DICAS CPANEL MANIA - O blog dos Servidores de Hospedagem de Sites em LINUX

15° CIO FORUM

2011-05-07T00:05:00.006-03:00

Importante a participação !

Festival Latino Americano de Instalação de Software Livre

2011-03-24T02:22:00.003-03:00

Estão abertas as inscrições para o maior evento de instalação de GNU/Linux da América Latina. O evento ocorrerá simultaneamente em todos os países da América Latina e em todas as capitais brasileiras. Em Fortaleza, acontecerá no Vila das Artes, rua 24 de maio, 1221, Centro.

Faça agora sua inscrição e traga 1 kg (um quilo) de alimento para doação.

O que é FLISOL?

O Festival Latino Americano de Instalação de Software Livre - Ceará (FLISOL) é um evento regional, realizado anualmente, e que ocorre de forma simultânea em diversas cidades da América Latina. O Flisol é um evento descentralizado, onde cada local escolhido realiza seu festival simultaneamente com os outros pontos espalhados pela América Latina.

Em 2006, o evento foi realizado no dia 25 de março. Em 2007, foi realizado no dia 28 de Abril. Já em 2008, foi realizado no dia 26 de Abril. Em 2009 e 2010, o FLISOL foi realizado dia 24 de Abril.

O evento é livre, e nesse dia há a instalação de Software Livre, como distribuições de Gnu/Linux, sistemas BSD, e aplicativos livres para Windows.

Além disso o evento enquadra-se exatamente no contexto mais amplo e pretende divulgar e popularizar a cultura digital do Software Livre no Estado do Ceará e na Região Nordeste. Esta iniciativa contribuirá de modo relevante para promover o uso e a difusão de tecnologias da informação entre pessoas, especialmente jovens, de todas as camadas sociais, servindo com um veículo de integração, interação e colaboração. Em um plano menos imediato, poderá também funcionar como elemento de inclusão digital e redução das desigualdades sociais.

Acesse: http://flisolce.com.br/

Regras Mod_Secure Atualizadas

2011-03-23T16:40:00.003-03:00

Sobre o post das regras do Mod_secure em http://cpanelmania.blogspot.com/2010/10/mod-secure.html cabem algumas atualizações necessárias, seguem as mesmas abaixo.

Agradecimentos ao YSAAC por ter compartilhado a informação pelo post do Forum do Host em http://forum.portaldohost.com.br/showthread.php?t=3037&p=30086#post30086. Segue aqui o post completo:

Acessando como root execute:

cd /usr/local/apache/conf/
mkdir modsec_rules
cd modsec_rules
wget http://updates.atomicorp.com/channel...8191901.tar.gz
tar zvxf modsec-201008191901.tar.gz
rm -fr zvxf modsec-201008191901.tar.gz

Crie os diretórios abaixo, eles são necessários para gravação e leitura de arquivos temporários do ASL:

mkdir /var/asl
mkdir /var/asl/tmp
mkdir /var/asl/data
mkdir /var/asl/data/msa
mkdir /var/asl/data/audit
mkdir /var/asl/data/suspicious
mkdir /etc/asl

Corrija as permissões :

chown nobody.nobody /var/asl/data/msa
chown nobody.nobody /var/asl/data/audit
chown nobody.nobody /var/asl/data/suspicious
chmod o-rx -R /var/asl/data/*
chmod ug+rwx -R /var/asl/data/*

e crie o arquivo "lista branca":
touch /etc/asl/whitelist

Agora acesse o WHM e clique no "Mod Security", deletando as regras atuais e no lugar delas adicione:

SecComponentSignature 201008191901
SecRequestBodyAccess On
SecResponseBodyAccess On
SecResponseBodyMimeType (null) text/html text/plain text/xml
SecResponseBodyLimit 2621440
SecServerSignature Apache
SecUploadDir /var/asl/data/suspicious
SecUploadKeepFiles Off
SecAuditLogParts ABIFHZ
SecArgumentSeparator '&'
SecCookieFormat 0
SecRequestBodyInMemoryLimit 131072
SecDataDir /var/asl/data/msa
SecTmpDir /tmp
SecAuditLogStorageDir /var/asl/data/audit
SecResponseBodyLimitAction ProcessPartial

# ConfigServer ModSecurity - descomente caso vc use o ConfigServer CMC.
#Include /usr/local/apache/conf/modsec2.whitelist.conf

#ASL Rules
Include /usr/local/apache/conf/modsec_rules/modsec/99_asl_jitp.conf
Include /usr/local/apache/conf/modsec_rules/modsec/50_asl_rootkits.conf
#Include /usr/local/apache/conf/modsec_rules/modsec/00_asl_rbl.conf
Include /usr/local/apache/conf/modsec_rules/modsec/00_asl_whitelist.conf
Include /usr/local/apache/conf/modsec_rules/modsec/05_asl_scanner.conf
Include /usr/local/apache/conf/modsec_rules/modsec/20_asl_useragents.conf

Observação: Caso você use o ConfigServer CMC (http://www.configserver.com/cp/cmc.html) deixe a linha "Include /usr/local/apache/conf/modsec2.whitelist.conf" liberada, caso não use, deixe comentado com o # no início.

Existem vários arquivos de regras específicas no /usr/local/apache/conf/modsec_rules/ - estas acima são sugestões.

Tome cuidado com o load do servidor - quanto mais regras forem adicionadas ao modulo mais o apache demorará a carrega-las em cada processo aberto. O que sugiro neste caso para usar são:

Include /usr/local/apache/conf/modsec_rules/99_asl_jitp.conf
Include /usr/local/apache/conf/modsec_rules/50_asl_rootkits.conf
Include /usr/local/apache/conf/modsec_rules/20_asl_useragents.conf

Após tudo isso salve e reinicie o apache. Acompanhe os logs do mod_security para ver que tipo de tentativa de acesso indevido ocorre, em quais scripts e domínios de seu servidor.

Vulnerabilidade EXIM "0day"

2010-12-10T15:10:00.003-03:00

Caros amigos, foi detectada uma falha grave de segurança no EXIM (usado pelo CPANEL). A CPANEL imediatamente lançou um FIX e é importante atualizar seu EXIM.

Veja: http://mail.cpanel.net/pipermail/new...er/000060.html

Verifiquem se a sua versão do EXIM é a exim-4.69-25_cpanel_maildir:

rpm -qa | grep exim
exim-4.69-25_cpanel_maildir

Se for DIFERENTE vc precisa atualizar imediatamente. Execute para correção:

/scripts/eximup --force

Repetindo, após a atualização a versão que tem a falha corrigida deve ser a exim-4.69-25_cpanel_maildir:

rpm -qa | grep exim
exim-4.69-25_cpanel_maildir

MPF denuncia empresário por estelionato

2010-11-20T15:34:00.003-03:00

Quem disse que não existe justiça no Brasil ?

Fonte: http://noticias.pgr.mpf.gov.br/noticias/noticias-do-site/copy_of_criminal/mpf-se-denuncia-empresario-por-estelionato

O Ministério Público Federal em Sergipe (MPF/SE) denunciou por estelionato o sócio das empresas NICregistro Internet Provider e a NICregistro Soluções em Informática, Marcos Antônio dos Santos. Ele é acusado de cobrar ilegalmente pelos serviços de hospedagem e de registro de páginas de internet.

De acordo com o procurador da República que assina a ação, Eduardo Botão Pelella, estas empresas foram criadas com nomes similares aos do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), que desenvolve a internet no país, bem como do Registro.br, responsável pelas atividades de registro de sites no Brasil.

Para o procurador, a junção dos nomes dos núcleos criados pelo Comitê Gestor da Internet no Brasil (CGI.br), por parte do denunciado, fez com que diversos usuários dos serviços de registro e hospedagem fossem induzidos a pagar boletos bancários, como se os mesmos tivessem sido emitidos pela NIC.br e pelo Registro.br. Ainda segundo Eduardo Pelella, a semelhança entre os nomes das empresas e dos verdadeiros exploradores dos serviços serviu como artifício para encobrir a fraude.

A prática ilegal de emissão de boletos para pagamentos alcançou, inclusive, órgãos do Poder Judiciário como o Tribunal Regional Federal da 3ª Região, o Tribunal Regional do Trabalho da 9ª Região e a Justiça Federal do Rio Grande do Sul.

Durante as investigações, as empresas utilizadas para essas fraudes tiveram o sigilo bancário quebrado, após autorização judicial. Assim, ficou comprovado que a NICregistro Soluções recebeu créditos referentes a mais de 19 mil boletos pagos entre os meses de agosto a dezembro de 2006 e de quase 3 mil pagos no ano de 2007. Já a NICregistro Internet obteve o pagamento de mais de 30 mil boletos durante todo o ano de 2007. Cada uma dessas cobranças tinha o valor de R$ 130,00.

Na denúncia, o procurador Eduardo Pelella ressalta que o CGI.br já havia entrado com uma ação civil pública para que essas cobranças fossem suspensas. Apesar de ter sido condenado, Marcos Antônio, descumpriu a decisão e passou a responder por crime de desobediência. Agora, caso seja condenado pela Justiça Federal pelo crime de estelionato, Marcos Antônio dos Santos pode receber pena de reclusão de quase sete anos, além de ter que pagar multa

The Planet agora é Softlayer

2010-11-08T12:12:00.004-03:00

Conforme já era esperado no mercado de hosting está confirmada a fusão entre 2 dos maiores Data Centers do mundo, a ThePlanet e a SoftLayer.

Comunicado "extra-oficial":

It’s my pleasure to inform you that the merger of The Planet® and SoftLayer® is complete! There will soon be public announcements about the merger, but I’d like to talk with you firsthand about the new opportunities and capabilities that it brings.

I’ll call you in the next few days to answer any questions you might have—there’s been plenty of speculation and I want you to hear about the exciting road ahead directly from me.

We highly value your business and trust, and have worked hard to create a seamless transition. Your The Planet accounts and services remain unchanged. Rest assured, the new SoftLayer is committed to the same world-class support and personal service you received as a customer of The Planet.

SoftLayer is already recognized for its automation and commitment to innovative product development. But now, you’ll receive new capabilities with increased value. You’ll have direct access and control of your solutions through our industry-leading Customer Portal and open API. This will allow you to order, deploy and manage your entire environment on-demand, without the need for human interaction.

Our goal is to provide the best hosting experience in the business and we want you to see it firsthand.

The new SoftLayer provides:

An expanded product line, with new products and services not available to you before.
Industry-leading automation, Customer Portal, and Open API, for direct access to more than 150 backend systems and activities.
Increased geographic diversity and the ability to choose where your servers reside.
High-speed network and multiple PoPs, providing more than 1,500G of connectivity and direct connections for lower latency.
Exclusive network architecture that weaves together distinct Public, Private and Data Center-to-Data Center networks.
Improved Service Level Agreement with 100% uptime and 2-hour or less hardware replacement (failure or upgrade) guaranteed.
Greater value for your business, including more performance per dollar, a larger international presence and expanded partnerships with industry leaders.

Your existing The Planet services and account are managed and accessed as they were before through Orbit and the Managed Hosting Portal. But beginning next week, you can also access the SoftLayer Customer Portal with your The Planet username and password.

Until this information is made public, please consider it confidential. I’ll send you a note this week to schedule some time for a discussion that’s convenient for you.

Mod Secure

2010-10-15T13:06:00.002-03:00

Segue um tutorial que preparamos para nossos clientes dedicados (não gerenciados) que acho interessante para todos: sobre atualização e instalação de regras do mod_secure.

Acessando via root execute:

cd /usr/local/apache/conf/ mkdir modsec_rules cd modsec_rules wget http://downloads.prometheus-group.com/delayed/rules/modsec-201002051427.tar.gz tar zvxf modsec-201002051427.tar.gz rm -fr zvxf modsec-201002051427.tar.gz

Mais info sobre o PG acesse: http://prometheus-group.com

Crie os diretórios abaixo, eles são necessários para gravação e leitura de arquivos temporários do ASL:

mkdir /var/asl mkdir /var/asl/tmp mkdir /var/asl/data mkdir /var/asl/data/msa mkdir /var/asl/data/audit mkdir /var/asl/data/suspicious mkdir /etc/asl

Corrija as permissões :

chown nobody.nobody /var/asl/data/msa chown nobody.nobody /var/asl/data/audit chown nobody.nobody /var/asl/data/suspicious chmod o-rx -R /var/asl/data/* chmod ug+rwx -R /var/asl/data/*

e crie o arquivo "lista branca":

touch /etc/asl/whitelist

Agora acesse o WHM e clique no "Mod Security", detetando as regras atuais e no lugar delas adicione:

SecComponentSignature 201002051427 SecRequestBodyAccess On SecResponseBodyAccess On SecResponseBodyMimeType (null) text/html text/plain text/xml SecResponseBodyLimit 2621440 SecServerSignature Apache SecUploadDir /var/asl/data/suspicious SecUploadKeepFiles Off SecAuditLogParts ABIFHZ SecArgumentSeparator '&' SecCookieFormat 0 SecRequestBodyInMemoryLimit 131072 SecDataDir /var/asl/data/msa SecTmpDir /tmp SecAuditLogStorageDir /var/asl/data/audit SecResponseBodyLimitAction ProcessPartial # ConfigServer ModSecurity - descomente caso vc use o ConfigServer CMC. Include /usr/local/apache/conf/modsec2.whitelist.conf #ASL Rules Include /usr/local/apache/conf/modsec_rules/99_asl_jitp.conf Include /usr/local/apache/conf/modsec_rules/50_asl_rootkits.conf #Include /usr/local/apache/conf/modsec_rules/00_asl_rbl.conf Include /usr/local/apache/conf/modsec_rules/00_asl_whitelist.conf Include /usr/local/apache/conf/modsec_rules/05_asl_scanner.conf Include /usr/local/apache/conf/modsec_rules/20_asl_useragents.conf

Caso você use o ConfigServer CMC (http://www.configserver.com/cp/cmc.html) deixe a linha "Include /usr/local/apache/conf/modsec2.whitelist.conf" liberada, caso não use, comente-a com um # no início.

Existem vários arquivos de regras específicas no /usr/local/apache/conf/modsec_rules/ - estas acima são sugestões.

Tome cuidado com o load do servidor - quanto mais regras forem adicionadas ao modulo mais o apache demorará a carrega-las em cada processo aberto. O que sugiro neste caso para usar são:

Include /usr/local/apache/conf/modsec_rules/99_asl_jitp.conf Include /usr/local/apache/conf/modsec_rules/50_asl_rootkits.conf Include /usr/local/apache/conf/modsec_rules/20_asl_useragents.conf

Após tudo isso salve e reinicie o apache. Acompanhe os logs do mo_secure para ver que tipo de tentativa de acesso indevido ocorre, em quais scripts e domínios de seu servidor.

Porque a LOCAWEB foi invadida

2010-09-19T18:00:00.006-03:00

Esta é uma pergunta que 10 entre 10 profissionais da área (sem contarmos os inúmeros clientes) estão se fazendo. O problema já foi identificado, trata-se de um ataque "0day" (leia-se "novinho em folha") explorando uma falha no sistema LINUX 64 bits usado pelos servidores afetados. Parece que a possível causa da invasão pode ter sido uma vulnerabilidade no kernel do linux (kernel: IA32 System Call Entry Point Vulnerability).

Vamos antes relembrar o problema: http://webtags.com.br/midias-sociais/locaweb-fail-invadida-por-hackers

O exploit usado pelo hacket que invadiu a LOCAWEB esta descrito (assim como executá-lo) em http://seclists.org/fulldisclosure/2010/Sep/268

Informações mais técnicas (talvez para ajudar o pessoal técnico da LOCAWEB que parece meio perdido): http://sota.gen.nz/compat2/

Atualização: Finalmente a LOCAWEB dá o ar da graça: http://blog.locaweb.com.br/archives/5712/comunicado-2/

Evento sobre e-Mail Marketing

2010-09-16T14:44:00.008-03:00

Sei que não tem relação direta com o objetivo deste BLOG, porém como recebemos muitas visitas de profissionais ligados ao mercado e de donos de empresas de Hospedagem de Sites achei legal também divulgar este evento, que será dia 9 de novembro aqui no Rio de Janeiro e também estarei participando.

Link do Evento: http://www.emmbrasil.com/

Soft4You: Gerenciador Financeiro para Empresas de Hospedagem

2010-09-02T13:42:00.004-03:00

Recebi do Soft4You uma notícia (ótima por sinal):

Prezado CLiente.

Após um longo periodo sem atualizaçõess devido a problemas diversos, estaremos agora desenvolvendo a versão 3.0 do Soft4you com muitas novidades e correções de bugs. A previsão será para no máximo 2 meses, queremos terminar o quanto antes e testar com alguns clientes.

Estaremos dando enfase nos seguintes tópicos:

-Segurança
-Otimização
-Personalização

Estamos com varias sugestões gravas que irão ser implantadas, também iremos retirar algumas função que não muito usadas e acabam poluindo o sistema.

Contamos com sua paciência mais um pouco.

Caso tenha problemas com seu Soft4you, duvidas, pedimos que consulte nossa FAQ que também sera atualizada nos próximos dias e que envie um ticket.

Atenciosamente
Soft4you

Mais informações sobre o Soft4You: http://www.megahost.com.br/revenda/cobranca.php

Suporte HOTMAIL

2010-08-11T17:38:00.003-03:00

O HOTMAIL é sem dúvida um dos pesadelos dos administradores de servidores de hospedagem, principalmente no que diz respeito ao seu sistema anti-spam. Sim o HOTMAIL tem um sistema anti-spam, embora chamar de sistema é ser bem educado.

Mas o problema é que a maioria dos usuários com certeza usam esta "coisa" chamada HOTMAIL, em vez de usarem o GMAIL por exemplo que tem o melhor anti-spam que conheço, pelo menos ele não bloqueia meia internet por nada causado o chamada "falso-positivo" ao classificar você como um SPAMMER.

Caso seus emails e/ou de seus clientes de hospedagem do servidor que você administra estejam com dificuldades para o envio de mensagens ao monstrengo HOTMAIL, acesse o link:

https://support.msn.com/eform.aspx?productKey=edfsmsbl&ct=eformts&st=1&wfxredirect=1

E depois REZE.

EXIM erro: retry time not reached for any host after a long failure period

2010-08-11T17:22:00.003-03:00

O erro no EXIM "retry time not reached for any host after a long failure period" pode ter várias causas mas existe uma correção muito pouco aplicada. Em casos extremos delete os seguintes arquivos no diretório /var/spool/exim/db:

retry
retry.lockfile
wait-remote_smtp
wait-remote_smtp.lockfile

Também limpe completamente os diretórios /var/spool/exim/input e /var/spool/exim/msglog, reiniciando o EXIM logo após:

service exim restart

Evento sobre Software Livre

2010-07-28T14:40:00.003-03:00

III Festival de Software Livre - Acessem: http://fslbh.org/

Roudcube Webmail

2010-07-28T14:25:00.003-03:00

Problemas com o RoudCube ? Segue uma listagem de possíveis correções do RoudCube Webmail.

Pastas Sumidas e sem permissão para deletar mensagens ou limpar a lixeira

Correção: abra o arquivo roundcube/config/main.inc.php e identifique a linha:

$rcmail_config['create_default_folders'] = FALSE;

Modifique a mesma para:

$rcmail_config['create_default_folders'] = TRUE;

Sem acesso ("Página não Encontrada ou erro 404)

Esse é um típico problema de firewall. Primeiro teste desabilitando o firewall temporariamente e caso vc consiga o acesso, adicione no mesmo permissão para acesso a porta 2095

Erro ao enviar emails pelo RoudCube

Verifique inicialmente se vc consegue o envio via outlook (local) ou mesmo usando outro Webmail do sistema CPANEL. Caso consiga o erro está diretamente ligado ao RoudCube, que "perdeu" seu acesso ao IMAP server. Execute:

/scripts/autorepair net_smtp_fix

Link: Treinamento - Balanceamento de Carga de Servidores

2010-07-13T19:54:00.002-03:00

Encontrei este link navegando pela Internet. Como conheço o EscolaLinux eu resolvi postar aqui e divulgar. Conhecimento nunca é demais. Trata-se de um curso que toca exatamente naquilo que está em evidencia no momento, o famoso CLUSTER.

"Este treinamento visa dar a possibilidade de construção de ambientes de farms de servidores com balanceamento dos serviços via LINUX VIRTUAL SERVER para administradores de redes, gerentes de TI, estudantes de computação e outros profissionais relacionados a ambientes de missão crítica."

Link: http://www.escolalinux.com.br/cluster-lvs-profissional

Link: Artigos sobre LINUX e Redes

2010-07-13T19:43:00.001-03:00

Alguns textos do Elgio Schlemer - sobre LINUX, segurança em redes e outros assuntos voltados ao mercado de TI: http://gravatai.ulbra.tche.br/~elgio/ulbra/

Vale a pena a visita e o estudo dos textos.

Link: apostila Postgree

2010-07-12T12:14:00.003-03:00

Uma dica para os que procuram informações sobre o PGSQL (Postgree) em PORTUGUÊS:

Instalação
DDL (Data Definition Language)
DML (Data Manipulation Language)
Funções Internas
Funções Definidas pelo Usuário e Triggers
DCL (Data Control Language) – Administração
Transações
Administração
Replicação
Configurações
Metadados (Catálogo)
Conectividade
Ferramentas
Apêndices
Exercício

PDF: http://www.fop.unicamp.br/informatica/index.php?option=com_docman&task=doc_view&gid=113&Itemid=36

CPANEL com Lightttp sem Apache

2010-07-12T02:29:00.005-03:00

Uma configuração interessante de ser efetuada em servidores de uso pesado - a troca do Apache (padrão do CPANEL) pelo Lighttp.

O Lighttpd é um servidor WEB leve (e que embora não tenha os zilhões de módulos e aplicações nativas do Apache) pode ser sim uma ótima opção para ser usado no lugar do Apache, principalmente no consumo de memória RAM - e devido ao péssimo suporte a FastCGI do Apache, o lighttpd tornou-se muito popular na comunidade Ruby on Rails, visto que possui uma ótima implementação do protocolo.

Mais informações sobre o Lighttp acesse: http://www.lighttpd.net/

Agora vamos ao tutorial. algumas coisas você tem que ter em mente:

Compile o Apache com módulo fastCGI (esqueça o SuPHP) - caso já tenha esta compilação pronta, ative-a. Você pode faze-lo via o WHM --> Software --> Apache Configuration;
Lembre-se que este tutorial é indicado para webservers (rodando CPANEL) com poucos domínios (mas que usam MUITOS recursos do servidor);
Você poderá continuar a usar o "Create Account" do CPANEL sem problemas, mas o Apache não mais estará ativado, você terá de executar manualmente a configuração de novos domínios no .conf do novo web server;

Faça o download e compilação do Lighttp - baixe a versão mais atual do http://www.lighttpd.net/ e compile segundo as instruções com o comando:

configure: ./configure --with-openssl --with-zlib --with-bzip2 --with-memcache

Será necessária a instalação do pcre-devel (yum install pcre-devel) - caso o seu sistema não o tenha já instalado. Siga então as instruções de instalação descritas em http://redmine.lighttpd.net/projects/lighttpd/wiki/InstallFromSource

Segundo Passo

Configure o arquivo /etc/lighttpd/lighttpd.conf como o exemplo abaixo:

server.modules = ( "mod_fastcgi", "mod_rewrite", "mod_dirlisting", "mod_auth", "mod_setenv", "mod_status" )
server.document-root = "/usr/local/apache/htdocs"
server.errorlog = "/etc/lighttpd/error.log"
server.username = "nobody"
server.groupname = "nobody"
index-file.names = ( "index.html", "index.htm", "index.php" )
server.tag = "Web Services"
status.status-url = "/lighttpd-status"
static-file.exclude-extensions = ( ".php", ".pl", ".fcgi" )
server.port = 80
include "includes/mime.conf"
include "includes/optimizations.conf"
include "includes/php.conf"
include "includes/hosts.conf"

No diretório /etc/lighttpd crie o sub-diretório includes:

mkdir includes

E dentro do mesmo crie os arquivos mime.conf, optimizations.conf, php.conf e hosts.conf, executando chmod 644 para todos eles. Estes arquivos deverão conter:

mime.conf

mimetype.assign = (
".pdf" => "application/pdf",
".sig" => "application/pgp-signature",
".spl" => "application/futuresplash",
".class" => "application/octet-stream",
".ps" => "application/postscript",
".torrent" => "application/x-bittorrent",
".dvi" => "application/x-dvi",
".gz" => "application/x-gzip",
".pac" => "application/x-ns-proxy-autoconfig",
".swf" => "application/x-shockwave-flash",
".tar.gz" => "application/x-tgz",
".tgz" => "application/x-tgz",
".tar" => "application/x-tar",
".zip" => "application/zip",
".mp3" => "audio/mpeg",
".m3u" => "audio/x-mpegurl",
".wma" => "audio/x-ms-wma",
".wax" => "audio/x-ms-wax",
".ogg" => "application/ogg",
".wav" => "audio/x-wav",
".gif" => "image/gif",
".jpg" => "image/jpeg",
".jpeg" => "image/jpeg",
".png" => "image/png",
".xbm" => "image/x-xbitmap",
".xpm" => "image/x-xpixmap",
".xwd" => "image/x-xwindowdump",
".css" => "text/css",
".html" => "text/html",
".htm" => "text/html",
".js" => "text/javascript",
".asc" => "text/plain",
".c" => "text/plain",
".cpp" => "text/plain",
".log" => "text/plain",
".conf" => "text/plain",
".text" => "text/plain",
".txt" => "text/plain",
".dtd" => "text/xml",
".xml" => "text/xml",
".mpeg" => "video/mpeg",
".mpg" => "video/mpeg",
".mov" => "video/quicktime",
".qt" => "video/quicktime",
".avi" => "video/x-msvideo",
".asf" => "video/x-ms-asf",
".asx" => "video/x-ms-asf",
".wmv" => "video/x-ms-wmv",
".bz2" => "application/x-bzip",
".tbz" => "application/x-bzip-compressed-tar",
".tar.bz2" => "application/x-bzip-compressed-tar",
"" => "application/octet-stream"
)

optimizations.conf (atenção para o "server.max-worker", caso seu sistema seja 64 bits mde o mesmo para a quantidade de CPUs que você tem no servidor, caso seja 32 bits e o sistema como um todo tenha baixa carga, mantenha 1)

server.event-handler = "linux-sysepoll"
server.max-fds = 32768
server.network-backend = "linux-sendfile"
server.max-connections = 8192
server.max-keep-alive-requests = 15
server.max-keep-alive-idle = 15
server.max-read-idle = 15
server.max-write-idle = 15
server.max-worker = 1

php.conf:

fastcgi.server = ( ".php" =>
( "localhost" =>
(
"socket" => "/tmp/php-fastcgi.socket-" + var.PID,
"bin-path" => "/usr/bin/php-cgi",
"max-procs" => 20,
"idle-timeout" => 10,
"bin-environment" => (
"PHP_FCGI_CHILDREN" => "20",
"PHP_FCGI_MAX_REQUESTS" => "500" ),
)
)
)

hosts.conf (mude o DOMINIO e USUARIO-DOMINIO ajustando os mesmos para seu sistema, e assim sucessivamente para quantos domínios forem necessários)

$HTTP["host"] =~ "^(www\.|)DOMINIO1\.com$" {
server.document-root = "/home/USUARIO-DOMINIO1/public_html/"
}

$HTTP["host"] =~ "^(www\.|)DOMINIO2\.com$" {
server.document-root = "/home/USUARIO-DOMINIO/public_html/"
}

Caso você deseje que sejam gerados LOGS de acesso e erro adicone logo abaixo da linha server.document-root:
server.errorlog = "/var/log/lighttpd/DOMINIO/error.log"
accesslog.filename = "/var/log/lighttpd/DOMINIO/access.log"
server.error-handler-404= "/e404.php"
Pare o Apache:
chkconfig httpd off
service httpd stop
Agora basta iniciar o seu novo webserevr Lighttp:
/etc/init.d/lighttpd start

Link: Certificação Linux LPI

2010-07-10T01:31:00.004-03:00

O YESLINUX é um blog que tem várias informações e dicas e sobre CERTIFICAÇÃO LINUX. Contém tutoriais importantes para os profissionais que estejam estudando para tirar sua CERTIFICAÇÃO.

Acreditem, é uma das necessidades primordiais de um bom profissional LINUX no mercado TI de hoje.

Link: http://www.yeslinux.com.br/

Dicas e táticas úteis para segurança no Linux

2010-07-08T16:30:00.002-03:00

Coloco um link para um artigo do Igor Ljubuncic sobre o tema SEGURANÇA NO LINUX, com algumas dicas importantes:

Neste artigo vou deixar a parte conceitual de lado e me focar em vetores específicos da segurança (de acordo com o mundo de razão e moderação que eu criei), e vou mostrar como você pode preparar uma estratégia encorpada à base de software, no Linux. Não espere guias detalhados sobre a configuração daquele sisteminha de detecção de invasores. A idéia não é essa. A idéia é ajudar você a entender os elementos básicos da segurança, com foco na identificação de suas necessidades e no tratamento delas com uma solução flexível e transparente. A escolha de software vai refletir suas necessidades.

Link: http://www.guiadohardware.net/artigos/taticas-seguranca-linux/

Segurança de seu Servidor com o LYNIS

2010-07-08T14:29:00.004-03:00

Segurança sempre é um ponto que qualquer profissional que trabalhe com sistemas Linux (e hospedagem de sites) deve prestar muita atenção. Existem diversas ferramentas no mercado que auxiliam nisso, hoje vamos indicar uma das melhores, o sistema LYNIS

É um sistema simples mas extremamente poderoso que vasculha seu servidor a procura de possíveis falhas e brechas de segurança. E o melhor de tudo, gera um relatório detalhado destas falhas e suas possíveis soluções, facilitando em muito o trabalho do administrador.

Link direto: http://www.rootkit.nl/projects/lynis.html

Para instalar e rodar em seu server é simples:

cd /usr/local/src
wget http://www.rootkit.nl/files/lynis-1.2.9.tar.gz
tar -zxvf lynis-1.2.9.tar.gz
cd lynis-1.2.9

E execute:

./lynis -c -Q

Diretorio /tmp SEGURO

2010-07-05T02:15:00.002-03:00

Como ampliar a segurança do diretorio /tmp ? É simples mas muita das vezes esquecido.

Execute via SSH os seguintes comandos:

/scripts/securetmp

Segurança no /dev/shm - Abra o arquivo fstab:

nano /etc/fstab

Localize e padronize da seguinte forma:

tmpfs /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0

Salve o arquivo e execute abaixo para re-montar a partição:

mount -o remount /dev/shm

DICA: Listagem de scripts do CPANEL

2010-07-05T02:08:00.002-03:00

O CPANEL tem alguns scripts que podem ser usados pelo administrador - Esses praticamente são todos os comandos que podem ser usados via SSH para administração do CPANEL.

É um post grande mas vale a pena uma estudada.

Todos estão dentro da pasta de scripts do software cPanel (diretório /scripts/);

Atenção:

Os mais importantes estarão na cor verde;
Em negrito estão os scripts que podem ser utilizados por usuários menos experientes;
Scripts sem negritos e que fazem parte de outro sistema podem causar danos ao serem executados separadamente do script que os inicializa;
Os scripts sem explicação logo serão atualizados;
Detalhes em inglês logo serão traduzidos;
Esta lista é atualizada toda semana;

Scripts:

adddns – Adiciona uma faixa de DNS;
addfpmail – Adiciona o frontpage mail extension a todas os domínios que não tenham;
addfpmail2 – Equivalente ao addfpmail;
addnetmaskips – Adiciona um netmask a todos os IPs que não possuem um netmask;
addnobodygrp – Adiciona ao grupo nobody (sem dono, neste caso) e ativa o modo seguro;
addpop – Adiciona uma conta POP;
addservlets – Adiciona suporte JSP a uma conta (requerimento: servidor tomcat rodando);
addstatus – Adicionar um usuário que possa verificar o status interno (status do servidor);
adduser – Adiciona um usuário ao sistema;
admin – Executa o WHM Lite;
apachelimits – Adiciona limites ao apache;
bandwidth -
betaexim – Instala a última versão do Exim, mas cuidado pois, se houver um beta, ele será instalado;
biglogcheck – Verifica se existem logs com mais de 2GB de espaço físico;
bitstest -
bsdcryptoinstall - Instala o Crypto Framework; > Exclusivo para servidor FreeBSD!
bsdldconfig – Configura diretórios apropriados para as bibliotecas do FreeBSD; > Exclusivo para servidor FreeBSD!
bsdpkgpingtest – Testa a taxa de download dos pacotes do FreeBSD; > Exclusivo para servidor FreeBSD!
buildbsdexpect – Instala sistema de espera; > Exclusivo para servidor FreeBSD!
builddomainaddr -
buildeximconf – Recria o arquivo de configuração do Exim “exim.conf”;
buildpostgrebsd-dev – Instala o serviço “postgresql”; > Exclusivo para servidor FreeBSD!
buildpureftproot -
bupcp -
chcpass – Script de uso interno do software cPanel; > Não deve ser executado, a menos que você saiba o que está fazendo!
checkallowoverride -
checkbadconf – Verifica o arquivo “/usr/local/apache/conf/httpd.conf” em busca de usuários com problemas;
checkbashshell -
checkbsdgroups – Verifica e corrige problemas com os usuários privilegiados do proftpd; > Exclusivo para servidor FreeBSD!
checkccompiler – Verifica se o compilador C do servidor está funcionando sem problemas;
checkdeadperlso -
checkerrorlogsafe -
checkfpkey – Verifica a SUID key do FrontPage extension;
checkgd – Verifica se o GD está operando normalmente;
checkgentoousers -
checkhttpd -
checkinfopages – Verifica se as páginas suspensas estão com as devidas propriedades;> Equivalente ao comando checksuspendedpages;
checkinterchange – Não deve ser executado, a menos que você saiba o que está fazendo!
checklibssl – Verifica se o libssl está operando normalmente para garantir o bom funcionamento dos links simbólicos;
checklink – Verifica se os links do sistema contém um destino real;
checklog -
checkmakeconf -
checkmaxclients – Verifique se o Apache atingiu o máximo de conexões simultâneas permitidas;
checkoldperl – Verifica se a versão do seu Perl é antiga;
checkoldrpm -
checkrsync – Verifica se o rsync está atualizado;
checksuexecpatch – Verifica se o serviço mailman está corretamente relacionado ao suexec;
checksuspendpages – Verifica se as páginas suspensas estão com as devidas propriedades;> Equivalente ao comando checkinfopages;
checkswup -
checkup2date – Verifica se o up2date está devidamente configurado; > Exclusivo para servidores RedHat;
checkyum – Verifica se o yum está configurado corretamente; > Exclusivo para servidores que usam pacotes RPM;
chkpaths – Verifica se /usr/sbin/chown está corretamente indicado para /bin/chown;
chownpublichtmls – Change ownership of all users web space to them, which is useful for converting to suexec. Files owned by nobody are deleted.
chpass – Troca de senha;
ckillall – Allows you to kill a process (used like killall).
ckillall2 – Allows you to kill a process.
cleanandmailformmaillog -
cleanbw – Remove logs antigos sobre bandwidth;
cleandns -
cleandns8 – Limpa os DNSs do arquivo “named.conf”;
cleangd – Limpa a instalação antiga do GD e instala uma versão mais atualizada;
cleanmd5 – Corrige problemas do cPanel com o MD5;
cleanmsglog – Limpa os logs do Exim;
cleanopenwebmail -
cleanupcheck -
cleanupmysqlprivs – Limpa os privilégios impróprios dados ao MySQL;
compilers – Desabilita o uso de compiladores para usuários sem privilégios para executá-los;
configips -
*.cgi – Não deve ser executado, a menos que você saiba o que está fazendo!
*.c -Não deve ser executado, a menos que você saiba o que está fazendo!
convert2maildir – Converts mail from mbox to maildir format and installs courier impap and pop (cpimap is removed).
convertemails – Não deve ser executado, a menos que você saiba o que está fazendo!
convertemails2 – Não deve ser executado, a menos que você saiba o que está fazendo!
convertemails5 – Não deve ser executado, a menos que você saiba o que está fazendo!
courierup – Updates/Installs Courier
cpanelsync -
cpbackup – Runs backups.
cpbackup2 – Não deve ser executado, a menos que você saiba o que está fazendo!
cptheme – (NOT USED)
dialog* – (NOT USED)
distupgrade – Upgrades RedHat to the newest version (for testing only)
dnscluster – Enables DNS clustering.
dnsqueuecron – Adds a cron job to dump the DNS queue.
dns_setup – (OLD)
dnstransfer – Only if the server has a DNS master (sync with DNS master).
doomhttpd -
dotbuffer – Não deve ser executado, a menos que você saiba o que está fazendo!
downgradefp – Downgrades FrontPage Extensions (to 5.0-0)
dropmysqldb – Derruba um banco de dados MySQL;
easyapache – Atualização a versão do Apache (upgrade);
editquota – Altera a quota dos usuários;
enablechkservdwebmail – Ativa o serviço de verificação do “webmaild”;
enablefileprotect – Protege todos os arquivos dos diretórios “/home” se o Apache estiver sendo reinstalado;
ensurepkg – Instala um pacote feito para FreeBSD;
ensurerpm – Instala um pacote no formato RPM;
ensurerpm2 – Não deve ser executado, a menos que você saiba o que está fazendo!
exchangeacctdb -
exim3 – Instala o Exim v. 3;
exim4 – Instala o Exim v. 4;
exim4-rh73test – Instala o Exim de release número 260; Atenção recurso disponível somente para servidores RedHat;
eximcron – Creates a cron job for exim_tidy_db.
eximlocalsend – Ativa ou desativa o envio local de e-mails pelo Exim;
exim_tidydb – Limpar o arquivo de log do Exim;
eximup – Installs/Updates exim.
eximup~ – Não deve ser executado, a menos que você saiba o que está fazendo!
expectperlinstaller – Não deve ser executado, a menos que você saiba o que está fazendo!
fetchfile – Não deve ser executado, a menos que você saiba o que está fazendo!
fetchfpexec -
fetchgd – Includes libg.so.
finddev – Não deve ser executado, a menos que você saiba o que está fazendo!
findhacks – Realiza uma busca pelos trojans mais comuns nos servidores;
findoddrootprocesses – Lists root processes that may need to be checked out.
findphpversion – Verifica se a versão utilizada do PHP é a mais atual;
findtrojans – Faz uma busca profunda por trojans;
fixadmin -
fixallcartswithsuexec – Fixes permissions on carts when using suexec.
fixallinterchangeperm – Fixes permissions on all users’ Interchange Shopping Carts.
fixbinpath – Makes sure all bin file paths are correct.
fixbuggynamed – Updates bind to solve any problems with bugs.
fixcartwithsuexec – Pode ser usado para corrigir um problema com o suexec; Não deve ser executado, a menos que você saiba o que está fazendo!
fixcgiwrap -
fixcommonproblems – Verifica e corrige os problemas mais comuns relacionados ao cPanel vs servidor;
fixetchosts – Fixes problems with /etc/hosts
fixeverything – Fix common problems and quotas.
fixfpwml – Fix for .wml errors with frontpage.
fixheaders – Run if nothing compiles errors with .h files on compile.
fixhome – (NOT USED) – Unsymlink items.
fixinterchange – Reinstall interchange Perl modules.
fixinterchangeperm – fix permissions on a user’s interchange cart.
fixipsnm – Same as addnetmask ips, but Perl though.
fixlibnet – Reinstall Bundle::libnet (Perl).
fixlocalhostwithphp – Change /etc/hosts to work better with PHP 4.2.0 + MySQL.
fixmailandakopia – (NOT USED)
fixmailman – Atualiza e reinicia o serviço “mailman”;
fixmailmanwithsuexec -
fixmuse – Instala novamente a interface “muse”;
fixmysql – Corrige problemas relacionados ao MySQL; Não deve ser usado em servidores FreeBSD!
fixmysqlbsd – Corrige problemas relacionados ao MySQL; > Exclusivo para servidor FreeBSD!
fixnamed – Atualiza o serviço “named” para utilizar mais de 512 faixas de IP;
fixndc – Repair redhat’s broken named.conf on 7.2.
fixndc.new – Não deve ser executado, a menos que você saiba o que está fazendo!
fixoldlistswithsuexec – Run after enabling suexec on the server to change the URLs that Mailman gives out to ones that don’t give a 500 internal server error.
fixperl – Corrige link simbólico de usr/local/bin/perl para /usr/bin/perl;
fixperlscript – Verifica se todos os scripts Perl estão com os módulos relacionados instalados;
fixpop – Corrige uma conta POP e recria a senha;
fixproftpdconf – Corrige problemas relacionados ao arquivo de configuração do proftpd (/usr/local/etc/proftpd.conf);
fixproftpdconf~ – Não deve ser executado, a menos que você saiba o que está fazendo!
fixproftpddupes - Atualiza o “proftpd” para evitar ou corrigir dupes;
fixquotas – Corrige problemas de quotas; > Usa muitos recursos do servidor! É recomendado utilizar em horários onde o tráfego do servidor é menos intenso.
fixrelayd -
fixrh72ndckey – Não deve ser executado, a menos que você saiba o que está fazendo!
fixrndc – Fixes named.conf to prevent rndc staus failed.
fixspamassassinfailedupdate – Instala novamente uma atualização do spamassassin que falhou;
fixsubconf -
fixsubdomainlogs – Corrige problemas relacionados aos relatórios de sub-domínios; Ideal para executar quando esses relatórios não aparecem no cPanel;
fixsuexeccgiscripts – Corrige os problemas com scirpts CGI após a instalação do suexec;
fixtrojans – (NOT USED)
fixvaliases – Corrige permissões das valiases;
fixwebalizer – Corrige problemas comuns com o Webalizer; > Ideal para executar quando o Webalizer para de atualizar; Importante: Esse fix apaga toda a base de dados da conta especificada;
fixwebmail – (OLD)
fixwwwdir – (OLD)
fp3 – Updates the fpexe3 patch.
fpanonuserpatch – Updates FrontPage extensions to include the anonymous user patch.
fp-auth -
fpbtr – (OLD)
fpsuexec – Não deve ser executado, a menos que você saiba o que está fazendo!
fpsuexec2 – Não deve ser executado, a menos que você saiba o que está fazendo!
fpsuexec3 – Não deve ser executado, a menos que você saiba o que está fazendo!
fpupgrade – Não deve ser executado, a menos que você saiba o que está fazendo!
ftpcheck – Checks for FTPSSL.
ftpfetch – Não deve ser executado, a menos que você saiba o que está fazendo!
ftpput – Não deve ser executado, a menos que você saiba o que está fazendo!
ftpquaotacheck – Verifica as quotas de todos os usuários FTP;
ftpsfetch – Não deve ser executado, a menos que você saiba o que está fazendo!
ftpup - Atualiza o seu servidor FTP;
ftpupdate – Não deve ser executado, a menos que você saiba o que está fazendo!
fullhordereset – Resets Horde and displays the current Horde password.
futexfix – Corrige problemas comuns com o futex;
futexstartup – Inicia o furtex;
gcc3 – Installs gcc-3.3.3
gencrt – Generate a .crt and .csr file.
gencrt2 – (NOT USED)
gentomcatlist – Não deve ser executado, a menos que você saiba o que está fazendo!
gentooportsup -
gethomedir – Não deve ser executado, a menos que você saiba o que está fazendo!
getpasswd – Não deve ser executado, a menos que você saiba o que está fazendo!
getremotecpmove – Não deve ser executado, a menos que você saiba o que está fazendo!
getrpmfor -
grabemails – Não deve ser executado, a menos que você saiba o que está fazendo!
grabhttp – Não deve ser executado, a menos que você saiba o que está fazendo!
grabhttp2 – Não deve ser executado, a menos que você saiba o que está fazendo!
grabmysqlprivs – Não deve ser executado, a menos que você saiba o que está fazendo!
grpck – Checks to see if grpck is working properly.
hackcheck – Não deve ser executado, a menos que você saiba o que está fazendo!
hdparmify – Enable dma/irq/32bit HD access, which speeds up IDE drives.
hdparmon – Turns on hdparm.
HTTPreq.pm – Não deve ser executado, a menos que você saiba o que está fazendo!
httpspamdetect -
icpanel – (OLD)
initacls – Mounts your file systems with ACL support (make sure your kernel supports ACLs)
initbyteslog – Não deve ser executado, a menos que você saiba o que está fazendo!
initfpsuexec – Enable FrontPage suexec support.
initquotas – Turn on quota support on new drives.
initsslhttpd – Make sure HTTP starts with SSL.
initsuexec – Turn on suexec support if suexec is installed.
installaimicq – Não deve ser executado, a menos que você saiba o que está fazendo!
installcgipm – Installs CGI.pm
installcpbsdpkg -
installcpgentoopkg -
installdbi – Install Bundle::DBD::mysql.
installfpfreebsd – Installs FrontPage 5 Extensions on FreeBSD.
installfpgentoo – Installs FrontPage on Gentoo.
installgd – Builds GD.
installipc – Não deve ser executado, a menos que você saiba o que está fazendo!
installpkg – Installs a FreeBSD package.
installpostgres – Installs PostrgeSQL.
installrmmods – (OLD)
installrpm – Installs a rpm.
installrpm2 – Não deve ser executado, a menos que você saiba o que está fazendo!
installspam – Install SpamAssassin.
installssl – Add a SSL vhost.
installtree -
installzendopt – Install zend optimzer.
installzendopt-freebsd – Install zend optimizer on a freebsd machine.
ipcheck – Não deve ser executado, a menos que você saiba o que está fazendo!
ipusage – Não deve ser executado, a menos que você saiba o que está fazendo!
isdedicatedip – Checks an ip to see if it is dedicated.
kernelcheck – Não deve ser executado, a menos que você saiba o que está fazendo!
killacct – Delete an account.
killbadrpms – Security script that kills insecure RPMs from the server.
killdns – Delete a DNS zone.
killdns-dnsadmin -
killdrrootvhost – Removes the document root for a virtual host.
killndbm – Remove the broken NDBM_File module from 7.2.
killpvhost – Removes a virtual host from proftpd.conf.
killspamkeys – Removes a spam key.
killsslvhost – Removes a SSL entry for a virtual host.
killvhost – Delete a vhost.
listcheck – Checks mailing lists for issues.
listproblems – Lists common problems.
listsubdomains – List subdomains.
mailadmin – (DEAD, OLD)
maildirmenu – Não deve ser executado, a menos que você saiba o que está fazendo!
mailman212 – Não deve ser executado, a menos que você saiba o que está fazendo!
mailperm – Fix almost any mail permission problem.
mailscannerupdate – Updates MailScanner
mailtroubleshoot – Guided mail fix.
makecpphp – Installs php.
makesecondary – Part of DNS transfer.
manualupcp – Updates cPanel manually.
md5crypt – Encrypts a password into MD5.
mkquotas – OLD
mkwwwacctconf – Não deve ser executado, a menos que você saiba o que está fazendo!
mrusersscpcmd -
mseclocal – Sets up Mandrake’s msec to allow exim to run as mailnull.
mysqladduserdb – Create a MySQL databse and user.
mysqlconnectioncheck – Attempts to connect to MySQL, restarts SQL if necessary.
mysqldeluserdb – Delete a MySQL database and user.
mysqlinfo – (OLD)
mysqlpasswd – Change MySQL password.
mysqlrpmpingtest – Checks your connection speed for downloading mySQL rpms.
mysqlup – Updates mySQL.
mysqlup~ – Não deve ser executado, a menos que você saiba o que está fazendo!
ndbmcheck – Checks to see if the nbdm module is loaded (kills in RedHat 7.2)
netftpsslpatch – Patches FTPSSL.pm.
newdomains – (OLD)
newdomains-sendmail – (OLD)
newexim – Installs the latest version of exim.
newftpuser – (NOT USED)
newpop – (NOT USED)
nofsck – Make fsck always use -y
nomodattach – Removes mod_attach from httpd.conf.
nomodauthmysql -Removes mod_auth_mysql from httpd.conf.
nomodbwprotect – Removes mod_bwportect from httpd.conf.
nomodgzipconfmods – Removes mod_gzip from httpd.conf.
nomodperl – Removes mod_perl from httpd.conf.
oldaddoncgi2xaddon – Updates old addons to X addons.
oldaddonconverter – Não deve ser executado, a menos que você saiba o que está fazendo!
oopcheck – Não deve ser executado, a menos que você saiba o que está fazendo!
park – Parks a domain.
patcheximconf – Fixes exim.conf.
patchposixtypes -
patchtypes -
patchtypesizes -
pedquota – Acessório do editquota (usado para editar quota); Não deve ser executado, a menos que você saiba o que está fazendo!
perlinstaller – Installs perl.
phpini – Create a php.ini file.
phpopenbasectl -
pingtest – Checks your download time from cPanel mirrors.
pkgacct – Não deve ser executado, a menos que você saiba o que está fazendo!
pkgacct~ – Não deve ser executado, a menos que você saiba o que está fazendo!
pkgacct2 – Não deve ser executado, a menos que você saiba o que está fazendo!
pkgaccount-ala – backs up an Alab*nza account for transfer.
pkgacct-ciXost – backs up a ci*ost account for transfer.
pkgacct-dXm – backs up a d*m account for transfer.
pkgacct-enXim – backs up an en*im account for transfer.
pkgacct-ng -
pkgacctn-ng.orig -
pkgacct-pXa – backs up a p*a account for transfer.
popftpuse – (OLD)
portsup – (FREEBSD BETA)
postsuexecinstall – (INTERNAL)
proftpd128 – Installs proftpd-1.2.8.
pscan – (OLD)
ptycheck – Fixes permissoins on /dev/ptmx.
pwck -Verifies the integrity of system authentication information.
quickfixmysqlbsd – (NOT USED)
quickkernel – Updates your kernel.
quicksecure – Quickly kill useless services.
quotacheck – Não deve ser executado, a menos que você saiba o que está fazendo!
rasetup – (OLD)
rawchpass – Não deve ser executado, a menos que você saiba o que está fazendo!
realadduser – Não deve ser executado, a menos que você saiba o que está fazendo!
realchpass – Não deve ser executado, a menos que você saiba o que está fazendo!
realperlinstaller – Não deve ser executado, a menos que você saiba o que está fazendo!
realrawchpass – Não deve ser executado, a menos que você saiba o que está fazendo!
rebuildcpanelsslcrt – Rebuilds the cPanel SSL Certificate.
rebuildcpusers – Rebuilds /var/cpanel/users.
rebuildetcpasswd – Rebuilds /etc/passwd.
rebuildeximbsd – Rebuilds exim on FreeBSD.
rebuildhttpdconffromproftpd – Rebuild httpd.conf from the proftpd.conf file.
rebuildinterchangecfg – Used after moving a domain with Interchange to the server.
rebuildippool – Não deve ser executado, a menos que você saiba o que está fazendo!
rebuildnamedconf – Restore named.conf from files in /var/named.
rebuildproftpd – Restore proftpd.conf from httpd.conf.
reinstallmailman – Reinstalls mailman.
relocatevartousr – Relocates files from /var to /usr in case of disk space issues.
remdefssl – Remove default SSL vhost.
reseteximtodefaults – Resets exim’s default settings.
resethorde -
resetimappasswds – Resets all imap passwords.
resetmailmanurls -
resetquotas – Change quotas to what they should be .
restartsrv – Restart a service.
restartsrv_apache – Reinicia o Apache;
restartsrv_bind – Reinicia o serviço bind;
restartsrv_clamd – Reinicia o serviço clamd;
restartsrv_courier – Reinicia o serviço imap;
restartsrv_cppop – Reinicia o serviço cppop;
restartsrv_entropychat – Reinicia o serviço entropy chat;
restartsrv_exim – Reinicia o serviço exim;
restartsrv_eximstats – Reinicia as estatísticas do Exim;
restartsrv_ftpserver – Reinicia o servidor FTP;
restartsrv_ftpserver~ – (INTERNAL)
restartsrv_httpd – Reinicia o serviço httpd;
restartsrv_imap – Reinicia o serviço impad;
restartsrv_inetd – Reinicia o serviço inetd;
restartsrv_interchange – Reinicia o Interchange Shopping Cart;
restartsrv_melange – Reinicia o serviço melange chat;
restartsrv_mysql – Reinicia o serviço mysqld;
restartsrv_named – Reinicia o serviço named;
restartsrv_postgres – Reinicia o serviço postgres;
restartsrv_postgresql – Reinicia o serviço postgresql;
restartsrv_proftpd – Reinicia o serviço proftpd;
restartsrv_pureftpd – Reinicia o serviço pure-ftpd;
restartsrv_spamd – Reinicia o serviço spamd;
restartsrv_sshd – Reinicia o serviço sshd;
restartsrv_syslogd – Reinicia o serviço syslogd;
restartsrv_tomcat – Reinicia o serviço tomcat;
restartsrv_xinetd – Reinicia o serviço xinetd;
restoremail – Recupera a caixa de e-mail de algum usuário (caso seja possível);
restorepkg -
reswhostmgr – Reinicia o serviço whostmgr;
rhlupdate – (OLD)
rpmpreinstall – (INTERNAL)
rpmup – Faz atualização do gerenciador de pacotes RPM; > Exclusivo para servidores que utilizam pacotes RPM;
rpmup2 – Não deve ser executado, a menos que você saiba o que está fazendo! > Exclusivo para servidores que utilizam pacotes RPM;
rpmup3 – Não deve ser executado, a menos que você saiba o que está fazendo! > Exclusivo para servidores que utilizam pacotes RPM;
rrdtoolinstall – Instala ferramenta RRD;
rscpmd -
runlogsnow – (OLD)
runstatsonce – Atualiza as estatísticas (deve ser adicionado ao crontab para ser utilizado) dos geradores de relatório (analog, webalizer etc);
runweblogs - Executa os geradores de relatório (analog, webalizer etc) para um determinado usuário;
ruserssscpcmd – (INTERNAL)
safeperlinstaller – Instala o serviço Perl em modo seguro;
safeup2date – Executa o up2date em modo seguro;
safeyum – Eexecuta o yum em modo seguro;
scpcmd – Não deve ser executado, a menos que você saiba o que está fazendo!
searchbadgroups -
searchreplace – (NOT USED)
secureit – Remove binários SUID desnecessários ao sistema;
securemysql – Realiza algumas alterações no MySQL para maior segurança;
securetmp – Adiciona segurança extra para a pasta tmp na inicialização do servidor;
selinux_custom_contexts -
selinuxsetup -
sendaim – Não deve ser executado, a menos que você saiba o que está fazendo!
sendicq – Não deve ser executado, a menos que você saiba o que está fazendo!
setupfp – Install FrontPage 3 on an account.
setupfp4 – Install FrontPage 4 (2000) installer on an account.
setupfp5 – Install FrontPage 5 (2002) installer on an account.
setupfp5.nosueuxec – Install FrontPage 5 (2002) installer on an account when not using suexec.
setupmakeconf -
showexelist – Exibe lista de processos executáveis;
simpleps – Exibe a lista de processos ativos;
simplesshcmd – Não deve ser executado, a menos que você saiba o que está fazendo!
smartcheck – Verifica a integridade do hardware; Script pouco eficiente para detectar possíveis problemas;
smtpmailgdionly – Habilita proteção extra para o SMTP;
snarf – Não deve ser executado, a menos que você saiba o que está fazendo!
spamasssassin-cpanel – (NOT USED)
spamboxdisable – Desabilita a vaixa anti-SPAM (spambox) de todas as contas de e-mail do servidor;
sscpcmd – Não deve ser executado, a menos que você saiba o que está fazendo!
ssh2.expect – Não deve ser executado, a menos que você saiba o que está fazendo!
sshcmd -
sshcontrol – Não deve ser executado, a menos que você saiba o que está fazendo!
ssh.expect – Não deve ser executado, a menos que você saiba o que está fazendo!
stage2fpmail – Não deve ser executado, a menos que você saiba o que está fazendo!
supportvoidcheck -
suspendacct – Suspende uma conta específica;
symlinktodir – Não deve ser executado, a menos que você saiba o que está fazendo!
sysup – Atualiza o sistema de gerenciamento de pacotes RPM do cPanel;
telentcrt – (OLD)
testinf – (OLD)
trustme – Não deve ser executado, a menos que você saiba o que está fazendo!
typocheck -
uf – (OLD)
unlimitnamed - Instala um patch para o servidor poder utilizar mais de 512 IPs;
unblockip - Remove um IP bloqueado (IP que tenta acessar o servidor);
unpkgacct – Não deve ser executado, a menos que você saiba o que está fazendo!
unsetupfp4 – Remove o FrontPage 4 ou 5 de uma conta;
unslavenamedconf - Reparar problema com o arquivo “named.conf”, no caso do DNS Master for colocado como local (a reparação possui um delay após ser requerida)
unsuspendacct – Remove da suspensão uma conta específica;
upcp – Atualiza o cPanel;
updated – Verificase há atualização para os scripts (em geral, /scripts/) do cPanel;
updatedomainips – Não deve ser executado, a menos que você saiba o que está fazendo!
updatefrontpage – Atualiza o FrontPage extension;
updatemysqlquota -
updatenow – Atualiza os scripts (em geral, /scripts/) do cPanel (atualiza sem verificar, diferente do updated); Atenção: Utilize-o apenas se você sabe o que está fazendo, pois o cPanel já atualiza os scripts automaticamente e um problema pode ser gerado devido a diferença de atualizações do cPanel e dos scripts;
updatephpconf – Atualiza os arquivos de configuração do PHP;
updateuserdomains – Não deve ser executado, a menos que você saiba o que está fazendo!
updateuserdomains2 – Não deve ser executado, a menos que você saiba o que está fazendo!
userdirctl -
userps – (OLD)
usersscpcmd – Não deve ser executado, a menos que você saiba o que está fazendo!
usersscpcmd1 – Não deve ser executado, a menos que você saiba o que está fazendo!
usersshcmd – Não deve ser executado, a menos que você saiba o que está fazendo!
verify – (OLD)
verifyzone – Não deve ser executado, a menos que você saiba o que está fazendo!
whichrpm – Não deve ser executado, a menos que você saiba o que está fazendo!
whoowns – Descobre o proprietário de um domínio;
whostmgrkey – (OLD)
wwwacct – Cria uma conta;
wwwacct2 – Não deve ser executado, a menos que você saiba o que está fazendo!
x* – (OLD)
xaddonreport – Cria um relatório dos scripts extras instalados (addon scripts);
zoneexists – Não deve ser executado, a menos que você saiba o que está fazendo!

Tradução painel WHM

2010-07-05T00:29:00.001-03:00

Uma nova tradução da nova versão do painel WHM (menu lateral) atualizada e sem erros de charset: http://central.meganick.com.br/dl.php?type=d&id=33

Mudando a partição /tmp

2010-07-05T00:17:00.004-03:00

É muito comum em servidores LINUX com CPANEL a partição /tmp ficar "lotada", devido a falta de espaço, pois o CPANEL por padrão cria a /tmp apenas com 512kbytes de espaço - o que pode ser muito pouco em sistemas de uso pesado com muitos domínios hospedados.

Alguns motivos para a partição /tmp ficar cheia:

Operações de reparo com o Mysql que requerem aumento temporário de espaço
Scripts PHP - principalmente sessions do PHP
Spamassassim e sistemas similares
Scripts "perdidos" com dados de armazenamento que não foram fechados/deletados ao final da execução (o mais comum na verdade).

Para evitar este tipo de problema, a dica é aumentar a partição /tmp (lembre-se que durante o processo o mysql deixará de funcionar/responder) Execute:

/etc/init.d/chkservd stop
/etc/init.d/mysql stop
umount /var/tmp
umount /tmp
sed -i -e 's/512000/2048000/g' /scripts/securetmp
rm /usr/tmpDSK
/scripts/securetmp --auto
cd /tmp
ln -s /var/lib/mysql/mysql.sock
/etc/init.d/mysql start
/etc/init.d/chkservd start

Estes comandos criarão a partição /tmp com 2gbs de espaço livres. Caso você receba a mensagem de que a partição /tmp está em uso, verifique qual processo esta sendo armazenado na mesma e mate o processo antes de iniciar os comandos acima:

lsof /tmp

E mate o processo com:

kill –9

Como aumentar memória SWAP

2009-06-27T11:52:00.003-03:00

Uma dica simples e rápida. Muitas vezes é necessário aumentar a memória SWAP (troca) principalmente se for pedida uma nova instalação de memória RAM fixa para o Data Center onde esta locado o seu servidor. Isso cria mais estabilidade no sistema e aumento de performance.

Esta dica vc pode fazer "on-the-fly" ou seja, com o servidor ligado e em produção (neste exemplo ele adicionará 128 mbs ao swap existente):

Criar o path: /var/novo_swap

mkdir /var/novo_swap

Execute:

dd if=/dev/zero of=/var/novo_swap/swap bs=1024 count=128000

Verifique agora:

ls -lh /var/novo_swap

Dizendo para o sistema operacional usar o arquivo como swap:

mkswap /var/novo_swap/swap

Ativando:

swapon /var/novo_swap/swap

Blog do Guto

2009-06-16T17:53:00.000-03:00

Endereço de um novo Blog com informações sobre o CPANEL: http://gutopedrosa.com/blog/

Mudança de Regras no registro.br

2009-05-28T12:12:00.000-03:00

Sobre nova mudança de regras de registro de domínos .net.br (antes apenas provedores de acesso e empresas relacionadas podiam ter este registro):

Em 2008 o DPN .com.br tornou-se um DPN "genérico", passando a aceitar registro tanto de pessoas jurídicas como de pessoas físicas. O mesmo foi decidido pelo Comitê Gestor quanto ao domínio .net.br. Assim, esses dois DPNs, o .com.br e o .net.br, já aceitam registros tanto de
pessoas jurídicas como de pessoas físicas.

Em 6 de abril de 2009 iniciou-se a operação do .net.br como DPN genérico.

Para a garantia de um início suave de operação e a preservação de direitos, durante os primeiros seis meses ("sunrise period"), os domínios existentes no .com.br, que tenham sido registrados antes de 6 de abril estarão reservados no .net.br, a espera de manifestação de seus detentores no .com.br. Ou seja, os detentores de domínios no .com.br terão seis meses, a partir de 6 de abril e até 6 de outubro para, manifestando seu interesse, registrar o mesmo nome sob o
.net.br.

Findo o período de "sunrise", a partir de 27 de outubro, os domínios para os quais seu detentor no .com.br optou por não registrá-los no .net.br estarão disponíveis para registro a todos.

RoR e LibSafe

2009-04-30T20:39:00.006-03:00

Alguns erros podem ocorrer ao se configurar o LIBSAFE (quem não sabe do que se trata deve saber logo: http://directory.fsf.org/project/libsafe/) em conjunto com o RoR. Mas existem formas de se corrigir estas falhas e erros (por exemplo, o Rails não iniciar ou não atualizar).

Execute via SSH:

echo "/usr/bin/ruby" >> /etc/libsafe.exclude

E depois desinstale o RAILS com os comandos:

gem uninstall rails
gem uninstall mongrel
gem uninstalled fastthread

Reinstalar agora via CPANEL:

/scripts/installruby
/usr/local/cpanel/bin/ror_setup

Por algum motivo o fast thread não é instalado no CPANEL, é bom forçar sua instalação:

gem install fastthread

Finalmente, atualize todas as GEMS (Gemas) do sistema:

gem update --system

Mudar IP do Servidor de email EXIM

2009-03-18T18:56:00.004-03:00

Algumas vezes é necessária a mudança de IP do servidor de email. Por padrão o EXIM vem configurado com a mesma interface de rede (IP) do main IP do servidor. Isso pode trazer alguns problemas, principalmente se algum SPAMMER espertinho consiga usar seu servidor para envio de SPAM, ocasionando na listagem de seu IP em uma RBL.

Para mudar é simples. Edite o arquivo /etc/exim.conf:

pico /etc/exim.conf

E identifique as linhas:

remote_smtp:

driver = smtp
interface=

E modifique a "interface=" para:

interface= NOVO IP

E reinicie o EXIM:

service exim restart

Apenas uma correção postada pelo Guto (www.gutopedrosa.com). Para evitar que o sistema recoloque o mesmo IP (main IP) do servidor no lugar do novo IP do EXIM edite o arquivo e coloque apenas o novo IP no mesmo:

vi /etc/mailips
* ip a ser utilizado
depois basta sair e salvar

Reinstalando Webmail

2009-02-27T15:29:00.003-03:00

As vezes ocorrer erros sem explicação no CPANEL - o trabalho de um bom administrador é ficar atento principalmente após atualizações do sistema.

Alguns erros bobos podem ser rapidamente corrigidos, como por exemplo o webmail. Para reinstalar os 3 sistemas de webmails disponíveis por padrão no CPANEL execute:

Primeiro atualize o seu CPANEL de forma correta e completa:

/script/upcp –force

Depois reinstale os sistemas:

Horde: /usr/local/cpanel/bin/updatehorde --force

RoundCube: /usr/local/cpanel/bin/update-roundcube --force

Squirrelmail: /usr/local/cpanel/bin/update-squirrelmail --force

Lembre-se que isso apagará todas as configurações existentes atualmente - inclusive banco de dados de contatos, etc.

Configuração do SSH

2009-02-17T13:11:00.002-03:00

Alguns administradores deixam de lado algumas configurações do sistema SSH que podem facilitar a vida de seus usuários e tb implementar o nível de segurança de seus servidores.

Aqui eu vou listar alguns detalhes de configuração do SSH. Para mais informações detalhadas você poderá tamém ler executando o man do ssh via shell:

man 8 sshd

O sshd_config (arquivo de configuração do SSH) contém algumas diretrizes importantes:

Port
Define em qual porta o daemon do ssh (sshd) aceita novas conexões. A mudança da porta padrão (22) para outra porta é indicada, mas lembre-se isso apenas causa uma leve impressão de segurança, pois utilizando um simples port-scanning é possível identificar em qual porta esta rodando o SSH.

ListenAddress
Define um endereço IP específico em que o daemon ficará escutando no servidor, caso o servidor possua mais de uma interface de rede (física ou virtual). Esta opção é legal para servidores que ficam ligados diretamente a Internet, pois você pode definir que o daemon do ssh aceitará somente conexões oriundas da sua rede local.

Exemplo: ListenAddress 200.200.200.200

LogLevel
Oferece diversos níveis de log para análise: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2, e DEBUG3. A opção que vem habilitada por padrão é a INFO, porém a que mais me chama a atenção é a DEBUG, que fornece todas as informações de possamos desejar.

PermitRootLogin
Serve para permitir ou não que o usuário root possa se logar via ssh. Esta opção é legal para evitar ataques de força bruta, pois o usuário root existe em qualquer sistema Linux/Unix e a maioria das tentativas de invasão tentam se logar como root.

Estas são apenas algumas diretrivez do sistema SSH, eu irei com mais calma no próximo pots colocar mais algumas informações sobre o sistema. Lembre-se de reiniciar o SSH server após qualquer modificação.

Ótimo Tutorial sobre IPTABLES

2009-01-29T21:53:00.002-03:00

Escrito por Rodrigo Ribeiro eis um tutorial completo para desvendar os segredos do IPTABLES: http://techfree.com.br/wordpress/2009/01/28/iptables-basico/

Regras do Mod_security

2009-01-26T23:29:00.003-03:00

Algumas regras importantes do mod_security (se você não tem instalado este módulo em seu apache, tome vergonha e instale).

Estas regras usamos em todos os nossos servidores de hospedagem de sites - caso você hospede apenas seus sites em seu servidor e não sites de terceiros (ou seja, você sabe exatamente o que está rodando) você pode "abrandar" um pouco estas regras, fica a seu critério.

Detalhe só como Apache 2.2 ok ?

Dowload: http://central.meganick.com.br/dl.php?type=d&id=29

Firebird

2009-01-24T17:26:00.006-03:00

Neste post vou colocar passo-a-passo o que é necessário para você instalar o Firebird em seu servidor cPanel. Este processo também pode ser útil em outros servidores ou sistemas, com uma ou outra modificação. Neste post você terá o processo de instalação e compilação do sistema e de tudo relacionado ao correto funcionamento do Firebird.

Para mais informações sobre o Firebird eu sugiro o ótimo portal (em portugues): http://www.firebase.com.br/

1. Baixe o FireBird para o seu servidor:

cd /opt/
wget http://nchc.dl.sourceforge.net/sourceforge/firebird/Firebird-2.0.3.12981-1.tar.bz2

2. Compile e instale o módulo manualmente:

tar -jxf Firebird-2.0.3.12981-1.tar.bz2
mv Firebird-2.0.3.12981-1 firebird
cd firebird
./autogen.sh
make
make install

Ele irá colocar algumas mensagens na tela como:

Firebird classic 2.0.3.12981-1.i686 Installation
Press Enter to start installation or ^C to abort
Please enter new password for SYSDBA user: (Enter here SYSDBA user password and press Enter key)
firebird database Installed successfully

3. Adicione o /usr/local/firebird/bin/ ao seu "caminho" default no servidor.

Você pode editar o arquivo /etc/profile ou executar via comando shell mesmo:

export PATH=$PATH:/usr/local/firebird/bin/

Agora vamos checar se está tudo correto e se o Firebird está sendo executado normalmente com alguns testes simples. Abra o arquivo /opt/interbase/SYSDBA.password para ver a senha "root" (que no FireBird é chamado de usuário SYSDBA) e execute:

gsec -display

Este comando deve mostrar a lista dos usuário, no caso como esta é uma primeira instalação deverá mostrar apenas o usuário SYSDBA.

Agora vamos testar a conexão com um banco de dados de testes do próprio Firebird:

isql /usr/local/firebird/examples/empbuild/employee.fdb

Isso deve mostrar algo como:

[root@server]# isql /usr/local/firebird/examples/empbuild/employee.fdb
Database: /usr/local/firebird/examples/empbuild/employee.fdb
SQL> SHOW TABLES;
COUNTRY CUSTOMER
DEPARTMENT EMPLOYEE
EMPLOYEE_PROJECT JOB
PROJECT PROJ_DEPT_BUDGET
SALARY_HISTORY SALES
should display all tables from this database

SQL> quit;
[root@server]#

Agora que finalizamos a primeira parte - a instalação do FireBird vamos compilar o servidor Apache e o PHP para o seu correto funcionamento. O módulo do Firebird não existe na compilação padrão do cPanel, teremos de adiciona-lo manualmente.

Para o PHP4 edite o arquivo /var/cpanel/easy/apache/rawopts/all_php4 e para o PHP5 edite o arquivo /var/cpanel/easy/apache/rawopts/all_php5 e adicione uma única linha em ambos:

--with-interbase=/opt/firebird/

Execute o /scripts/easyapache (recompilação do Apache/PHP) normalmente, você pode usar seu próprio profile atual. Quando terminar verifique no PHP.ini se as linhas abaixo existem e edite-as caso seja necessário para ficarem iguais (geralmente o magic_quotes_sybase é colocado como Off):

magic_quotes_sybase = On ; Use Sybase-style magic quotes (escape ' with '' instead of ')
extension=php_interbase.so

Feche e execute:

service httpd restart

Instalação completada.

Uma observação é necessária, caso você não saiba mexer com o Firebird não tente oferecer isso a seus clientes ainda. Na Megahost estamos trabalhando com um sistema (add-on) a ser colocado no cPanel que facilita a criação de banco de dados por parte dos usuários, mas até lá estamos fazendo tudo manualmente com as ferramentas do próprio Firebird.

Você terá também de configurar o arquivo /usr/local/firebird/firebird.conf (cuidado para não liberar acessos inseguros) e liberar a porta 3050 para acesso remoto (não recomendável nem mesmo para o MySQL, mas isso é assunto para outro post).

Aviso: Todos os tutoriais postados pelo autor foram testados em ambiente de produção. Porem o mesmo não se responsabiliza por problemas ou bugs existentes nos sistemas usados de terceiros ou por erros durante a instalação dos recursos/scripts testados - o uso dos mesmos é por conta e risco de seus usuários

Dicas: Cronjob, Apache e AWSTATS

2009-01-24T17:10:00.004-03:00

Algumas dicas rápidas para correção de alguns erros que insistem em aparecer no cPanel. Neste post eu vou listar algumas, são coisas simples mas que enchem o saco quando ocorrem.

1. CronJob parou de funcionar

Quando vc tenta adicionar qualquer cronjob via cPanel o sistema retorna uma mensagem dizendo que não tem permissão para acesso ao /usr/bin/crontab. Para solucionar execute via SSH:

chmod 4755 /usr/bin/crontab

2. Modificar o arquivo de configuração do Apache

Não é exatamente um erro ou bug, mas uma limitação de segurança do sistema. Evite editar manualmente e diretamente o arquivo httpd.conf do apache (no /etc/httpd/conf/httpd.conf). Mas se você tiver que editar o arquivo execute logo após os comandos:

/usr/local/cpanel/bin/apache_conf_distiller –update
/usr/local/cpanel/bin/build_apache_conf

Não esquecendo obviamente de reiniciar o servidor Apache:

service httpd restart

3. Colocando o AWSTATS em português

Não sei porque só funciona manualmente. Acesse o arquivo /usr/local/cpanel/etc/awstats.conf e no mesmo edite a linha de linguagem configurada como "en" e mude-a para "br". Outro método é sobrescrever o arquivo em /usr/local/cpanel/3rdparty/share/awstats/lang com o comando:

cp -rp file_BR file_EN

Aviso: Todos os tutoriais postados pelo autor foram testados em ambiente de produção. Porem o mesmo não se responsabiliza por problemas ou bugs existentes nos sistemas usados de terceiros ou por erros durante a instalação dos recursos/scripts testados - o uso dos mesmos é por conta e risco de seus usuários

Evitar SQL INJECTION

2009-01-10T16:04:00.003-03:00

Código interessante do Cristiano da Silva para (tentar pelo menos) evitar ataques conhecidos como SQL INJECTION - muito comuns em sites que usam SCRIPTS PHP prontos do FANTASTICO desatualizados por exemplo.

http://cristianosilva.wordpress.com/2008/03/14/sql-injection-como-evitar/

Premature end of script headers + em todos os sites + suPHP + php + whm

2009-01-06T18:51:00.004-03:00

Esta dica veio do Fórum cPanel. Little_Oak, um conhecido membro da comunidade de usuários e técnicos (este com qualidade) que usam o sistema.

Eu não vou copiar o texto por completo, mas segue o link logo abaixo. O problema basicamente ocorre quando os logs de erro e do sistema SuPHP somam mais de 1 Gb de tamanho, o que ocorre com facilidade.

cd /usr/local/apache/logs

Você verá os arquivos de logs. O cPanel tem já na versão "Accelerated" (nome criado por um gênio do marketing) tem um recurso meio que escondido que é a "rotação" destes logs de acesso. Acesse:

Service Configuration >> Apache Configuration >> Log Rotation

Pronto. O texto original do Little_Oak com mais algumas dicas você encontra no Fórum cPanel.

Aviso: Todos os tutoriais postados pelo autor foram testados em ambiente de produção. Porem o mesmo não se responsabiliza por problemas ou bugs existentes nos sistemas usados de terceiros ou por erros durante a instalação dos recursos/scripts testados - o uso dos mesmos é por conta e risco de seus usuários

Incrementando o cabeçalho de emails

2009-01-05T04:39:00.004-03:00

Uma coisa importante a ser adicionada ao sistema EXIM são as informações no cabeçalho dos emails enviados/recebidos em seu sistema.

Com etas informações você poderá mais facilmente identificar os possíveis SPAMMERS que você hospeda além de facilitar também a vida de outros administradores cujo servidores recebem emails vindos de seu sistema.

Acesse o WHM e no link "Exim Configuration Editor" e no mesmo no botão "Advanced Editor". Logo no primeiro campo de formulário (logo abaixo do "#!!# cPanel Exim 4 Config") adicione:

log_selector = +address_rewrite +all_parents +arguments +connection_reject +delay_delivery +delivery_size +dnslist_defer +incoming_interface +incoming_port +lost_incoming_connection +queue_run +received_sender +received_recipients +retry_defer +sender_on_delivery +size_reject +skip_delivery +smtp_confirmation +smtp_connection +smtp_protocol_error +smtp_syntax_error +subject +tls_cipher +tls_peerdn

Agora observe o cabeçalho dos emails em seu queue.

Bloquear todos os IPs de um país

2009-01-05T04:35:00.002-03:00

Link interessante, com ele você pode bloquear todos os ips de determinado país. Iniciantemente ele cria um arquivo .htaccess para você colocar em seu diretório WEB e assim bloquear todos os visitantes do país, porem editando o arquivo você pode criar regras em seu firewall para bloquear todos os visitantes - se você puder adicionar estas regras no firewall físico de seu Data Center o bloqueio é total.

http://www.blockacountry.com/

Pele do WHM Traduzida

2009-01-03T23:08:00.005-03:00

Com a nova versão "accelerated" do WHM rodando (puro marketing este "nome") muitos usuários do cPanel que tinham "peles" traduzidas mais antigas estão reclamando de erros do tipo "/usr/local/cpanel/whostmgr/docroot/themes/WHM_Portugues/templates" ou similares.

Segue abaixo o link para baixar a pele do WHM atualizada que eu uso em nossos servidores:

http://central.meganick.com.br/downloads.php?action=displaycat&catid=6

Agora importante dizer, a primeira pele está instalada em servidores de produção (portanto devidamente testada) mas tem o logotipo e mais algumas alterações da MEGAHOST. Portanto é de bom tom que você a edite tirando estes códigos ou baixe diretamente a segunda pele que está traduzida sem logo ou links para o nosso sistema.

Se desejar você pode adicionar seu próprio logo e tornar o WHM mais amigável com informações sobre sua empresa. Para isso basta editar o arquivo "command" (acessando via SSH execute):

pico -w /usr/local/cpanel/whostmgr/docroot/themes/PTBRASIL/command

O código a ser modificado está logo no início após a tag "!-- command2.header --". Altere-o à vontade.

Comandos para o EXIM

2008-12-22T16:03:00.002-03:00

Alguns comandos sobre o EXIM muito interessantes - lembrando que é necessário acesso root via SSH ao servidor para executa-los.

http://bradthemad.org/tech/notes/exim_cheatsheet.php

Código de erros SMTP

2008-12-21T02:09:00.002-03:00

Para saber o que significam os códigos de erros que aparecem em seu servidor SMTP: http://www.greenend.org.uk/rjk/2000/05/21/smtp-replies.html

O Diretório PROC

2008-12-20T03:03:00.003-03:00

Esta é uma dica simples mas que muitos usuários LINUX (até os mais experimentes) deixam passar. Os sistemas LINUX guardam várias informações importantes em seu diretório /proc - informações precisas sobre praticamente tudo que esta instalado no servidor.

O /proc nada mais é que um sistema de "diretório virtual" por ser mantido pelo Kernel do LINUX e que disponibiliza diversas informações em real-time do sistema.

Exemplos disso são os comandos ps ou lspci que adquirem informações dentro do sistema virtual /proc. Além disso, é possível também habilitar e desabilitar algumas configurações do Kernel.

Se por exemplo necessitamos de saber informações sobre o nossa CPU executamos o comando:

cat /proc/cpuinfo

Existem outros comandos importantes (você pode executa-los sem medo - estes comandos são meramente informativos):

/proc/devices
Dispositivos encontrados no seu sistema (ex. placa de som, placa de video, etc)

proc/interrupts
Informações sobre IRQs dos dispositivos

/proc/ioports
Informações sobre os endereços das portas I/O (Input/Output).

/proc/filesystems
Sistemas de Diretórios suportados pelo kernel.

/proc/devices
Dispositivos instalados

/proc/modules
Dispositivos carregados no Kernel. O comando equivalente é o “lsmod”

/proc/mounts
Partições que se encontram montadas. Comando equivalente é “mount”

/proc/partitions
Partições existentes no sistema

/proc/version
Versão do Kernel. Semelhante a usar o comando “uname”

Divirtam-se.

Corrigindo permissões de arquivos e pastas

2008-12-20T01:39:00.003-03:00

Um erro muito frequentemente em sistemas Linux (CentOS e RHEL) usando o cPanel é a correta configuração de permissões de acesso e execução de arquivos e diretórios, principalmente em ssistemas que usam o SuPHP. Por um motivo ou outro sempre existem usuários que aplicam chmod 777 * para todo o conteúdo (sabe-se Deus lá o porque).

Para corrigir acesse o diretório raiz deste usuário e execute:

cd /home/USUARIO
chmod -R 644 *

Isso colcoará todos os conteúdos (arquivos, scripts e diretórios) com permissão 644. Agora basta executar a correção apenas para os direórios (colocando-os como 755):

find /home/USUARIO/public_html -type d -exec chmod 755 {} \;

Obviamente vc deev trocar o USUARIO pelo diretório home do mesmo.

Registro SPF

2008-12-19T13:01:00.002-03:00

Uma dica rápida, para adicionar registros SPF em servidores e contas específicas que não tiverem o mesmo configurado execute:

/usr/local/cpanel/bin/spf_installer USERNAME

Caso nenhuma das contas no servidor tenha o registro SPF adicionado em suas respectivas zonas de DNS execute:

for i in `ls /var/cpanel/users` ;do /usr/local/cpanel/bin/spf_installer $i ;done

Não esqueça antes de configurar o seu EXIM para o uso de SPF "entrante" e "sainte" em seu WHM: "Exim Configuration Editor"

Depois reinicie o Named:

service named restart

Atendimento e Suporte

2008-12-16T02:32:00.003-03:00

Alguns links de scripts e sistemas (alguns gratuitos outros pagos) de sistemas de atendimento e suporte via chat e/ou ticket. Eu irem nos próximos posts descreve-los melhor e quais minhas impressões sobre os mesmos.

Alguns sistemas de atendimento online e tb via ticket que ja testei direta ou indiretamente:

http://www.cerberusweb.com/
http://www.troubleticketexpress.com/trouble-ticket-demo.html
http://www.boldchat.com/
http://www.netsupportsoftware.com/
http://helpdesk.com/software-helpdesk.html
http://livehelp.stardevelop.com/
http://www.helpcenterlive.com/
http://www.osticket.com/
http://www.phpsupporttickets.com/
http://www.clickchatsold.com/
http://www.turnkeywebtools.com/phplivehelper/
http://www.craftysyntax.com/
http://www.kayako.com/
http://www.oneorzero.com/
http://www.siliconaction.com.br/index.html
http://www.phpsupporttickets.com/
http://www.ajudaaovivo.com.br/
http://www.masterchat.com.br/

Alguem tem alguma experiencia boa ou ruim sobre algum sistema de suporte ?

Problemas com o PHPLIVESUPPORT

2008-12-05T13:48:00.002-03:00

Como é um sistema que é largamento usado (se bem que já foi mais usado antigamente pois hoje já existem soluções mais modernas e gratuitas) eu vou postar aqui o texto que recebi deles sobre um problema grave de "Domain Hijack" relacionado ao desenvolvedor do sistema.

A coisa é grave, simplesmente seqüestraram alguns domínios de propriedade do desenvolvedor e estão distribuindo por eles copias do PHPLIVESUPPORT piratas, provavelmente com más intenções sobre o servidor que impantará esta versão pirata.

Segue o email na integra:

For official notice of this email, please visit:

http://www.PHPLiveSource.com/hijack.php

PHP Live! domain hijack case: www.phplivesupport.com

Hello,

On November 19, 2008 our crucial business domain names were fraudulently transferred to another location by means of identity theft and personal email account breach. We are continuing to resolve the case with possible legal actions against the theft company in question Webdomains.com and Quintet.com. They may or may not be directly involved and we are looking into this further.

Our following domains were transferred and defaced using identity theft:

www.phplivesupport.com, www.osicodes.com, www.phplivesupport.net, www.osicodes.info, www.osicodes.net, and www.insightkb.com

We advise everyone to avoid the above domains as they are being redirected to a fraudulent location with a pirated PHP Live! website content.

Our website domain, email server domain and other crucial domains were hijacked to a new location. From our records, the hijacking peoples in question accessed our registrant account at Register.com and updated the admin contact information and email address while altering our account even further to lock the account during the process.

The Register.com's legal department stated this type of internet theft should be handled with a legal firm or courts.

The evidence at Register.com's documents show:

* domain admin email was updated to a new one
* Security Question. was changed
* password was changed
* domains were requested to be transferred off with a final identity check using the .Security Question. by phone

OSI Codes Inc. is still in the process of retrieving the domain names.

The current company holding our domains, webdomain.com and quentet.com, have stripped our website content and are attempting to sell the Copyrighted Software under a new company and license and claiming that OSI Codes Inc. has sold the company. All the statements are false. Webdomain.com and quintet.com does not have the right to sell the Software nor use OSI Codes Inc. PHP Live! brand name.

For the time being, we have setup a new website and domains to inform users and to conduct business:

www.PHPLiveSource.com
www.OSICodesInc.com

Script para criar DB sem acessar o cPanel

2008-12-03T21:36:00.003-03:00

O sistema CPANEL não permite que seja acessado o PhpMyAdmin para criação de usuários e banco de dados Mysql. Obrigatoriamente você tem que acessar o painel CPANEL e no mesmo criar o usuário e banco de dados.

Este script simples torna este processo mais simples. Você precisa apenas executar este scritp em seu navegador (acessando-o claro) ou axecuta-lo via shell ou mesmo via cronjob.

O script cria também o usuário do banco de dados e aplica a ele todas as permisões de acesso e execução no banco.

Importante: este script não funciona sem a biblioteca cURL instalada no servidor em seu diretório de instalação default (/usr/bin/curl).

Baixar Script

Verificar SPAM

2008-12-01T18:09:00.001-03:00

Este é um sistema gratuito para verificar se o IP de seu servidor está listado em alguma RBL ou sistema anti-spam. Muito bom e completo:

http://openrbl.org/

Cpanel TRADUZIDO

2008-12-01T12:42:00.003-03:00

Muita gente vem procurado a tradução pronta do painel CPANEL e do WHM. O CPANEL é mais simples, você mesmo pode fazer via o seu painel WHM e aplicar o arquivo de tradução. O WHM é complicado, no momento só é possível traduzir corretamente o menu do lado esquerdo (menu de navegação).

Segundo as más linguas com o CPANEL 12 será possível aplicar arquivos de linguagem de tratução para todo o WHM - veremos quando isso será implementado.

Mas por enquanto para aplicar a tradução para portugues do CPANEL execute via SSH os comandos:

cd /usr/local/cpanel/lang/
wget http://distros.meganick.com.br/brazilian-portuguese
cd /usr/local/cpanel/base/frontend/x3/lang/
wget http://distros.meganick.com.br/brazilian-portuguese2
mv brazilian-portuguese2 brazilian-portuguese
/usr/local/cpanel/bin/cachelangfiles

Para o painel WHM (tradução do menu esquerdo) voce pode aplicar em seu sistema o tema/pele do WHM abaixo. Ele contem a tradução pronta.

http://central.meganick.com.br/PORTUGUES.whmtheme

NsLookup

2008-11-30T23:44:00.002-03:00

O nslookup sempre foi um mistério para muita gente - mas não e sintam mal, pra mim também sempre foi. Sempre ficava com aquele gostinho de "acho que não usei tudo o que poderia".

Talvez este vídeo/exemplo/tutorial ajude (está em inglês):

Agradecimentos ao Antonio Castro pela dica.

Site de templates GRATIS

2008-11-30T23:41:00.000-03:00

Falou eu GRÁTIS todo mundo abre logo o olho !

http://www.freemind.com.br

Bug no Named

2008-11-30T23:28:00.003-03:00

Existe um bug muito chato em ambientes CentOS5 com o Cpanel no que diz respeito ao NAMED, principalmente se o seu CentOS foi instalado na versão 64 bits.

Aliás, jamis usem versão 64 bits do sistema operacional para ambiente de produção com cpanel. Embora o site da cpanel jure de pés juntos que existe total compatibilidade isso não é verdade. Uma rápida lida no próprio fórum da cpanel revela a infirnidade d eproblemas no sistema 63 bits em relação ao nosso Cpanel.

Problema:

O NAMED roda normalmente no servidor e atualiza todas as zonas quando modificadas, mas não respoden a nenhum queire (pesquisa) de DNS internamente. Você adiciona o dominio, ele cria a zona de DNS normalmente e mas mesmo após alterações de seus servidores de DNS junto ao agente de registro o servidor não reconhece o dominio, mesmo você "pingando" ele internamente.

Causa:

Um BUG no arquivo /etc/named.conf - no seu arquivo de log de erro você verá uma mensagem como:

view localhost_resolver: received notify for zone ‘domain.com’: not authoritative

Solução:

Abra o seu arquivo /etc/named.conf e no mesmo identifique as linhas:

match-clients { localhost; };
match-destinations { localhost; };

Mude para:

match-clients { any; };
match-destinations { any; };

Reinicie o serviço named:

service named restart

Htop for Linux

2008-11-30T23:19:00.002-03:00

Para os que desejam um sistema melhor que o conhecido TOP para listagem dos processos e informações de uso do sistema Linux eu indico o HTOP (http://htop.sourceforge.net/) realmente mais completo e superior.

Prós e contras:

No HTOP você pode rolar a tela na vertical e na horizontal vendo desta forma todos os processos e todas as informações de cada linha de comando;
No TOP você esta sujeito a um pequeno delay a cada tecla que você acionar;
HTOP inicia rápido (o TOP parece coletar muitos dados em background antes de iniciar e apresentar a tela;
No HTOP você não precisa teclar o numero do processo para mata-lo (no TOP você precisa);
O HTOP suporta operação com mouse via tela SSH;
TOP é mais antigo, mais testado que o HTOP que é menos usado e conhecido.

Registro de domínios .com.br agora com CPF

2008-04-16T15:34:00.002-03:00

Recebi este aviso do registro.br sobre mudança de regras no sistema de registro de domínios .COM.BR:

Prezado(a) Usuário(a),

COM.BR com CPF
--------------

Por decisão do CGI.br, o domínio COM.BR, destinado a atividades
comerciais genéricas na Internet, também poderá ser registrado sob um
CPF. Ou seja, pessoas naturais com atividades comerciais e afins
poderão registrar domínios COM.BR.

Esta modificação terá efeito a partir do dia 01/05/2008.

Inicialmente, somente o domínio COM.BR estará disponível nesta nova
categoria, genérica, que permite registro tanto com CNPJ quanto com
CPF. Lembramos que, para manter a transparência do registro de
domínios .br, pessoas físicas responsáveis por domínios COM.BR estarão
sujeitas aos mesmos procedimentos das entidades cadastradas
previamente.

Verificação DNS
---------------

O Registro.br monitora constantemente o correto funcionamento de seus
domínios. Fique atento aos avisos de problemas DNS e siga nossas
recomendações para evitar problemas aos usuários de seus sítios.

Agradecemos a atenção,

Registro.br
http://registro.br/

Link da informação diretamente do site do registro.br: http://registro.br/anuncios/20080416.html

Como instalar um Certificado Digital SSL

2008-02-25T21:47:00.003-03:00

Segurança sempre é bem vinda - os visitantes deste humilde blog já devem ter percebido que eu sou um tanto paranóico com o tema - devido principalmente ao número de tópicos/posts sobre o mesmo. Eu prometo que irei ampliar o foco do blog, mas neste momento a minha paranóia é maior.

Segue um pequeno passo-a-passo para configuração e instalação do SSL pelo cPanel (usando o painel WHM), um tema que vem sendo pedido também pelo pessoal de nossa comunidade no ORKUT.

O CSR é um pequeno certificado com informações sobre o domínio/servidor onde será instalado o SSL. O CSR será enviado ao seu emissor de SSL (a empresa que emitirá o sSL para você) e será baseado no mesmo que o SSL será criado. Para criar o CSR pelo WHM é simples. Lembre-se que caso você seja revenda ou VPS o seu WHM deverá estar configurado com permissão para a instalação/manipulação do CSR/SSL:

Acesse o WHm e clique o link "Generate a SSL Certificate and Signing Request" do menu "SSL/TLS". Na tela serão pedidas algumas informações:

Email Address the Cert will be sent to: email ao qual o cPanel enviará uma cópia do CSR e da KEY (criada pelo sistema);
Host to make cert for: Aqui entre com o nome do domínio que terá o SSL instalado - lembre-se, www.dominio.com.br é diferente de dominio.com.br e é diferente de loja.dominio.com.br - se você pedir o CSR para o www.dominio.com.br ele NÃO será ativado ao acessar dominio.com.br e vice-versa;
Country (2 letter Abbrivation): Esta é simples, use BR;
State: O estado (UF) de onde o domínio/empresa está presente, por exemplo, SP ou RJ;
City: Cidade, por exemplo Rio de Janeiro;
Company Name: Nome da empresa que é dona do domínio que usará o SSL;
Company Division: Divisão da empresa que usuará o SSL, ou pode ser usado o nome fantasia ou até mesmo copiar o "Company Name";
Email: email de contato da empresa dona do SSL;
Password: Algumas pessoas fazem confusão com este campo. Esta senha NÃO é sua senha de acesso ao WHM ou ao servidor, mas sim a senha de autenticação caso você migre este futuro SSL para outro servidor apache com a função de autenticação;

Após criar o CSR você deverá contatar uma empresa emissora de SSL como a DigitalSSL por exemplo para que possa efetuar sua configuração. Você deverá informar a chave CSR que você acabou de criar.

IMPORTANTE: Você deve ter um número de IP único configurado para o domínio que terá o SSL instalado.

Para instalar o SSL que vocÊ receebrá é mais simples ainda. Acesse seu WHM e clique no link "Install a SSL Certificate and Setup the Domain" e copie e cole o SSL recebido no primeiro campo do formulário. O cPanel fará o resto (ele puxará o CSR/KEy criados que estão salvos no servidor e efetuará a configuração, bastando você clicar no botão "submit")

Programa de Estatísticas FREE GRÁTIS

2008-02-20T19:50:00.001-03:00

Ótimo tutorial sobre instalação do sistema de estatísticas phpwebtrace. Vale a pena uma olhada.

http://www.escura.com.br/terabyte/?p=31

Otimização para Motores de Busca

2008-02-19T08:22:00.002-03:00

Informações importantes sobre otimização (SEO) em sites e motores de busca: http://www.criarweb.com/divulgacao/

Vale a pena dar uma lida.

Instalando e configurando o sistema BFD (Brute Force Detection)

2008-02-15T15:44:00.004-03:00

Continuando a série sobre Firewalls vamos falar sobre o sistema BFD (Brute Force Detection) muito usado em conjunto com o APF.

O que é o sistema BFD (Brute Force Detection) ?

O BFD é um script shell modular que verifica a cada período de tempo os logs de acesso de seu servidor, porcurando identificar no mesmo tentativas de acesso com erro (authentication failures) repetidas em curto espaço de tempo.

O sistema então identifica o IP do acesso e o cadastra como possível invasor, enviando um comando ao APF (Firewall) bloqueando-o imediatamente. Este sistema é importantíssimos para o correto funcionamento e segurança de seu servidor (seja ele um Servidor Dedicado ou um VPS). você pode obter mais informações em http://www.rfxnetworks.com/bfd.php

Requerimentos:
- Você tem que ter o APF instalado e ativo antes de instalar o BFD.
- Acesso root ou su ao seu servidor.Instalação:

Acesse seu servidor como root ou su e no mesmo execute os comandos:

1. cd /root/downloads ou outro endereço temporário que você use;
2. wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz
3. tar -xvzf bfd-current.tar.gz
4. cd bfd-0.7
5. Execute o comando de instalação: ./install.sh

Instalação efetuada:

.: BFD installed
Install path: /usr/local/bfd
Config path: /usr/local/bfd/conf.bfd
Executable path: /usr/local/sbin/bfd

Configurando :

Execute: pico -w /usr/local/bfd/conf.bfd

Ache a linha: ALERT_USR="0" Mude para: ALERT_USR="1"
Ache a linha: EMAIL_USR="root" Mude para: EMAIL_USR="your@yourdomain.com"

O BFD usa o APF para bloquear os IPs identificados como possíveis invasores que estejam tentando invadir usando a técnica de "Força Bruta".

Execute o programa com o comando: /usr/local/sbin/bfd -s

Instalando e configurando o firewall APF para Linux

2008-02-13T09:46:00.003-03:00

Segurança é sempre um item importante nos tempos de hoje. Existem alguns sistemas bastante seguros e usados em servidores de hospedagem em Linux - os firewalls - que ajudam a prevenir ataques e problemas indesejados.

Existem 2 destes sistemas que são os mais usados atualmente, o APF/BFD e o CSL/LFD. Eu vou postar rapidamente como instalar e configurar ambos. Vamos iniciar com o APF.

Necessário:
- Acces root ao servidor

Instalando
Acesse seu Servidor Dedicado ou VPS como root ou su e execute:

1. cd /root/downloads ou outro diretório temporário seguro.

2. wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz

3. tar -xvzf apf-current.tar.gz

4. cd apf-0.9.5-1/

5. Execute o instlador: ./install.sh - após alguns segundos você receberá uma mensagem dizendo que o sistema esta instalado:

Installing APF 0.9.5-1: Completed.

Installation Details:
Install path: /etc/apf/
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/

Agora vamos configurar ele para operar com o cPanel de forma correta e segura. abra o arquivo de configuração:

pico -w /etc/apf/conf.apf

Modifique:

USE_DS="0"
Mude para: USE_DS="1"

Modifique IG_TCP_CPORTS e IG_UDP_CPORTS por:

IG_TCP_CPORTS="21,22,25,53,80,110,143,443,2082,2083,2086,2087,2095,2096,3000_3500"
IG_UDP_CPORTS="53"

Modifique EGF, EG_TCP_CPORTS, EG_UDP_CPORTS por:

EGF="1"
EG_TCP_CPORTS="21,25,80,443,43,2089"
EG_UDP_CPORTS="20,21,53"

Agora salve, saia e execute:

apf -s

Tudo correu bem ? voce continua logado no ssh ? Pois bem volte para a edição do apf.conf e mude a linha:

FIND: DEVM="1"
Mude para: DEVM="0"

O DEVM é o sistema de teste seguro do APF - caso você tenha feito algo de errado fechando portas que não deveria (como a 22 por exemplo que é aporta default do SSH) basta aguardar 5 minutos que o sistema APF será desligado via CRON.

Depois salve novamente e execute:

apf -r

Outros comandos na linha e comando:

usage ./apf [OPTION]
-s|--start ......................... load firewall policies
-r|--restart ....................... flush & load firewall
-f|--flush|--stop .................. flush firewall
-l|--list .......................... list chain rules
-st|--status ....................... firewall status
-a HOST CMT|--allow HOST COMMENT ... add host (IP/FQDN) to allow_hosts.rules and
immediately load new rule into firewall
-d HOST CMT|--deny HOST COMMENT .... add host (IP/FQDN) to deny_hosts.rules and
immediately load new rule into firewall

Agora vamos instalar um acessório importante, o BFD. O BFD é um sistema anti-intruso. ele verificará se estão tentando se logar a determinada porta e caso o possível invasor não tenha permissão de acesso, ou seja esteja tentando invadir usando uma técnica conhecida como "brute force' (força bruta) BFD executa o APF bloqueando o IP do invasor.

Mas isso apenas no próximo post. Vamos debulhar mais o sistema APF nos próximos dias.

Um estranho novo (?) erro no Apache...

2008-02-11T20:50:00.000-03:00

Um post rápido sobre um erro recorrente no cPanel com o novo apache (o apache do cPanel é um apache "modificado" na distribuição feita na própria instalação do cPanel - o que os gurus do LINUX chamam de versão "patched").

Este estranho erro passou a ocorrer no Apache 2.0.X (não testei ainda na versão 2.2 e superiores derivadas) e trata sobre o uso de memória aliado a espaço em disco no sistema, derrubando o apache por completo e nem adianta dar restart, não restarta nada (não precisa dizer que dor de cabeça é isso para uma empresa de hospedagem que se preze) Verificando os logs de erro do apache em /etc/http/log:

[emerg] (28)No space left on device: Couldn't create accept lock

ou então

[crit] (28)No space left on device: mod_rewrite: could not create rewrite_log_lock Configuration Failed

Apesar do erro confuso existe espaço de sobra em todas as partições do servidor (neste caso ele reclama que não tem espaço no próprio /etc/http/log). A única solução era o reboot do servidor físico mesmo.

Atenção: estes comandos abaixo não executam nada de perigoso no seu sistema, mas você deve usa-los de preferência apenas se você estiver passando por um problema parecido, o que tem sido bem comum no apache 2.0 integrado ao cPanel.

Ou uma solução mais simples:

ipcs -s | grep nobody

Isso lhe mostrá os rótulos "semaphore-arrays" que por algum motivo que não consegui identificar são deixados abertos. Você verá uma extensa lista.

Isso mata tudo:

ipcs -s | grep nobody | perl -e 'while () { @a=split(/\s+/); print `ipcrm sem $a[1]`}'

Agora reinicie o apache:

service httpd restart

Pronto. Problema solucionado, pelo menos até voce tomar vergonha (como eu) e compilar o sistema com o easyapache usando o apache2.2.

Alerta de acesso SSH incrementado

2008-01-18T18:46:00.000-03:00

Um script simples para avisar caso alguem acesse via ROOT usando SSH o seu servidor. Ele é um pouco mais incrementado que os scripts mais simples encontrados. Além de dar mais informações e envia-las ao seu email ele grava um arquivo no seu /root com todo o histórico dos acessos.

Eu uso ele em todos os servidores que gerencio. Primeiro acesse via SSH e execute:

cd root; pico -w /root/.bash_profile

Depois copie e cole o código abaixo, claro mudando o endereço de destino que receberá o aviso automático:

#
# GRAVA LOG E HISTORICO DE ACESSOS ROOT
#
echo `who` >> .access
#
# EMAIL DE AVISO ACESSO ROOT
#
rootalert() {
echo 'ALERTA - Acesso ROOT SHELL'
echo
echo 'Servidor: '`hostname`
echo 'Data: '`date`
echo 'Usuario: '`who | awk '{ print $1 }'`
echo 'TTY: '`who | awk '{ print $2 }'`
echo 'Origem: '`who | awk '{ print $6 }' | /bin/cut -d '(' -f 2 | /bin/cut -d ')' -f 1`
echo
echo 'Estes usuários estão ativos neste instante como root:'
echo `who | awk '{print $6}'`
echo
echo 'Últimos 10 acessos efetuados:'
echo `last -n 10`
echo
echo 'Informações: Horário deste acesso, Uptime e Load Averange atual'
echo `uptime`
echo
}
rootalert | mail -s "Alerta: Acesso ROOT [`hostname`]"SEUEMAIL@AQUI.COM.BR

Ele criará também o arquivo .access no seu /root gravando as infromações de acesso deixando um histórico dos acessos efetuados. Detalhe importante: este código deve ser colocado logo abaixo da última linha do arquivo /root/.bash_profile que deve ser algo assim:

# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi

# User specific environment and startup programs

PATH=$PATH:$HOME/bin

export PATH
unset USERNAME

Cole abaixo do unset USERNAME

Links Comendados (1)

2008-01-04T13:12:00.000-03:00

Link altamente recomendado para quem deseja recompilar o KERNEL de sistemas usando LINUX. Bastante didático e minucioso.

Tips for Successful Kernel Recompilation in Linux

Monitorando Servidores

2008-01-04T12:29:00.001-03:00

Durante o tempo em que trabalhei em algumas outras empresas de hospedagem (seja como contratado efetivo ou consultor) sempre em deparei com uma falha gritante em praticamente todas elas, a falta de um sistema funcional de monitoramento de seus domínios e servidores.

O monitoramento consiste basicamente de scanear as portas do servidor em determinados intervalos de tempo, disparando um aviso via email e/ou SMS para o administrador/responsável pelo(s) servidor(es) para que tome as medidas necessárias para reparar possíveis problemas, de preferência ANTES que seus clientes sequer percebam.

Problemas com hospedagem de sites são comuns, sejamos sinceros e claros, por mais cuidadosos e responsáveis os administradores de servidores de hospedagem sempre terão problemas pontuais que podem extressar (e com razão) certos usuários.

O pulo do gato esta em resolver um problema rapidamente, e PRINCIPALMENTE evitar que o mesmo volte a ocorrer. Mas sobre como manter o cliente fiel já é outra história - ou outro post.

Nestes tópicos sobre MONITORAMENTO vamos discutir os diversos modos de monitorar seus servidores (ou mesmo domínios) de forma AUTOMATIZADA - testando diversas empresas de monitoramento EXTERNO existentes no mercado.

Mas neste post específico disponibilizamos um sisteminha em PHP bem simples desenvolvido pelo Josimar Jaime Finamore (http://artigos.tekever.eu/ver/?208) simples e realmente inteligente e interessante. Você pode instalar o mesmo em um domínio/conta em seu servidor e configura-lo para monitorar seus clientes remotamente.

Mas lembre-se que esta não é a solução profissional realmente - afinal se o domínio que voce esta usando para instalar este sistema cair, como ele irá monitorar os demais domínios de seus clientes ?

comandos Básicos do EXIM via SHELL

2008-01-04T03:54:00.000-03:00

Alguns comandos interessantes do EXIM (servidor de email) para serem executados via shell (sendo necessário que você tenha acesso root ao servidor). Você pode testa-los e executa-los sem medo:

exim -bp
mostra todas as menssagens existentes no queue

exim -bpc
mostra o número (quantidade) de mensagens no queue

exim -bP
mostra a configuração do seu EXIM

exim -bV
Mostra a versão do EXIM

exiwhat
mostra o que os processos do EXIM estão executando

exim -qf
força uma nova execução do queue

exim -Mvl exim -Mvb exim -Mvh exim -Mrm exim -Mg
estes acima mostram diversas informações sobre as mensagens sendo enviadas

exim -M emailID
força o envio de uma mensagen (ID) específica

Arquivo de configuração httpd.conf TRADUZIDO

2008-01-04T00:51:00.000-03:00

Conforme prometi em nossa comunidade no orkut, seque abaixo o arquivo httpd.conf (configuração do servidor apache WEB 1.3.XX):

##
## httpd.conf -- Arquivo de configuração do servidor httpd Apache
##

#
# Baseado nos arquivos de configuração originais do servidor NCSA por Rob McCool.
# Modificado para distribuição junto ao guia Foca GNU/Linux Avançado
# http://focalinux.cipsga.org.br/
#
# Este é o arquivo de configuração principal do servidor Apache. Ele contém as
# diretivas de configuração que dão ao servidor suas instruções.
# Veja para informações detalhadas sobre as
# diretivas.
#
# NÃO leia simplesmente as instruções deste arquivo sem entender o que significam
# e o que fazem, se não tiver certeza do que está fazendo consulte a documentação
# on-line ou leia as seções apropriadas do guia. Você foi avisado.
#
# Após este arquivo ser processado, o servidor procurará e processará o arquivo
# /etc/apache/srm.conf e então /etc/apache/access.conf
# a não ser que você tenha modificado o nome dos arquivos acima através das
# diretivas ResourceConfig e/ou AccessConfig neste arquivo.
#
# Configuração e nomes de arquivos de log: Se os nomes de arquivos que
# especificar para os arquivos de controle do servidor iniciam com uma
# "/", o servidor usará aquele caminho explicitamente. Se os nomes *não*
# iniciarem com uma "/", o valor de ServerRoot é adicionado -- assim
# "logs/foo.log" com ServerRoot ajustado para "/usr/local/apache" será
# interpretado pelo servidor como "/usr/local/apache/logs/foo.log".
#
# Originalmente por Rob McCool
# modificado por Gleydson Mazioli da Silva para o guia Foca GNU/Linux

# Carga dos Módulos de Objetos Compartilhados:
# Para você ser capaz de usa a funcionalidade de um módulo que foi construído como
# um módulo compartilhado, será necessário adicionar as linhas 'LoadModule'
# correspondente a sua localização, assim as diretivas que os módulos contém
# estarão disponíveis _antes_ de serem usadas.
# Exemplo:

#
# ServerType pode ser inetd, ou standalone. O modo Inetd somente é suportado nas
# plataformas Unix. O modo standalone inicia o servidor como um daemon.
#

ServerType standalone

# Se estiver executando a partir do inetd, vá até a diretiva "ServerAdmin".

# Port: A porta que o servidor standalone escutará. Para portas < org="" docs="" mod="" lockfile="">);
# e se salvará de vários problemas.
#
# Não adicione uma barra no fim do caminho do diretório.
#

ServerRoot /etc/apache

# BindAddress: Você pode usar esta opção em virtual hosts. Esta
# opção é usada para dizer ao servidor que endereço IP escutar. Ele pode
# conter ou "*", um endereço IP, ou um nome de domínio completamente qualificado
# (FQDN). Veja também a diretiva VirtualHost.

BindAddress *

#
# Suporte a Objetos Compartilhados Dinamicamente (DSO - Dynamic Shared Object)
#
# Para ser capaz de usar a funcionalidade de um módulo que foi compilado como
# um módulo DSO, você terá que adicionar as linhas 'LoadModule' correspondentes
# nesta localização, assim as diretivas contidas nela estarão disponíveis
# _antes_ de serem usadas. Por favor leia o arquivo README.DSO na distribuição
# 1.3 do Apache para mais detalhes sobre o mecanismo DSO e execute o comando
# "apache -l" para a lista de módulos já compilados (estaticamente linkados e
# assim sempre disponíveis) em seu binário do Apache.
#
# Please keep this LoadModule: line here, it is needed for installation.
# LoadModule vhost_alias_module /usr/lib/apache/1.3/mod_vhost_alias.so
# LoadModule env_module /usr/lib/apache/1.3/mod_env.so
LoadModule config_log_module /usr/lib/apache/1.3/mod_log_config.so
# LoadModule mime_magic_module /usr/lib/apache/1.3/mod_mime_magic.so
LoadModule mime_module /usr/lib/apache/1.3/mod_mime.so
LoadModule negotiation_module /usr/lib/apache/1.3/mod_negotiation.so
LoadModule status_module /usr/lib/apache/1.3/mod_status.so
# LoadModule info_module /usr/lib/apache/1.3/mod_info.so
# LoadModule includes_module /usr/lib/apache/1.3/mod_include.so
LoadModule autoindex_module /usr/lib/apache/1.3/mod_autoindex.so
LoadModule dir_module /usr/lib/apache/1.3/mod_dir.so
LoadModule php3_module /usr/lib/apache/1.3/libphp3.so
LoadModule cgi_module /usr/lib/apache/1.3/mod_cgi.so
# LoadModule asis_module /usr/lib/apache/1.3/mod_asis.so
# LoadModule imap_module /usr/lib/apache/1.3/mod_imap.so
# LoadModule action_module /usr/lib/apache/1.3/mod_actions.so
# LoadModule speling_module /usr/lib/apache/1.3/mod_speling.so
LoadModule userdir_module /usr/lib/apache/1.3/mod_userdir.so
LoadModule alias_module /usr/lib/apache/1.3/mod_alias.so
LoadModule rewrite_module /usr/lib/apache/1.3/mod_rewrite.so
LoadModule access_module /usr/lib/apache/1.3/mod_access.so
LoadModule auth_module /usr/lib/apache/1.3/mod_auth.so
# LoadModule anon_auth_module /usr/lib/apache/1.3/mod_auth_anon.so
# LoadModule dbm_auth_module /usr/lib/apache/1.3/mod_auth_dbm.so
# LoadModule db_auth_module /usr/lib/apache/1.3/mod_auth_db.so
# LoadModule proxy_module /usr/lib/apache/1.3/libproxy.so
# LoadModule digest_module /usr/lib/apache/1.3/mod_digest.so
# LoadModule cern_meta_module /usr/lib/apache/1.3/mod_cern_meta.so
LoadModule expires_module /usr/lib/apache/1.3/mod_expires.so
# LoadModule headers_module /usr/lib/apache/1.3/mod_headers.so
# LoadModule usertrack_module /usr/lib/apache/1.3/mod_usertrack.so
LoadModule unique_id_module /usr/lib/apache/1.3/mod_unique_id.so
LoadModule setenvif_module /usr/lib/apache/1.3/mod_setenvif.so
# LoadModule sys_auth_module /usr/lib/apache/1.3/mod_auth_sys.so
# LoadModule put_module /usr/lib/apache/1.3/mod_put.so
# LoadModule throttle_module /usr/lib/apache/1.3/mod_throttle.so
# LoadModule allowdev_module /usr/lib/apache/1.3/mod_allowdev.so
# LoadModule auth_mysql_module /usr/lib/apache/1.3/mod_auth_mysql.so
# LoadModule pgsql_auth_module /usr/lib/apache/1.3/mod_auth_pgsql.so
# LoadModule eaccess_module /usr/lib/apache/1.3/mod_eaccess.so
# LoadModule roaming_module /usr/lib/apache/1.3/mod_roaming.so

#
# ExtendedStatus: Controla de o Apache gerará detalhes completos de status
# (ExtendedStatus On) ou apenas detalhes básicos (ExtendedStatus Off) quando o
# manipulador (handler) "server-status" for usado. O padrão é Off.
#
ExtendedStatus on

#
# ErrorLog: A localização do arquivo de log de erros.
# Se não estiver especificando a diretiva ErrorLog dentro de ,
# as mensagens de erros relativas aos hosts virtuais serão registradas neste
# arquivo. Se definir um arquivo de log de erros para , as
# mensagens relativas ao servidor controlados por ela serão registradas lá e
# não neste arquivo.
#
ErrorLog /var/log/apache/error.log

#
# LogLevel: Controla o número de mensagens registradas no ErrorLog.
# Facilidades possíveis incluem: debug, info, notice, warn, error, crit,
# alert, emerg.
# Veja as facilidades na seção do guia sobre o syslog para detalhes
#
LogLevel warn

# As seguintes diretivas definem alguns formatos de nomes que serão usadas com a
# diretiva CustomLog (veja abaixo).

LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i" %T %v" full
LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i" %P %T" debug
LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" combined
LogFormat "%h %l %u %t "%r" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

#
# A localização e formato do arquivo de log de acesso (definida pela diretiva
# LogFormat acima).
# Se não definir quaisquer arquivos de log de acesso dentro de um
# , elas serão registradas aqui. Se for definida dentro
# de o arquivo de log de acesso será registrado no
# arquivo especificado na diretiva e não aqui.
#
#CustomLog /var/log/apache/access.log common

# Se você desejar ter um arquivo de log separado para o agent (navegador usado)
# e referer, descomente as seguintes diretivas.

#CustomLog /var/log/apache/referer.log referer
#CustomLog /var/log/apache/agent.log agent

# Se preferir um arquivo de log simples, com os detalhes de acesso, agent, e
# referer (usando o formato combined da diretiva LogFile acima), use a seguinte
# diretiva.

CustomLog /var/log/apache/access.log combined

#
# Incluir uma linha contendo a versão do servidor e um nome de host virtual
# para as páginas geradas pelo servidor (documentos de erro, listagens
# de diretórios FTP, saída dos módulos mod_status e mod_info, etc., exceto
# para documentos gerados via CGI). Use o valor "EMail" para também incluir
# um link mailto: para o ServerAdmin. Escolha entre "On", "Off" ou "EMail".
#
ServerSignature On

#
# PidFile: O arquivo que o servidor gravará os detalhes sobre seu PID quando
# iniciar.
#
PidFile /var/run/apache.pid

#
# ScoreBoardFile: Arquivo usado para armazenar detalhes do processo interno do
# servidor. Nem todas as arquiteturas requerem esta diretiva, mas se a sua
# requerer (você saberá porque este arquivo será criado quando executar o
# Apache) então você *deverá* ter certeza que dois processos do Apache não
# utilizam o mesmo arquivo ScoreBoardFile.
#
ScoreBoardFile /var/run/apache.scoreboard

#
# Na configuração padrão, o servidor processará este arquivo, o
# srm.conf e o access.conf neste ordem. Você pode fazer o servidor
# ignorar estes arquivos usando "/dev/null".
#
ResourceConfig /etc/apache/srm.conf
AccessConfig /etc/apache/access.conf

#
# A diretiva LockFile define o caminho do lockfile usado quando o servidor
# Apache for compilado com a opção USE_FCNTL_SERIALIZED_ACCEPT ou
# USE_FLOCK_SERIALIZED_ACCEPT. Esta diretiva normalmente deve ser deixada em seu
# valor padrão. A razão principal de modifica-la é no caso do diretório de logs
# for montado via um servidor NFS< com="">
#ServerAdmin webmaster@host.some_domain.com
#DocumentRoot /var/www/host.some_domain.com
#ServerName host.some_domain.com
#ErrorLog /var/log/apache/host.some_domain.com-error.log
#TransferLog /var/log/apache/host.some_domain.com-access.log
#

# VirtualHost: Se você quiser manter múltiplos domínios/nomes de máquinas em sua
# máquina você pode ajustar o conteúdo de VirtualHost para eles.
# Por favor veja a documentação em
# para mais detalhes antes de tentar configurar seus hosts virtuais.
# Você pode usar a opção de linha de comando '-S' para verificar sua configuração
# de hosts virtuais.

#
# Se desejar usar hosts virtuais baseados em nome, será necessário definir no
# mínimo um endereço IP (e número de porta) para eles.
#
#NameVirtualHost 12.34.56.78:80
#NameVirtualHost 12.34.56.78

#
# Exemplo de um Host Virtual:
# Praticamente qualquer diretiva do Apache pode entrar na condicional
# VirtualHost.
#
#
# ServerAdmin webmaster@host.some_domain.com
# DocumentRoot /www/docs/host.some_domain.com
# ServerName host.some_domain.com
# ErrorLog logs/host.some_domain.com-error.log
# CustomLog logs/host.some_domain.com-access.log common
#

Configurações APACHE (Parte II)

2007-12-16T22:59:00.000-03:00

Antes de continuar com a segunda parte do tutorial que testei achei melhor publicar algumas observações sobre o tunning do apache que encontrei na rede a mais algumas dicas minhas que testei com sucesso (e algumas vezes nem tanto).

Um fator de extrema importância para um servidor web é a freqüência com que ele utiliza swap. Devido à natureza do serviço espera-se sempre uma resposta rápida do servidor e o processo de swap é um fator altamente degradante para o tempo de resposta. Quando a memória física (RAM) se esgota, o sistema operacional salva algumas informações pouco acessadas da memória no disco rígido, em um processo denominado troca ou swap. Esse processo apesar de necessário não deve ser utilizado com freqüência pois a leitura e a escrita no disco são de 10 a 100 vezes mais lentas do que na RAM, dependendo da máquina. Por isso devemos dimensionar o servidor web baseado exclusivamente na quantidade de memória RAM.

Façamos a seguinte conta:

Quantidade de memória RAM total - (menos) Quantidade de memória ocupada por programas quando o servidor web está desligado.

Agora vamos dividir o resultado pela quantidade média de memória ocupada por um processo filho do Apache (em torno 3M quando utiliza-se html puro, sem nenhuma linguagem interpretada e em torno de 20M para html+php) - você pode utilizar o top para descobrir esse valor.

O resultado obtido da divisão anterior deve ser o número máximo de clientes que seu host pode atender simultaneamente sem utilizar swap. Não se espante se o número for baixo (20, 30, 50,..). Mais adiante vamos fazer algumas contas que vão mostrar quantas requisições o seu servidor pode atender por minuto. Coloque este número como o valor MaxClients do Apache.

Se o seu host trabalha sempre perto da capacidade máxima configure o valor do StartServers, MinSpareServers e MaxSpareServers próximo ao valor do MaxClients (ex:80%), se não você pode trabalhar com um valor perto de 50% ou menos. Perceba que não há razão para utilizar valores de StartServers e MinSpareServers diferentes já que o serviço vai iniciar com o número de processos igual a StartServers e vai aumentar até atingir o número de MinSpareServers em poucos segundos. Diferenciar MinSpareServers e MaxSpareServers só fará sentido se seu servidor alterna entre períodos de grande e pequena demanda.

Vejamos agora um pouco do conceito de KeepAlive. Este recurso do Apache permite que um cliente faça várias requisições utilizando uma mesma conexão TCP. Isso economiza tempo e processamento evitando que novos sockets e novos processos sejam criados. A conexão TCP é terminada quando o cliente passa um tempo sem fazer requisições (KeepAliveTimeout) ou quando o processo responsável pela conexão atender o número de requisições igual a MaxKeepAliveRequests. Portanto utilizar este recurso é bom mas devemos tomar cuidado para não ocupar um processo por muito tempo evitando que novos clientes sejam atendidos. Valores que têm se mostrado razoáveis para o KeepAliveTimeout estão entre 1 e 5 segundos (é claro que utilizar um ou outro valor é uma decisão que você deve tomar baseado na quantidade de usuários e na qualidade do serviço que você quer prestar - valores mais baixos proporcionam maior rotatividade e valores mais altos maior qualidade no serviço do usuário que está sendo atendido. É como um médico cuja consulta dura 10 minutos e outro que dura 50). O mesmo conceito se aplica para o MaxKeepAliveRequests. Quanto maior esse número, mais requisições um mesmo usuário poderá fazer antes de liberar a conexão para outro. Valores típicos estão entre 100 e 500 (0 significa que não há limite).

Agora vamos fazer mais algumas contas. Supondo que, pelos cálculos anteriores, você possa atender 20 clientes simultaneamente e que você escolha 1 segundo para o KeepAliveTimeout. Na melhor das hipóteses e em uma situação ideal o servidor seria capaz de atender 1200 novas conexões por minuto. É claro que esse valor não representa 1200 usuários simultâneos porque um mesmo usuário pode abrir novas conexões à medida que vai navegando pelo site. Perceba que limitar o número de conexões simultâneas à um número pequeno não significa necessariamente que você só poderá atender poucos usuários.

A título de exemplo, vamos considerar um servidor com 512M de RAM que serve páginas web dinâmicas feitas em PHP e que os processos residentes, desconsiderando o Apache, ocupam 100M da memória RAM. Então,

512 - 100 = 412
412 / 20 = 20 e uns quebrados

Uma configuração que provavelmente otimizaria o seu Apache seria:

KeepAlive On
KeepAliveTimeout 1
MaxKeepAliveRequests 100

StartServers 15
MinSpareServers 15
MaxSpareServers 15
MaxClients 20
MaxRequestsPerChild 0

O valor de MaxRequestsPerChild representa o número de requisições que um processo filho do Apache pode atender antes de ser forçado a terminar. Isso era muito utilizado em sistemas operacionais com problemas de vazamento de memória (ex:Solaris). Se você utiliza Linux ou BSD é seguro utilizar 0 (infinito). Caso você note que depois de alguns dias a quantidade de memória utilizada por um processo está crescendo de forma anormal, mude esse valor para um valor finito porém grande (entre 5000 e 50000).

Além disso, se as aplicações que você hospeda demandam PHP considere utilizar uma extensão que faça cache do código intermediário (APC , Turck MMCache ,…). Essas extensões podem tornar o acesso até 5 vezes mais rápido.

Configurações APACHE (Parte I)

2007-11-28T00:22:00.000-03:00

Creio que o maior calcanhar de aquiles de qualquer servidor de hospedagem que se preze é realmente o WebServer (no meu caso o Apache). Principalmente após o lançamento definitivo do Apache 2.0 e depois suas versões correlatas, devido a suas mudanças (é praticamente um outro sistema totalmente diferente) e possibilidades de configuração.

Muitos acham que o Servidor de Email é o que dá mais trabalho, mas basicamente o trabalho em um MTA é a luta contar o SPAM. O resto é de funcionamento e configuração bem simples, desde que você entenda a "linguagem" de configuração que praticamente terá de aprender para configurar corretamente um Sendmail da vida.

Mas eu acho que você "tunar" corretamnente o Apache é muito mais complicado, devido a suas possibilidades e diferentes configurações.

Este post pretende ser o primeiro de uma série exatamente sobre o Apache.

Primeiro, alguns passos básicos sobre a configuração. eu achei o artigo (muito bom) em http://www.howtoforge.com/configuring_apache_for_maximum_performance (ingles) e (com algumas alterações minhas) o traduzi. É um texto bastante explicativo.

Devido ao tamanho eu o dividi em 2 partes distintas. A primeira parte segue logo abaixo:

Carregue apenas os módulos necessários

O servidor Apache é um programa modular onde o administrador pode escolher entre as funcinalidade que deseja incluir no servidor selecionando um pacote de módukis. Os módulos podem ser compilados estaticamente no binário httpd ou dinamicamente como DSOs(Dynamic Shared Objects). Módulos DSO podem ser compilados quando o servidor for compilado ou poem ser compilados utilizando o apxs para adicioná-los mais tarde. O modulo mod_so deve ser compilado estaticamente no Apache para que o suporte a DSO seja ativo.

Execute o apache apenas com os módulos necessários. Isto reduz o consumo de memória aumenta a performance do servidor. Compilar os módulos estaticamente irá reduzir o consumo de RAM que é utilizado para suportar módulos compilados dinamicamente, mas será necessário recompilar o apache toda vez que um módulo for adicionado ou removido. È aqui que o DSO se torna útil. Uma vez que o modulo mod_so seja compilado estaticamente, qualquer outro módulo pode ser inserido ou removido utilizando o comando LoadModule no arquivo httpd.conf - , mas você terá que compilar os módulos utilizando apxs se ele não foi compilado quando o servidor foi feito.

Escolha o MPM apropriado

O apache vem com uma selação de Módulos Multi-Processadores (MPMs) que são responsáveis por abrir as portas de rede na máquina, aceitando requisições, e despachando processos para cuidar das requisições. Apenas um MPM pode ser carregado por vez.

Escolher o MPM depende de vários fatores, por exemplo se o SO suporta threads, quanta memória está disponível, escalabilidade versus estabilidade, modulos externos,etc .. Sistemas Linux podem escolher entr utilizar um MPM com suporte (worker) a threads ou um prefork sem threads:

O MPM Worker utiliza múltiplos processos. Ele é multi-threaded com cada processo e cada thread cuidando de uma única conexão. Esté é mais rápido e mais escalável e a memória consumida e relativamente baixa. Funciona bem com múltiplos processadores. Porém, o worker é menos tolerante a módulos defeituosos, e threads defeituosas podem afetar todas as outras threads de um processo.

O MPM Prefork utiliza múltiplos processos filhos, cada filho cuidad de apenas uma conexão por vez. Prefork é muito bem gerenciada por processadores simples ou múlitplos, a velocidade é comparável ao worker e é mais tolerante a falhas em modulos e processos que terminam inesperadamente. Mas o consumo de memória é alto, mais tráfego leva a mais consumo de memória.

Opções de Configuração em Tempo de Execução

DNS lookup

A diretiva HostnameLookips habilita a consulta de DNS, então os hostnames podem ser logados ao invés de endereços IP. Isto adiciona latência em cada requisição desde que a consulta do DNS tem que ser completada antes que a requisição seja terminada. Esta opção é desabilitada por padrão no Apache 1.3 e superiores. Deixe isto inativo e utilize programas pós-processamento como o logresolve para determinar os IPs dos logs. Logresolve vem com Apache.

Quando utilizar as diretivas Allow from ou Deny from, utilize endereços IP ao invés de nomes de domínios. Caso contrário uma consulta dupla ao DNS será executada para ter certeza de que o domínio ou host não está sendo spoofado.

AllowOverride

Se o AllowOverride está setado para 'None', então o Apache irá tentar abrir o arquivo .htaccess (especificada pela diretiva AccessFileName) em cada diretório que for acessado. Por exemplo:

DocumentRoot /var/www/html

AllowOverride all

Se uma requisição for feita para acessar /index.html, o Apache irá tentar abrir /.htaccess, /var/.htaccess, /var/www/.htaccess, and /var/www/html/.htaccess. Estas tentativas aumentam a latência. Se o arquivo .htaccess for necessário para um diretório, habilite apenas para este diretório.

FollowSymLinks e SymLinksIfOwnerMatch

Se a opção FollowSymLinks estiver setada, então o servidor permitirá que links simbólicos possam ser seguidos neste diretório. Se a opção SymLinksIfOwnerMatch estiver setada, então o servidor permitirá acessar o link apenas se o destino dele bater com o dono do link.

Se a opção SymLinksIfOwnerMatch estiver setada, então o Apache terá que realizar consultas adicionais ao sistema para verificar se os donos coincidem. Chamadas adicionais também são necessárias quando a opção FollowSymLinks NÃO está setada. Por exemplo:

DocumentRoot /vaw/www/html

Options SymLinksIfOwnerMatch

Para uma requisição feita para /index.html, o Apache irá executar lstat() em /var, /var/www, /var/www/html, and /var/www/html/index.html. Estas requisições adicionais também irão aumentar a lantência. Os resultados do lstat não são cacheados, então as consultas irão ocorrer em cada requisição.

Para uma máxima performance, sete FollowSymLinks em cada lugar e nunca sete SymLinksIfOwnerMatch. Ou então, se SymLinksIfOwnerMatch for necessário para um diretório, sete ele para apenas este diretório.

FIM DA PRIMEIRA PARTE

>br>

Erro na atualização do sistema FANTASTCO

2007-11-27T16:34:00.000-03:00

Sobre erros na atualização do sistema FANTASTCO, eu identifiquei alguns problemas com as atualizações o sistema FANTASTICO em alguns servidores. Futucando um pouco na net eu encontrei a solução e principalmente a explicação da origem do problema.

O problema ocorre principalmente na versão LINUX CentOs 5, Fedora Core 7 e Red Hat Enterprise 5 (versões red hat e derivadas), que por sua vez, apresentam o WGET (utilitário de download de arquivos) incompatível com a ferramenta de autoinstall do Fantastico De Luxe 2.10.4 r10 (LATEST and STABLE releases), sendo uma das saídas atualizar o Wget ou fazer DownGrade de Versão, e lembrando que não baixe uma versão muito antiga pois pode tornar-se ineficiente para futuras operações de Administração do Servidor.

O tutorial segue logo abaixo (já testado) Antes de mais nada baixe o Wget com os passos abaixo. No ajuste feito Hoje em Um servidor Dedicado Opteron 1200 series apliquei a seguinte versão do Wget -> ftp://ftp.gnu.org/gnu/wget/wget-1.10.1.tar.gz. REMOVA O WGET “BUGGADO”, com o comando abaixo:

yum remove wget (quando ele pedir confirmação confirme com “Y”)

Esta versão (que citei acima), apesar de ser ”obsoleta” é bastante estável.Para instalar use os seguintes comandos (Após baixar):

tar -zxvf wget-1.10.2.tar.gz

cd wget (ou use o comando a direita para entrar na pasta -> cd pastaqueOtargzGEROU).Em seguida use os comandos:

./configure –prefix=/usr/local/

Depois:

make && make all && make install

Por último, localize o wget com o comando abaixo:

find / -name wget

Acesse a pasta aonde ele se encontra. Ao Acessar copie o arquivo para o diretório /usr/bin com o comando abaixo:

cp wget /usr/bin/

Feito isto, basta tentar Reinstalar o Fantastico De Luxe 2.10.4 r10

Aviso: Todos os tutoriais postados pelo autor foram testados em ambiente de produção. Porem o mesmo não se responsabiliza por problemas ou bugs existentes nos sistemas usados de terceiros ou por erros durante a instalação dos recursos/scripts testados - o uso dos mesmos é por conta e risco de seus usuários

Upgrade do CPANEL/WHM

2007-11-23T07:55:00.000-03:00

Eu tenho recebido alguns emails falando sobre problemas de upgrade do CPANEL/WHM para a nova versão lançada a alguns meses (CPANEL11). O problema (para variar) é sempre em relação ao upgrade automático do CPANEL. Até hoje não entendo porque um upgrade com 4 níveis de verões e distros dá tanto problema.

Antes de efetuar o upgrade é necessário que o admin do servidor execute alguns procedimentos para não dar xabu, principalmente com a versão do PERL instalada. Por algum mistério insondável o CPANEL NÂO faz o update do PERL, provavelmente por causa dos módulos que são compilados com ele (módulos necessários par ao correto funcionamento do CPANEL e que demoram algum tempo para serem compilados).

Para ver se você necessita fazer este update manualmente acesse seu servidor via SHH e execute:

perl -v

A versão do perl correta é a 5.8.8 – qualquer versão anterior a esta será necessário ser atualizada. Para isso execute:

wget http://layer2.cpanel.net/perl588installer.tar.gz
tar zxvf perl588installer.tar.gz
cd perl588installer
perl install

Estes comandos acima baixam o pacote PERL já pre-compilado com todos os módulos necessários. Agora saia do micro e beba um café e leia um livro. O bicho demora um pouco (embora não gere muito load/processamento da máquina, é de bom tom executar apenas de madrugada ou em outro horário de menor uso do servidor).

Após finalizado execute:

/usr/local/cpanel/bin/checkperlmodules

Isso atualiza e reintegra os pacotes com os módulos PERL recém instalados no CPANEL. Existem outros dois módulso que você deve instalar manualmente:

/scripts/realperlinstaller YAML::Syck
/scripts/realperlinstaller File::Copy::Recursive

Pronto, CPANEL pronto para atualização para o CPANEL11:

/scripts/upcp –force (para atualizar o CPANEL completamente – por favor usem as distros REALEASE ou STABLE apenas)

Este pequeno tutorial também serve caso você já esteja usando a versão 11, não sendo necessário o /scripts/upcp –force.

Vulnerabilidade do CPANEL

2007-08-01T14:49:00.000-03:00

Esta é antiga (setembro de 2006), mas fiz questão de deixar reforçado aqui para todos e para mostrar que muitas vezes o nosso cPanel também é uma bela dor de cabeça. Eu upei o vídeo que o artigo informa para o http://www.youtube.com.br para posta-lo aqui diretamente.

É interessante você testar se seu sistema realmente esta seguro e sem esta falha (se bem que esta é bem antiga, mas nunca se sabe). aliás um ótimo site que todos devem acessar periodicamente é o WebSense

Esta notícia fez muito "sucesso" no meio pois afetou um dos grandes (talvez o maior) host que usa o cPanel profissionalmente.

Eu retirei o artigo do portal MeioBit

Uma vulnerabilidade antiga do cPanel, mas que só foi descoberta agora, que permite a um usuário local ganhar privilégios de root, foi descoberto após a infecção de centenas (ou milhares, as informações são vagas) de sites hospedados no HostGator.

Um script não compilado utilizado do MySqlAdmin permitiria que um usuário, com acesso local, sobrescrevesse este arquivo e esta cópia teria precedência sobre o MySqlAdmin correto, em função da ordem de preferência da pesquisa por módulos do perl.

Com esse script seria possível escalar privilégios, inclusive ganhando acessos de root.

A vulnerabilidade afeta todas as versões do cPanel tanto Stable, Release, Current quanto Edge lançadas até o dia 23/09/2006.

Rodar o script de atualização do cpanel (/scripts/upcp), após o dia 23/09/2006, é o suficiente para resolver o problema, caso o cPanel não esteja configurado para atualização automática.

No caso específico da HostGator, esse exploit foi usado para deformar 650 sites e redirecionar os usuários para páginas que se aproveitavam de uma brecha de segurança no VML do Internet Explorer para instalar um trojan que enviaria qualquer dado digitado em qualquer formulário para os e-mails dos crackers.

Este Vídeo demonstra claramente como funciona o trojan.

ATENÇÃO: Não acesse o site que aparece no vídeo, sua máquina será infectada, o site exibido explora várias brechas de segurança, mesmo acessando – o com o Firefox, você não estará seguro.

O cPanel vem apresentando algumas falhas esquisitas nestas últimas semanas, recomendo fortemente que a atualização automática esteja sempre ativa.

O cPanel é, muito provavelmente, o painel de controle mais utilizado em hospedagem de sites e muitos administradores (inclusive alguns que eu conheço) não gostam de deixar a atualização no automático, ou seja, mesmo com a atualização disponível não garante que estamos totalmente seguros.

Mas o mais impressionante desta história (além, é claro, de um problema como estes nunca deveria ter chegado em um produto final), são as novas formas que os crackers estão usando para fazer suas vítimas.

Cruzar bugs de dois sistemas diferentes é bastante engenhoso e que mesmo tomando os devidos cuidados, não estamos seguros.

Dica: É Importante deixar a opção de "Update de segurança" do WHM habilitada no automático. Embora o sistema de update do cPanel seja um verdadeiro caos - eu ainda posto aqui minhas experiências a respeito, acho que é por isso que estou perdendo o cabelo.

Sistema de Atendimento ao Cliente

2007-07-29T23:23:00.000-03:00

Eu recebo sempre pedidos de usuários e clientes nossos de revenda sobre sistemas de atendimento automatizado a clientes (ticket de atendimento). O melhor que já usamos (e por isso mesmo usamos até hoje) é o KAYAKO - http://www.kayako.com/

O problema do KAYAKO é que o mesmo é caro, mas na minha humilde opinião este sistema é o que os americanos definem como "estado da arte" em sistemas de atendimento.

Existem outros sistemas menos completos entre gratuitos e pagos eu destacaria o http://osticket.com/ (licença GPL), onde vc tem a possibilidade de (como qualquer scritp GPL) modificar o código de acordo com a sua necessidade e para atendimento específico via chat online temos o http://www.craftysyntax.com/ também sob licença GPL, ambos disponíveis no FANTASTICO em seu CPANEL.

Procurando links com informações na rede encontrei algumas soluções de atendimento via chat online que merecem ser testadas:

Agora sem sombra de dúvida o campeão de sistemas de atendimento via chat é o PHPliveSupport (http://www.phplivesupport.com/), que inclusive usamos (mesmo a KAYAKO tendo um sistema de chat junto com o seu poderoso sistema de atendimento via ticket).

Bom, gastei este texto todo apenas para passar um link de DOWNLOAD do sistema comercial livre para uso que já usamos - este é infinitamente superior a qualquer sistema de atendimento GPL (livre) existente.

Podem instalar e testar a vontade : Sistema de atendimento InverseFlow

Esta é a mesma versão que usávamos antes de comprarmos a KAYAKO.

Divirtam-se !!! Aos que desejarem testar as outras soluções ou que tenham conhecimento de outros sistemas e quiserem compartilhar fiquem a vontade.

RoudCube webmail

2007-05-24T03:02:00.000-03:00

Já que o assunto está sendo sobre webmails, vamos a instalação do sistema RoudCube, ao meu ver um dos melhores webmails que temos disponíveis (bem melhor que o "famoso" uebimiau). Com este tutorial você pode disponibilizar o RoudCube como um novo webmail para ocupar o lugar do antigo Neomail (já retirado das distros do CPANEL).

1º Baixe o roudcube e descompacte-o no local correto no seu servidor CPANEL:

cd /usr/local/cpanel/base
wget -O roundcube.tar.gz http://puzzle.dl.sourceforge.net/sourceforge/roundcubemail/roundcubemail-0.1beta2.tar.gz
tar -zxvf roundcube.tar.gz

2º configure as permissões de acesso e criação de seu banco de dados (troque o SENHA pela senha root de seu banco mysql):

mv -f roundcubemail-0.1beta2 roundcube
cd roundcube
chmod -R 777 temp
chmod -R 777 logs
mysql -e "CREATE DATABASE roundcube;" -pSENHA
mysql -e "use roundcube; source SQL/mysql.initial.sql;" -pSENHA

3º edite as configurações do sistema

cd config; mv db.inc.php.dist db.inc.php; mv main.inc.php.dist main.inc.php
pico db.inc.php

troque a linha
$rcmail_config['db_dsnw'] = 'mysql://roundcube:pass@localhost/roundcubemail';
para
$rcmail_config['db_dsnw'] = 'mysql://root:SENHA@localhost/roundcube';

pico main.inc.php

troque a linha
$rcmail_config['default_host'] = '';
para
$rcmail_config['default_host'] = 'localhost';

4º editar as configurações de logotipo no CPANEL

cd /usr/local/cpanel/base/roundcube/skins/default/images/
cp /usr/local/cpanel/base/roundcube/skins/default/images/roundcube_logo.png /usr/local/cpanel/base/frontend/x/images/roundcube_logo.png
cp /usr/local/cpanel/base/roundcube/skins/default/images/roundcube_logo.png /usr/local/cpanel/base/webmail/x/images/roundcube_logo.png
cp /usr/local/cpanel/base/roundcube/skins/default/images/roundcube_logo.png /usr/local/cpanel/base/frontend/rvblue/themeimages/roundcube_logo.png

5º baixe o path para atualizar o roundcube para o uso no sistema CPANEL

wget http://www.insidehost.com.br/distros/install/HGpatch-roundcube-1.0BETA2
patch -p0 <>6º instale o pacote de língua portuguesa
cd /usr/local/cpanel/base/roundcube/program/localization
wget http://easynews.dl.sourceforge.net/sourceforge/roundcubemail/roundcube_brazilian-0.1-beta2.tar.gz
tar -zxvf roundcube_brazilian-0.1-beta2.tar.gz
chown -R root:root /usr/local/cpanel/base/roundcube

Pronto. Falta apenas um único detalhe, um bug que descobri. Você deve editar o arquivo compose:

pico /usr/local/cpanel/base/roundcube/skins/default/templates/compose.html

Na linha

Nova skin para o SquirrelMail

2007-05-24T02:45:00.000-03:00

No primeiro tutorial uma coisa bem simples, mas que não vejo em praticamente em nenhum host: uma pele (skin, free ) disponível para o webmail SquirrelMail.

Encontrei este recurso por acaso, vasculhando no site SourceForge, e de brazuca.

Passo a Passo:

1º - acesse uma pasta em seu servidor, por exemplo, usr/scr ou outra qualquer que vc use para os códigos fontes, baixe e descompacte o pacote .tgz:

cd /usr/scr
wget http://easynews.dl.sourceforge.net/sourceforge/squirreloutlook/squirreloutlook-1.0.3.tar.gz
tar -xzf squirreloutlook-1.0.3.tar.gz

2º - acesse o diretório onde esta armazenado o SquirrelMail original do CPANEL e faça uma cópia/backup do mesmo:

cd /usr/local/cpanel/base/3rdparty
mv squirrelmail squirrelmail.BACKUP

3º - copie o novo SquirrelMail para o local, renomeando a pasta para squirrelmail, e aplicando as permissões de usuário CPANEL:

mv /usr/scr/squirreloutlook-1.0.3 /usr/local/cpanel/base/3rdparty/squirrelmail
chown cpanel:cpanel -R squirrelmail
chmod 777 /usr/local/cpanel/base/3rdparty/squirrelmail/data

4º - copie e atualize a configuração (diretório config) do novo SquirrelMail com a versão do CPANEL original:

rm -fr /usr/local/cpanel/base/3rdparty/squirrelmail/config
cd /usr/local/cpanel/base/3rdparty/squirrelmail
cp -R /usr/local/cpanel/base/3rdparty/squirrelmail.BACKUP/config .
chown cpanel:cpanel -R squirrelmail
chmod 777 /usr/local/cpanel/base/3rdparty/squirrelmail/data

Pronto. Tente acessar e testar, enviando e recebendo emails. É uma pele muito melhor que a atual, e ainda permite você aplicar as variações de cores, etc…

Aviso: Todos os tutoriais postados pelo autor foram testados em ambiente de produção. Porem o mesmo não se responsabiliza por problemas ou bugs existentes nos sistemas usados de terceiros ou por erros durante a instalação dos recursos/scripts testados - o uso dos mesmos é por conta e risco de seus usuários.

Blog Lançado !!!

2007-05-24T02:17:00.001-03:00

Pode-se dizer que seja uma questão de puro narcisismo ou algo semelhante (se parar para pensar deve ser isso mesmo). Mas sempre desejei ter um BLOG para publicar opiniões e informações sobre algum tema. E qual seria o melhor tema/assunto para criar um BLOG que o assunto com o qual gasto 90% de meu tempo ?

A resposta me pareceu óbvia (até demais), o assunto que escolhi para esta BLOG não poderia ser outro: Tudo que tenha relação a administração de um Servidor Dedicado. Preferencialmente com o Sistema de controle CPANEL/WHM (mas publicarei informações sobre outros sistemas também).

Neste espaço eu pretendo publicar tutoriais e informações sobre o CPANEL/WHM e sobre Gerenciamento de Servidores dedicados, trabalho que faço a quase 10 anos (cacete… tô ficando velho) e compartilhar um pouco de minha experiência com outros. Tô ficando velho mesmo… sempre achei que compartilhar experiência é coisa de marmanjo.

Eu pretendo com o tempo ir modificando o layout e os textos publicados. É lógico que isso vai depender mais do tempo que eu tiver disponível.

Para a coisa ficar mais agradável eu crie também alguns links FIXOS em sites/portais e Fóruns sobre o CPANEL e sobre LINUX:

Uma comunidade no ORKUT sobre este BLOG, para ajudar a difundir o mesmo e os textos/tutoriais que serão publicados em http://www.orkut.com/Community.aspx?cmm=32839857

Logicamente (não poderia faltar) um post no Fórum do CPANEL em http://forums.cpanel.net/showthread.php?p=309176#post309176

Um post público no Fórum sobre o CPANEL (não oficial) em português em http://www.forumcpanel.com.br/index.php?showtopic=2721

Um abraço a todos e Sucesso !!!