas e arquivos estão na mesma cor e isso pode acontecer também quando você estiver logado como Root/ADM. Nesse caso para resolver nosso problema basta você editar com NANO os arquivos .BASHRC do perfil do usuário e descomentar as linhas com cerquilha (#) presente no início das linhas de cores do usuário. Faça a mesmo coisa no arquivo .BASHRC da pasta do perfil /ROOT e também no arquivo global /ETC/BASHRC.
Depois basta reiniciar o servidor e pronto. Agora as pastas estarão coloridas.

ETAPA 09 - GERENCIANDO O SEU FEDORA SERVER PELO COCKPIT.

Depois de tudo configurado em seu fedora server agora resta acessar ele pela rede em outro computador para fazer as implementações de serviços ou outras coisas que venham a ser acessadas e monitoradas. Mas para isso precisaremos configurar o serviço do COCKPIT. Todo o assunto relativo a configuração pode ser acessado nesse artigo bem completo na bíblia do Fedora de nossa Comunidade Fedora Brasil.
Link do Tutorial CockPit:
https://fedorabr.org/index.php?p=/discussion/381/instalando-e-configurando-o-cockpit-no-fedora-server

Muitas outras informações sobre a utilização do Fedora Server você encontrará no Link de Nossa Bíblia em ...
https://fedorabr.org/index.php?p=/discussion/294/a-biblia-do-fedora-31-em-andamento#latest

Olá Folks do Fedora!

Venho neste simples tutorial ensinar a vocês como instalar e configurar o serviço COCKPIT que pode ser utilizado no Fedora para monitoramento e containers de aplicações dentro das mais variadas versões e tipos de instalações do Fedora Server.

Será bastante útil fazer todas as etapas abaixo se a instalação de seu Fedora Server foi a mínima, pois significará nesse caso que seu Cockpit provavelmente não está instalado ou veio desconfigurado.

Então mãos a obra...

ETAPA 01 - INSTALANDO OS PACOTES.

Para tal utilize os comandos abaixo em modo root/adm:

# dnf update 
# dnf install cockpit

ETAPA 02 - CONFIGURANDO PARA HABILITAR O SERVIÇO DO COCKPIT:

Para habilitar o serviço para ser carregado na próxima vez que o sistema ou o servidor for inicializado e para iniciar o serviço de imediato use os seguintes comandos abaixo como root/adm:
Para algumas versões do fedora server pode ser um dos comandos abaixo:

# systemctl enable --now cockpit.socket
# systemctl enable --now cockpit.service
# systemctl enable --now cockpit

Em versões antigas do fedora você poderá ter problemas com o parâmetro "--NOW", nesse caso utilize o seguinte par de comandos abaixo:

# systemctl enable cockpit.socket
# systemctl start  cockpit.socket

ETAPA 03 - ADICIONANDO O SERVIÇO AO FIREWALL-D E PORTA DE ACESSO DO COCKPIT:

Se você já definiu a zona padrão de seu firewallD você agora terá que adicionar o serviço dele para liberação do firewall e a porta de acesso para poder monitorar o cockpit dentro ou fora de sua rede. Segue abaixo os comando para tal em modo root/ADM:

# firewall-cmd --add-service=cockpit
# firewall-cmd --add-service=cockpit --permanent
# firewall-cmd --add-port=9090-10000/tcp --permanent
# firewall-cmd --add-port=80/tcp --permanent

(podem aparecer avisos informando que as portas solicitadas já estejam configuradas, ignore pois ele fará a mesma configuração novamente).

ETAPA 04 - TESTANDO SE O COCKPIT ESTÁ FUNCIONANDO:

Agora para testar você apenas precisa ir para um computador de sua rede local e usar o link abaixo no navegador ...
https://nome_da_maquina_cockpit:9090
(as outras portas mostradas na etapa anterior servem para você acessar via domínio ou extranet por portas de conexão bridge ou com roteamento externo).


(aqui você poderá logar com uma conta de usuário ou com a senha root do servidor).

Lembre-se que somente funcionará adequadamente se as liberações de zonas de seu firewalld estiverem corretamente configuradas.

ETAPA 05 - INFORMAÇÕES MAIS DETALHADAS DO COCKPIT:

Outras informações de configurações internas mais detalhadas você poderá achar no link abaixo. Caso esteja em inglês você apenas manda o tradutor do navegador traduzir.

Link da documentação Oficial: https://cockpit-project.org/

ETAPA 01 - PREPARO PRÉVIO DO SERVIDOR:

Em primeiro lugar devemos ter todos os pacotes atualizados do servidor e com os serviços básicos já instalados e configurados como Samba, MYADMIN, Php, Apache (httpd) e assim por diante para quem conhece como configurar esses serviços (tais serviços serão explicados em futuros tutoriais).

ETAPA 02 - INSTALAR O AMBIENTE DE PRODUÇÃO GRÁFICO:

Nesta etapa você deverá estar logado como super-usuário e instalar o ambiente de estação de produção GNOME do fedora. Para isso use os comandos abaixo e aguarde baixar todos os pacotes e instalar (vai demorar um pouco).

dnf update -y
dnf group install workstation-product-environment

ETAPA 03 - AJUSTAR O PADRÃO DO GNOME GRÁFICO COMO PADRÃO DE AMBIENTE:

Nesta etapa você definirá que o padrão gráfico do GNOME será utilizado como padrão nas futuras sessões gráficas do sistema. Para fazer isso use o seguinte comando abaixo:

systemctl set-default graphical.target

ETAPA 04 - DEFINIR O GDM COMO PADRÃO DE LOG DO SISTEMA GRÁFICO:

Neste ponto você deverá usar o comando abaixo para ativar ou desativar o serviço do GDM para fazer o modo gráfico aparecer ou não. Na seguinte forma:

systemctl enable gdm.service
(para habilitar o modo gráfico na próxima sessão).

systemctl disable gdm.service
(para desabilitar o modo gráfico na próxima sessão).

Se você fez tudo certinho ate o momento basta reiniciar o Fedora Server e aguardar ele carregar o GDM em modo gráfico para pedir sua senha de usuário e carregar o sistema.

Forte Abraço e até mais.

Vamos lá , para esse tutorial estou usando a instalação em uma maquina virtual com KVM

Baixe o Fedora 30 Server
https://getfedora.org/pt_BR/server/download/

Inicie a máquina e já aparece as opções e selecione "Install Fedora 30"

Selecione o Idioma que desejar no caso estou usando em pt_br

Agora temos o resumo da instalação onde podemos configurar Rede , Particionamento , etc..

Vamos começar com o particionamento do disco , ao acessar ele já tem a opção de particionamento automático

Vamos fazer nosso próprio particionamento , selecione a opção Personalizado e click em "Pronto"

Agora vamos criar o nosso layout particionamento ,
Selecione Partição Padrão

Vamos adicionar um ponto de montagem , nesse exemplo estou usando somente uma partição / e uma partição swap ;
Lembrando que o particionamento faça da forma que vocês gostam ,
o recomentado é usar lvm com xfs , eu gosto de usar partição padrão sem lvm e sistema de arquivos ext4

Selecione o ponto de montagem no caso o "/" e o tamanho do mesmo
no caso estou usando 116 GB

Porém ele não adicionou o tamanho desejado , mas não tem problema podemos ajustar

Vá em "Capacidade Desejada" e ajuste o valor e também em
"Sistema do Arquivos" e ajude para o que desejar
Vá em "Atualizar configurações"

Agora Mesmo procedimento para a swap

Ajuste o tamanho e atualiza as configurações .

só clickar em "Pronto" irá aparecer o layout do particionamento
e "Aceitar Mudanças"

Vamos configurar a Rede , como o nosso Fedora será um Servidor é bom sempre definir um endereço de IP Fixo para não termos problemas de rede e conectividade com seus serviços configurados como exemplo samba, nfs , etc..

Ajuste o nome do seu servidor , no exemplo estou usando o
hostname de "fedora.server" , ao alterar só click em "Aplicar"

Ao clickar em "Configurar.." vamos para a tela de configuração de interface de rede
Vá para a aba "configurações IPv4 "
Nela esta como DHCP , vamos mudar para a opção Manual
e vamos definir um endereço de IPv4

No exemplo estou usando o endereço
IPADDR = 192.168.122.254
NETMASK = 255.255.255.0 ou somente /24
GATEWAY = 192.168.122.1
DNS = 208.67.222.222,1.1.1.1

Só ir em "Salvar" e logo após click em "Pronto"e ir em "Iniciar a Instalação "

Agora temos que definir uma senha para a conta do Root e podemos também criar um usuário

Senha de root

Criei um usuário com meu nome
Importante sempre Marcar a opção

"Tornar esse usuário como administrador"

assim podemos usar o sudo

Feito isso só esperar finalizar a instalação , após só clickar em "Reinicializar"

Feito Fedora 30 Server instalado só logar e configurar seu servidor para sua necessidade

Bom a versão Server do Fedora vem como o Cockpit instalado por padrão
É uma interface web para administrar seu servidor

https://cockpit-project.org/

Para acessar usa o seu browser no endereço do seu servidor
https://:9090

Pessoal é isso ai , a instalação é bem tranquila

O cockpit também pode ser instalado na versão workstation do seu Fedora
No próximo tutorial vou falar um pouco sobre o cockpit.

NFS (acrônimo para Network File System) é um sistema de arquivos distribuídos desenvolvido inicialmente pela Sun Microsystems, Inc., a fim de compartilhar arquivos e diretórios entre computadores conectados em rede, formando assim um diretório virtual. O protocolo Network File System é especificado nas seguintes RFCs: RFC 1094, RFC 1813 e RFC 7931 (que atualiza a RFC 7530, que tornou obsoleta a RFC 3530).

Finalidade

O cliente NFS tem por finalidade tornar o acesso remoto transparente para o usuário do computador, e esta interface cliente e servidor, executada pelo NFS através dos protocolos Cliente-Servidor, fica bem definida quando o usuário, ao chamar um arquivo/diretório no servidor, lhe parece estar acessando localmente, sendo que está trabalhando com arquivos remotamente. Existe uma certa semelhança desse protocolo com o CIFS pois os dois permitem o compartilhamento de recursos entre sistemas, por meio de uma rede de computadores, com arquitetura cliente-servidor, e quaisquer que sejam suas plataformas de hardware e software.

Utilização

Um exemplo da utilização do NFS é a disponibilização das áreas de trabalho dos usuários em toda a rede e, quando este efetua o login, seu diretório de trabalho pode ser acessado via NFS. Supondo que o usuário mude de estação de trabalho, o seu diretório pode ser disponibilizado novamente nesta estação e sem que nenhuma configuração adicional seja realizada.
Sua interface é pública e muito utilizada para o compartilhamento de leituras e organizações acadêmicas, pelas vantagens de, entre outras: transparência; unificação de comandos; redução de espaço local; independência de sistemas operacionais e hardware.

Para um sistema cliente-Servidor, o cliente pode sempre que logar na máquina "importar" automaticamente os diretórios e arquivos que o mesmo criou na sua área pessoal, por exemplo (para implementar esse sistema de importação de arquivo associado a um usuário em específico é necessário ter configurado um Sistema com LDAP ou NIS, além do NFS).

Ambiente:

Para este laboratório foi utilizado 4 hosts:
DNS01, DNS02 - Já criados em nosso último lab aqui
Server01, também criado no nosso último lab
E NFS server que iremos criar agora.

Descrição dos servidores:
NFS Detalhes:
Sistema Operacional : CentOS 7.6 server
Hostname : nfs.fedorabr.lab
**IP **: 192.168.122.202/24

Cliente Detalhes:
Sistema Operacional : CentOS 7.6 server
Hostname : server01.fedorabr.lab
IP Address : 192.168.122.150/24

Procedimento iniciais

Lembram que agora temos um serviço de dns em nossa rede? Pois bem vamos usar esses servidores.

1 - Configuração de rede servidor NFS:

[root@nfs ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0

Conteúdo do arquivo ifcfg-eth0:

Modificar as entradas DNS1,DNS2,DOMAIN:

TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="none"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="no"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME="eth0"
UUID="212268c5-47a2-42be-818e-6b0eb4cedf33"
DEVICE="eth0"
ONBOOT="yes"
IPADDR="192.168.122.202"
PREFIX="24"
GATEWAY="192.168.122.1"
DNS1="192.168.122.200"
DNS2="192.168.122.201"
DOMAIN="fedorabr.lab"

Salve e saia do "vi".

2- Adicionando servidor NFS no DNS:

2.1 - Acessar o servidor dns01

[root@Sango ~]# ssh root@dns01.fedorabr.lab

2.2 - Editar o arquivo /var/named/forward.fedorabr e criar a entrada do servidor

[root@dns01 ~]# vim /var/named/forward.fedorabr

Conteúdo do arquivo forward.fedorabr, já com a entrada do servidor nfs:

$TTL 86400
   IN  SOA     dns01.fedorabr.lab. root.fedorabr.lab. (
        3011071004  ;Serial
        3600        ;Refresh
        1800        ;Retry
        604800      ;Expire
        86400       ;Minimum TTL
)
@       IN  NS          dns01.fedorabr.lab.
@       IN  NS          dns02.fedorabr.lab.
@       IN  A           192.168.122.200
       IN  A           192.168.122.201
       IN  A           192.168.122.202
       IN  A           192.168.122.150
dns01           IN  A   192.168.122.200
dns02           IN  A   192.168.122.201
nfs             IN  A   192.168.122.202
server01        IN  A   192.168.122.150

Observe que o ultimo numero do serial foi modificado, isso é necessário para que seja replicado no servidor slave

Salve e saia.

2.3 - Agora precisamos editar o arquivo /var/named/reverse.fedorabr e criar a entrada do servidor

[root@dns01 ~]# vim /var/named/reverse.fedorabr

Conteúdo do arquivo reverse.fedorabr, já com a entrada do servidor nfs:

$TTL 86400
   IN  SOA     dns01.fedorabr.lab. root.fedorabr.lab. (
        3011071004  ;Serial
        3600        ;Refresh
        1800        ;Retry
        604800      ;Expire
        86400       ;Minimum TTL
)
@        IN  NS         dns01.fedorabr.lab.
@        IN  NS         dns02.fedorabr.lab.
@        IN  PTR        fedorabr.lab.
dns01    IN  A          192.168.122.200
dns02    IN  A          192.168.122.201
nfs      IN  A          192.168.122.202
server01 IN  A          192.168.122.150
200      IN  PTR        dns01.fedorabr.lab.
201      IN  PTR        dns02.fedorabr.lab.
202      IN  PTR        nfs.fedorabr.lab.
150      IN  PTR        server01.fedorabr.lab.

Observe que o ultimo numero do serial foi modificado, isso é necessário para que seja replicado no servidor slave

2.4 - Reiniciando os serviços do DNS

[root@dns01 ~]# systemctl restart named.service

2.5 - Testando entradas no DNS e validando as novas entradas

[root@dns01 ~]# nslookup fedorabr.lab

Server:     192.168.122.200
Address:    192.168.122.200#53

Name:   fedorabr.lab
Address: 192.168.122.202
Name:   fedorabr.lab
Address: 192.168.122.200
Name:   fedorabr.lab
Address: 192.168.122.150
Name:   fedorabr.lab
Address: 192.168.122.201

3 - Validando comunicação com DNS no servidor NFS

3.1 - No CentOS se faz necessário a instalação do pacote "bind-utils" nele contém os comandos "dig" e "nslookup" que vamos precisar para nosso teste, já o pacote policycoreutils-python é necessário para as devidas configurações de segurança do SELinux

[root@nfs ~]# yum install bind-utils policycoreutils-python

3.2 - Teste com dig

[root@nfs ~]# dig dig nfs.fedorabr.lab

; <<>> DiG 9.9.4-RedHat-9.9.4-73.el7_6 <<>> dig nfs.fedorabr.lab
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 43618
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dig.               IN  A

;; AUTHORITY SECTION:
.           10725   IN  SOA a.root-servers.net. nstld.verisign-grs.com. 2019041500 1800 900 604800 86400

;; Query time: 1 msec
;; SERVER: 192.168.122.200#53(192.168.122.200)
;; WHEN: Seg Abr 15 11:28:09 -03 2019
;; MSG SIZE  rcvd: 107

;; Got answer:
;; ->>HEADER

3.3 - Teste com nslookup

[root@nfs ~]# nslookup nfs.fedorabr.lab

Server:     192.168.122.200
Address:    192.168.122.200#53

Name:   nfs.fedorabr.lab
Address: 192.168.122.202

4 - Configurações de compartilhamento com NFS via "exports

4.1 - Agora vamos configurar um diretório para ser compartilhado na rede via NFS

[root@nfs /]# mkdir dados

4.2 - Vamos criar agora um diretório para poder separar os volumes compartilhados

[root@nfs /]# cd /dados

[root@nfs dados]# mkdir comunidade

4.3 - Configuração do diretório "comunidade" no nfs atráves do arquivo "/etc/exports"

[root@nfs dados]# vim /etc/exports

No arquivo "exports" vamos compartilhar o diretorio "omunidade" dentro do "/dados" este diretório só vai ter acesso a nossa rede "192.168.122.0/24"

Conteúdo do arquivo "exports"

/dados/comunidade 192.168.122.0/24(sync,rw,no_root_squash)

4.4 - Iniciando os serviços necessários e habilitando para inicialização

[root@nfs dados]# systemctl start rpcbind
[root@nfs dados]# systemctl start nfs-server
[root@nfs dados]# systemctl start rpc-statd
[root@nfs dados]# systemctl start nfs-idmapd

[root@nfs dados]# systemctl enable rpcbind
[root@nfs dados]# systemctl enable nfs-server

4.5 - Verificando os diretorios disponivéis no servidor NFS

[root@nfs dados]# showmount -e 192.168.122.202
Export list for 192.168.122.202:
/dados/comunidade 192.168.122.0/24

5 - Configurando Firewall para liberar acesso aos clientes

[root@nfs dados]# firewall-cmd --permanent --zone public --add-service mountd
success
[root@nfs dados]# firewall-cmd --permanent --zone public --add-service rpc-bind
success
[root@nfs dados]# firewall-cmd --permanent --zone public --add-service nfs
success
[root@nfs dados]# firewall-cmd --reload
success

6 - Configurações do SELinux para liberar acesso aos clientes

6.1 - Criando contexto para o diretório "/dados/comunidade"

[root@nfs /]# semanage fcontext -a -t nfs_t "/dados/comunidade/(/.*)?"

6.2 - Aplicado os contexto no diretório "/dados/comunidade"

[root@nfs /]# restorecon -R -v /dados/comunidade/

6.3 - Reiniciando os serviços do NFS

[root@nfs /]# systemctl restart nfs-server.service

Bem até aqui já temos o nosso servidor pronto, precisamos agora configurar o cliente para acessar o diretório do NFS

7 - Configurações do cliente "server01.fedorabr.lab"

7.1 - Acessando o servidor cliente

[root@Sango ~]# ssh root@server01.fedorabr.lab

7.2 - Instalação do pacote "nfs-utils"

[root@server01 ~]# yum install nfs-utils 

7.3 - Verificando diretórios disponíveis no servidor NFS

[root@server01 ~]# showmount -e nfs.fedorabr.lab 

Export list for nfs.fedorabr.lab:
/dados/comunidade 192.168.122.0/24

Obs: Bem aqui podemos ver que inves de fornecermos o ip do servidor NFS, fornecemos o hostname cadastrado no DNS, pois se em algum momento esse servidor for modificado para outro não precisamos fazer as alterações nos clientes apenas no nosso DNS.

7.4 - Realizando testes de montagem e escrita no diretorio compartilhado.

[root@server01 /]# mount -t nfs nfs.fedorabr.lab:/dados/comunidade /comunidade

[root@server01 /]# df -h

Sist. Arq.                          Tam. Usado Disp. Uso% Montado em
/dev/mapper/centos_server01-root     37G  1,3G   36G   4% /
devtmpfs                            484M     0  484M   0% /dev
tmpfs                               496M     0  496M   0% /dev/shm
tmpfs                               496M  6,8M  489M   2% /run
tmpfs                               496M     0  496M   0% /sys/fs/cgroup
/dev/vda1                          1014M  163M  852M  17% /boot
tmpfs                               100M     0  100M   0% /run/user/0
nfs.fedorabr.lab:/dados/comunidade   40G   33M   40G   1% /comunidade

[root@server01 /]# cd /comunidade/

[root@server01 comunidade]# mkdir fedora

[root@server01 comunidade]# ls
fedora

[root@server01 comunidade]# cd fedora

[root@server01 fedora]# touch chicofedora

[root@server01 fedora]# ls
chicofedora

[root@server01 fedora]# echo "Um por todos e todos por um..." > chicofedora

[root@server01 fedora]# cat chicofedora 
Um por todos e todos por um...

Ok, até aqui verificamos que nosso servidor NFS esta ok e funcional, porém ao reiniciar nosso servidor (server01), o nosso diretório não vai esta disponível pois o mesmo foi montado temporariamente, nossa missão agora é deixar essas configurações permanentes, para tal vamos editar nosso arquivo "/etc/fstab" e deixar esse ponto de montagem automatico na inicialização do nosso sistema.

8 - Criando entrada de ponto de montagem NFS, ativo no arquivo "/etc/fstab"

8.1 - Editando o "/etc/fstab"

[root@server01 fedora]# vi /etc/fstab

#
# /etc/fstab
# Created by anaconda on Fri Apr 12 17:01:55 2019
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/centos_server01-root /                       xfs     defaults        0 0
UUID=64b1fcf5-0f7f-4d0b-9d22-de6104892017 /boot                   xfs     defaults        0 0
/dev/mapper/centos_server01-swap swap                    swap    defaults        0 0

Vá até a última linha e adcione a linha correspondente ao ponto de montagem NFS deixando como o exemplo abaixo:

#
# /etc/fstab
# Created by anaconda on Fri Apr 12 17:01:55 2019
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/centos_server01-root /                       xfs     defaults        0 0
UUID=64b1fcf5-0f7f-4d0b-9d22-de6104892017 /boot                   xfs     defaults        0 0
/dev/mapper/centos_server01-swap swap                    swap    defaults        0 0

# Volume NFS 
nfs.fedorabr.lab:/dados/comunidade      /comunidade     nfs     defaults,_netdev   0 0

Salve o arquivo e saia

8.2 - Desmontando o teste anteriormente realizado

[root@server01 /]# umount /comunidade/

8.3 - Montando o diretório NFS com as configurações feitas no arquivo "/etc/fstab"

[root@server01 /]# mount -a

[root@server01 /]# df -h

Sist. Arq.                          Tam. Usado Disp. Uso% Montado em
/dev/mapper/centos_server01-root     37G  1,3G   36G   4% /
devtmpfs                            484M     0  484M   0% /dev
tmpfs                               496M     0  496M   0% /dev/shm
tmpfs                               496M  6,8M  489M   2% /run
tmpfs                               496M     0  496M   0% /sys/fs/cgroup
/dev/vda1                          1014M  163M  852M  17% /boot
tmpfs                               100M     0  100M   0% /run/user/0
nfs.fedorabr.lab:/dados/comunidade   40G   33M   40G   1% /comunidade

8.4 - Verificando o conteúdo do arquivo que foi criado durante os testes

[root@server01 /]# cat /comunidade/fedora/chicofedora 
Um por todos e todos por um...

Fim, boa sorte nos estudos e qualquer duvida estamos a disposição, lembrando que seu feedback nos ajuda a melhorar.

O que é DNS?
O Sistema de Nomes de Domínio, mais conhecido pela nomenclatura em Inglês Domain Name System (DNS), é um sistema hierárquico e distribuído de gestão de nomes para computadores, serviços ou qualquer máquina conectada à Internet ou a uma rede privada. Faz a associação entre várias informações atribuídas a nomes de domínios e cada entidade participante. A sua utilização mais convencional associa nomes de domínios mais facilmente memorizáveis a endereços IP numéricos, necessários à localização e identificação de serviços e dispositivos, processo esse denominado por: resolução de nome. Em virtude do banco de dados de DNS ser distribuído, o seu tamanho é ilimitado e o desempenho não se degrada substancialmente quando se adiciona mais servidores. Por padrão, o DNS usa o protocolo User Datagram Protocol (UDP) na porta 53 para servir as solicitações e as requisições.

O DNS apresenta uma arquitetura cliente/servidor, podendo envolver vários servidores DNS na resposta a uma consulta. O servidor DNS resolve nomes para os endereços IP e de endereços IP para os nomes respectivos, permitindo a localização de hosts num determinado domínio.

Num sistema livre, o serviço é normalmente implementado pelo software BIND. Este serviço geralmente encontra-se localizado no servidor DNS primário. O servidor DNS secundário é uma espécie de cópia de segurança do servidor DNS primário. Assim, é uma parte necessária para quem quer usar a internet de uma forma mais fácil, evita que hackers roubem dados pessoais.

Existem centenas de servidores-raiz DNS (root servers) no mundo todo, agrupados em 13 zonas DNS raiz, das quais sem elas a Internet não funcionaria. Destes, dez estão localizados nos Estados Unidos da América, dois na Europa e um na Ásia. Para aumentar a base instalada destes servidores foram criadas réplicas localizadas por todo o mundo, inclusive no Brasil desde 2003.

INSTALAÇÃO DO DNS SERVER

Este tutorial tem como finalidade realizar a instalação do DNS em servidor Fedora, porém os procedimentos são aplicáveis em RHEL 7, CentOS 7 e Scientific Linux 7.

Ambiente:

Para este laboratório foi utilizado 3 hosts, Master denominado de dns01, Slaver/secundario denominado de dns02 e um cliente que estará buscando as devidas informações nos servidores DNS devidamente configurados.

Descrição dos servidores:

Master Detalhes:
Sistema Operacional : Fedora Server release 29
Hostname : dns01.fedorabr.lab
IP : 192.168.122.200/24

Slaver Detalhes:
Sistema Operacional : Fedora Server release 29
Hostname : dns02.fedorabr.lab
IP : 192.168.122.201/24

Cliente Detalhes:
Sistema Operacional : CentOS 7.6 server
Hostname : server01.fedorabr.lab
IP Address : 192.168.122.150/24

Procedimentos de instalação do Master

1 - Instalação do pacote Bind9:

[root@dns01 ~]# dnf install bind

2 - Configurando o Master:

Neste passo vamos editar o arquivo de configuração do bind em /etc/named.conf:

[root@dns01 ~]# vim /etc/named.conf

Conteúdo do arquivo nemed.conf, alterar apenas o que estiver em negrito de acordo com as suas informações:

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
    listen-on port 53 { 127.0.0.1; 192.168.122.200;}; ## IP do seu servidor Master ##
#   listen-on-v6 port 53 { ::1; }; ## Não utilizo ipv6 ##
    directory   "/var/named";
    dump-file   "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    secroots-file   "/var/named/data/named.secroots";
    recursing-file  "/var/named/data/named.recursing";
    allow-query    { localhost; 192.168.122.0/24;}; ##Limitando ao meu ranger de rede##
        allow-transfer  { localhost; 192.168.122.201;}; ##IP do seu servidor Slave##

    /* 
     - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
     - If you are building a RECURSIVE (caching) DNS server, you need to enable 
       recursion. 
     - If your recursive DNS server has a public IP address, you MUST enable access 
       control to limit queries to your legitimate users. Failing to do so will
       cause your server to become part of large scale DNS amplification 
       attacks. Implementing BCP38 within your network would greatly
       reduce such attack surface 
    */
    recursion yes;

    dnssec-enable yes;
    dnssec-validation yes;

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

    /* https://fedoraproject.org/wiki/Changes/CryptoPolicy */
    include "/etc/crypto-policies/back-ends/bind.config";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
    type hint;
    file "named.ca";
};

## Insira as informações do seu domínio##
zone "fedorabr.lab" IN {
type master;
file "forward.fedorabr";
allow-update { none; };
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "reverse.fedorabr";
allow-update { none; };
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

3 - Criação dos arquivos de zona

No arquivo /etc/named.conf, foram adicionadas entradas de informações de arquivos de zona, neste momento vamos criar os referidos arquivos:

3.1 - Criando arquivo de zona forward

[root@dns01 ~]# vim /var/named/forward.fedorabr

Adicione as seguintes linhas no arquivo de acordo com seu domínio:

$TTL 86400
   IN  SOA     dns01.fedorabr.lab. root.fedorabr.lab. (
        3011071003  ;Serial
        3600        ;Refresh
        1800        ;Retry
        604800      ;Expire
        86400       ;Minimum TTL
)
@       IN  NS          dns01.fedorabr.lab.
@       IN  NS          dns02.fedorabr.lab.
@       IN  A           192.168.122.200
       IN  A           192.168.122.201
       IN  A           192.168.122.150
dns01           IN  A   192.168.122.200
dns02           IN  A   192.168.122.201
server01        IN  A   192.168.122.150

3.2 - Criando arquivo de zona reversa

[root@dns01 ~]# vim /var/named/reverse.fedorabr

Adicione as seguintes linhas no arquivo de acordo com seu domínio:

$TTL 86400
   IN  SOA     dns01.fedorabr.lab. root.fedorabr.lab. (
        3011071003  ;Serial
        3600        ;Refresh
        1800        ;Retry
        604800      ;Expire
        86400       ;Minimum TTL
)
@        IN  NS         dns01.fedorabr.lab.
@        IN  NS         dns02.fedorabr.lab.
@        IN  PTR        fedorabr.lab.
dns01    IN  A      192.168.122.200
dns02    IN  A      192.168.122.201
server01 IN  A      192.168.122.50
200      IN  PTR        dns01.fedorabr.lab.
201      IN  PTR        dns02.fedorabr.lab.
150      IN  PTR        server01.fedorabr.lab.

3.3 - Iniciando e habilitando o DNS

[root@dns01 ~]# systemctl enable named

[root@dns01 ~]# systemctl start named

4 - Configurações de Firewall

Bem, iniciamos os serviços de DNS na porta 53 de acordo com o arquivo /etc/named.conf, agora basta configurarmos o firewall para liberação desta porta, vamos lá.

Adicionando porta TCP e UDP:

[root@dns01 ~]# firewall-cmd --permanent --add-port=53/tcp

[root@dns01 ~]# firewall-cmd --permanent --add-port=53/udp

Salvando as configurações de firewall e atualizando as informações:

[root@dns01 ~]# firewall-cmd --reload

5 - Além de configurar o firewall devemos realizar configurações no SELinux:

[root@dns01 ~]# chgrp named -R /var/named

Alterando quem irá inicializar o serviço named, é recomendado que nenhum serviço rode como root.

[root@dns01 ~]# chown -v root:named /etc/named.conf

Restaurando as configurações do SELinux nos diretórios e arquivos de configuração do named

6 - Testes das configurações do DNS e análise de erro nos arquivos de configuração:

6.1 - Checagem do arquivo /etc/named.conf

[root@dns01 ~]# named-checkconf /etc/named.conf

_OBS: Se a resposta do comando for nada, suas configurações estão corretas.
_
6.2 - Checagem de zona forward:

[root@dns01 ~]# named-checkzone fedorabr.lab /var/named/forward.fedorabr 

Resultado do comando:

zone fedorabr.lab/IN: loaded serial 3011071003
OK

6.3 - Checagem de zona reverse:

[root@dns01 ~]# named-checkzone fedorabr.lab /var/named/reverse.fedorabr

Resultado do comando:

zone fedorabr.lab/IN: loaded serial 3011071003
OK

6.4 - Adicione as informações de seu novo dns nas configurações de rede:

vim /etc/sysconfig/network-scripts/ifcfg-enp1s0

TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=enp1s0
UUID=7d0fde01-c8cb-3cc4-b111-d7bf21a62604
ONBOOT=yes
AUTOCONNECT_PRIORITY=-999
DEVICE=enp1s0
IPADDR=192.168.122.200
PREFIX=24
GATEWAY=192.168.122.1
DNS1=192.168.122.200

Comumente adicione as informações do novo dns no arquivo /etc/resolve.conf:

[root@dns01 ~]# vim /etc/resolv.conf

# Generated by NetworkManager
search fedorabr.lab
nameserver 192.168.122.200

Agora devemos restartar a rede:

[root@dns01 ~]# systemctl restart NetworkManager

6.5 - Testando o servidor dns01:

DIG:

[root@dns01 ~]# dig fedorabr.lab

; <<>> DiG 9.11.5-P4-RedHat-9.11.5-4.P4.fc29 <<>> fedorabr.lab
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12501
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 9f282a117eff73342b94b2b95cb0ce664575656fdf3a1f31 (good)
;; QUESTION SECTION:
;fedorabr.lab.          IN  A

;; ANSWER SECTION:
fedorabr.lab.       86400   IN  A   192.168.122.200
fedorabr.lab.       86400   IN  A   192.168.122.150
fedorabr.lab.       86400   IN  A   192.168.122.201

;; AUTHORITY SECTION:
fedorabr.lab.       86400   IN  NS  dns02.fedorabr.lab.
fedorabr.lab.       86400   IN  NS  dns01.fedorabr.lab.

;; ADDITIONAL SECTION:
dns01.fedorabr.lab. 86400   IN  A   192.168.122.200
dns02.fedorabr.lab. 86400   IN  A   192.168.122.201

;; Query time: 0 msec
;; SERVER: 192.168.122.200#53(192.168.122.200)
;; WHEN: sex abr 12 14:44:06 -03 2019
;; MSG SIZE  rcvd: 189</pre>

NSLOOKUP:

[root@dns01 ~]# nslookup fedorabr.lab

Server:        192.168.122.200
Address:    192.168.122.200#53

Name:   fedorabr.lab
Address: 192.168.122.200
Name:   fedorabr.lab
Address: 192.168.122.201
Name:   fedorabr.lab
Address: 192.168.122.150

Pronto, nosso servidor DNS está pronto para uso.

Instalação do servidor Slave (dns02)

1 - Instalação do pacote bind

[root@dns02 ~]# dnf install bind

2 - Editar o arquivo /etc/named.conf

[root@dns02 ~]# vim /etc/named.conf

Conteúdo do arquivo nemed.conf, alterar apenas o que estiver em negrito de acordo com as suas informações:

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
    listen-on port 53 { 127.0.0.1; 192.168.122.201;};##IP do servidor Slave##
#   listen-on-v6 port 53 { ::1; };
    directory   "/var/named";
    dump-file   "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    secroots-file   "/var/named/data/named.secroots";
    recursing-file  "/var/named/data/named.recursing";
    allow-query     { localhost; 192.168.122.0/24;};##Limitando ao meu ranger de rede##

    /* 
     - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
     - If you are building a RECURSIVE (caching) DNS server, you need to enable 
       recursion. 
     - If your recursive DNS server has a public IP address, you MUST enable access 
       control to limit queries to your legitimate users. Failing to do so will
       cause your server to become part of large scale DNS amplification 
       attacks. Implementing BCP38 within your network would greatly
       reduce such attack surface 
    */
    recursion yes;

    dnssec-enable yes;
    dnssec-validation yes;

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

    /* https://fedoraproject.org/wiki/Changes/CryptoPolicy */
    include "/etc/crypto-policies/back-ends/bind.config";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
    type hint;
    file "named.ca";
};

zone "fedorabr.lab" IN {
type slave;
file "slaves/fedorabr.fwd";
masters { 192.168.122.200; };##IP do servidor Master##
};
zone "122.168.192.in-addr.arpa" IN { ##IP da zona reversa##
type slave;
file "slaves/fedorabr.rev";
masters { 192.168.122.200; };##IP do servidor Master##
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

3 - Liberando portas do firewall

[root@dns02]# firewall-cmd --permanent --add-port=53/tcp

[root@dns02]# firewall-cmd --permanent --add-port=53/udp

[root@dns02]# firewall-cmd --reload

4 - Liberações do SELinux e rodando o named com usuário named.

[root@dns02]# chgrp named -R /var/named

[root@dns02]# chown -v root:named /etc/named.conf

[root@dns02]# restorecon -rv /var/named

[root@dns02]# restorecon /etc/named.conf

[root@dns02]# named-checkconf /etc/named.conf

5 - Iniciando o serviço de dns e habilitando na incialização.

[root@dns02]# systemctl enable named.service

[root@dns02]# systemctl start named.service

6 - Analisar se a comunicação com o DNS master foram replicadas no servidor DNS slave

[root@dns02]# ls /var/named/slave/

fedorabr.fwd fedora.rev

6.1 - Testando o servidor DNS

DNS01 -

[root@dns02 named]# dig dns01.fedorabr.lab

; <<>> DiG 9.11.5-P4-RedHat-9.11.5-4.P4.fc29 <<>> dns01.fedorabr.lab
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60846
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 5dc6681c96e37819de6f683d5cb0ec0047d49d6b19b9b4be (good)
;; QUESTION SECTION:
;dns01.fedorabr.lab.        IN  A

;; ANSWER SECTION:
dns01.fedorabr.lab. 86400   IN  A   192.168.122.200

;; AUTHORITY SECTION:
fedorabr.lab.       86400   IN  NS  dns01.fedorabr.lab.
fedorabr.lab.       86400   IN  NS  dns02.fedorabr.lab.

;; ADDITIONAL SECTION:
dns02.fedorabr.lab. 86400   IN  A   192.168.122.201

;; Query time: 1 msec
;; SERVER: 192.168.122.200#53(192.168.122.200)
;; WHEN: sex abr 12 16:50:24 -03 2019
;; MSG SIZE  rcvd: 141</pre>

DNS02 -

[root@dns02 named]# dig dns02.fedorabr.lab

; <<>> DiG 9.11.5-P4-RedHat-9.11.5-4.P4.fc29 <<>> dns02.fedorabr.lab
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2296
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 3d0cb4312f841f60f79d8da15cb0ec5e0a7a2b49ec586632 (good)
;; QUESTION SECTION:
;dns02.fedorabr.lab.        IN  A

;; ANSWER SECTION:
dns02.fedorabr.lab. 86400   IN  A   192.168.122.201

;; AUTHORITY SECTION:
fedorabr.lab.       86400   IN  NS  dns01.fedorabr.lab.
fedorabr.lab.       86400   IN  NS  dns02.fedorabr.lab.

;; ADDITIONAL SECTION:
dns01.fedorabr.lab. 86400   IN  A   192.168.122.200

;; Query time: 0 msec
;; SERVER: 192.168.122.200#53(192.168.122.200)
;; WHEN: sex abr 12 16:51:58 -03 2019
;; MSG SIZE  rcvd: 141</pre>

NSLOOKUP:

[root@dns02 named]# nslookup fedorabr.lab

Server:        192.168.122.200
Address:    192.168.122.200#53

Name:   fedorabr.lab
Address: 192.168.122.200
Name:   fedorabr.lab
Address: 192.168.122.201
Name:   fedorabr.lab
Address: 192.168.122.150

Configurações e testes realizados com sucesso nos servidores, vamos fazer as devidas configurações no server01.fedorabr.lab que vai servir como nosso cliente.

1 - Configurações do cliente de DNS

1.1 - Configurando o arquivo /etc/resolv.conf

[root@server01 ~]# vi /etc/resolv.conf 

# Generated by NetworkManager
search fedorabr.lab
nameserver 192.168.122.200
nameserver 192.168.122.201

1.2 - Configurando as entradas de DNS no arquivo do dispositivo de rede /etc/sysconfig/network-scripts/ifcfg-eth0

[root@server01 ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0

TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="none"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="no"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME="eth0"
UUID="f9483a41-49f2-499f-8c9e-59c34b7e5d21"
DEVICE="eth0"
ONBOOT="yes"
IPADDR="192.168.122.150"
PREFIX="24"
GATEWAY="192.168.122.1"
DNS1="192.168.122.200"
DNS2="192.168.122.201"
DOMAIN="fedorabr.lab"

2 - Testes de comunicação dos servidores DNS’s.

Obs. No caso do CentOS se faz necessário instalação o pacote bind-ultils nele contém os binários do dig e do nslookup.

2.1 - Instalação do bind-utils:

[root@server01 ~]# yum install bind-utils -y

2.2 - Teste do Master

DIG -

[root@server01 ~]# dig dns01.fedorabr.lab

; <<>> DiG 9.9.4-RedHat-9.9.4-73.el7_6 <<>> dns01.fedorabr.lab
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37808
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dns01.fedorabr.lab.        IN  A

;; ANSWER SECTION:
dns01.fedorabr.lab. 86400   IN  A   192.168.122.200

;; AUTHORITY SECTION:
fedorabr.lab.       86400   IN  NS  dns01.fedorabr.lab.
fedorabr.lab.       86400   IN  NS  dns02.fedorabr.lab.

;; ADDITIONAL SECTION:
dns02.fedorabr.lab. 86400   IN  A   192.168.122.201

;; Query time: 1 msec
;; SERVER: 192.168.122.200#53(192.168.122.200)
;; WHEN: Sex Abr 12 17:26:04 -03 2019
;; MSG SIZE  rcvd: 113</pre>

2.2 - Teste do Slave

[root@server01 ~]# dig dns02.fedorabr.lab

; <<>> DiG 9.9.4-RedHat-9.9.4-73.el7_6 <<>> dns02.fedorabr.lab
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18171
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dns02.fedorabr.lab.        IN  A

;; ANSWER SECTION:
dns02.fedorabr.lab. 86400   IN  A   192.168.122.201

;; AUTHORITY SECTION:
fedorabr.lab.       86400   IN  NS  dns02.fedorabr.lab.
fedorabr.lab.       86400   IN  NS  dns01.fedorabr.lab.

;; ADDITIONAL SECTION:
dns01.fedorabr.lab. 86400   IN  A   192.168.122.200

;; Query time: 2 msec
;; SERVER: 192.168.122.200#53(192.168.122.200)
;; WHEN: Sex Abr 12 17:28:29 -03 2019
;; MSG SIZE  rcvd: 113</pre>

2.2 - Teste do Server01

[root@server01 ~]# dig server01.fedorabr.lab

; <<>> DiG 9.9.4-RedHat-9.9.4-73.el7_6 <<>> server01.fedorabr.lab
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41208
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;server01.fedorabr.lab.     IN  A

;; ANSWER SECTION:
server01.fedorabr.lab.  86400   IN  A   192.168.122.150

;; AUTHORITY SECTION:
fedorabr.lab.       86400   IN  NS  dns02.fedorabr.lab.
fedorabr.lab.       86400   IN  NS  dns01.fedorabr.lab.

;; ADDITIONAL SECTION:
dns01.fedorabr.lab. 86400   IN  A   192.168.122.200
dns02.fedorabr.lab. 86400   IN  A   192.168.122.201

;; Query time: 1 msec
;; SERVER: 192.168.122.200#53(192.168.122.200)
;; WHEN: Sex Abr 12 17:29:22 -03 2019
;; MSG SIZE  rcvd: 138</pre>

Teste com NSLOOKUP:

[root@server01 ~]# nslookup fedorabr.lab

Server:        192.168.122.200
Address:    192.168.122.200#53

Name:   fedorabr.lab
Address: 192.168.122.200
Name:   fedorabr.lab
Address: 192.168.122.201
Name:   fedorabr.lab
Address: 192.168.122.150

Ok, prontinho seu serviço de DNS está pronto para o trabalho, até a próxima.

Obs: Esta é uma série de tutoriais de serviços de rede, se está querendo acompanhar, este ambiente será usado em outros serviços que vamos disponibilizar.

Referências:

https://pt.wikipedia.org/wiki/Sistema_de_Nomes_de_Domínio

https://access.redhat.com/solutions/40683

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/linux_domain_identity_authentication_and_policy_guide/dns-install