• Ficar informado sobre dados que entram e saem via internet;
• Consultar os logs de forma eficiente e com regularidade;
• Aplicar de modo construtivo as informações obtidas pelos logs; e
• Controlar e restringir o acesso do usuário administrativo (root).

Sei que apresentar soluções para todas as necessidades requer um pouco de estudo e bastante tempo para testes. Isso porque nem sempre uma ferramenta/aplicativo usado por um determinado gerente de redes vai ser igualmente eficiente para todos os outros interessados no assunto. E infelizmente, nesse post, não trarei uma “resposta mágica” para todos os nossos anseios. Mas uma coisa sei: o sendEmail pode fazer mais por você do que pode-se imaginar!

De modo simples quero me concentar em um único ponto: “Controlar e restringir o acesso do usuário administrativo (root)”.

Para isso, vamos usar o sendEmail: que na verdade é simplesmente um cliente de email que usa protocolo SMTP para enviar mensagens via linha de comando. Mas afinal de contas: como aumentar a segurança com esta ferramenta?

Para se obter e usar o sendEmail é só seguir os padrões Unix like (Linux) usados em toda a Galáxia:
–> instalação manual/compilação –> tá aqui o binário do pacote <--
--> gerenciadores de pacote modernos: apt, yum, etc. Para quem usa distros Debian ou baseadas em Debian (Ubuntu, Knoppix, Xandros, etc) é só manter os repositórios regulares e usar o conhecido comando:

apt-get install sendEmail

* não se esqueça do “E” na palavra sendEmail
O.B.S: após a instalação do sendEmail via apt não há, inicialmente, necessidade da modificação de nenhum arquivo conf.(deixe tudo nativo).

Depois acesse seu sistema como root:

su

Vá até a pasta pessoal do usuário corrente (ou seja, do root):

cd ~ 

Agora liste todos os arquivos ocultos:

ls -a 

Nossos alvos são os seguintes arquivos:

.bashrc (arquivo que é lido e carregado durante a entrada do usuário no sistema)
.bash_logout (arquivo que é lido e carregado durante saída do usuário do sistema)
.bash_history (arquivo que “reserva” os últimos comandos executados pelo corrente usuário no terminal)

Caso os arquivos citdos não existam é só criá-los que automaticamente de tornam funcionais:

touch .bash_history

ou

touch .bash_logout

Vamos ao comando direcionado para o sendEmail:

sendEmail -f nome_do_host_a_ser_monitorado@seu.dominio -t seu_usuario@seu.email -u "Alerta: Entrada de root por `who | cut -d"(" -f2 | cut -d")" -f1`" -m "Acesso por root em host_alvo 192.168.X.X" -a /home/arquivo -s protocolo_envio@seu_email:porta_usada -xu usuário_do_seu_email -xp senha_do_seu_email 1> /dev/tty7

Explicando os parâmetros:

-f –> endereço daquele que envia o email (exemplo: proxy@minha_empresa.com.br)
-t –> endereço daquele que receberá o email (exemplo: ziraldocardoso@gmail.com)
-u –> título da mensagem (aqui existe o comando “who” adicional que envia o IP da máquina que logou por SSH, por exemplo. Não modifique se deseja manter essa função).
-m –> a menssagem em si (exemplo: Acesso por root em proxy IP 192.168.2.101)
-a –> arquivo para anexar. Especifique um anexo se desejar (usado no logout. As 35 linhas finais do .bash_history são anexadas)
-s –> protocolo para envio de mensagem seguido de : porta. Cada webmail tem as suas próprias especificações. É só olhar nas opções do Yahoo, Gmail ou outro e liberar o recebimento por aplicativo de envio automático (Thunderbird, MS Outlook, etc). (exemplo: smtp.minha_empresa.gov.br:25)
-xu –> seu nome de usuário do webmail que vai receber o email (exemplo: ziraldo@gmail.com ou somente ziraldo)
-xp –> sua senha de usuário do webmail
1> /dev/tty7 –> redirecionamento da saída de tela para outro terminal. Não é algo elegante ter sempre uma descrição de envio de email pelo sendmail toda vez que se entra ou sai do sistema. E outra, um possível invasor não precisa saber que o admin está sendo notificado de sua invasão. (Você pode usar outro recurso se desejar)

Agora é só incluir essa “parafernalha” no final do arquivo .bashrc para notificação de login via email. Use seu editor de texto preferido e retire o parâmetro para anexo (-a). Exemplo:

sendEmail -f nome_do_host_a_ser_monitorado@seu.dominio -t seu_usuario@seu.email -u "Alerta: Entrada de root por `who | cut -d"(" -f2 | cut -d")" -f1`" -m "Acesso por root em host_alvo 192.168.X.X" -s protocolo_de _envio@seu_email:porta_usada -xu usuário_do_seu_email -xp senha_do_seu_email 1> /dev/tty7

Para o logout usa-se um recurso um pouco diferente: vamos anexar o arquivo .bash_history ao email enviado. É muito interessante poder saber quais foram os últimos comandos executados no terminal. Sei que qualquer invasor que se preze apaga o .bash_history e não executa “exit” (comentário feito por Thiago Finardi). Mas eu insisto nisso… Sabe o porquê? Porque na minha sala de TI trabalham várias pessoas que executam diversos comandos em diferentes terminais. Caso haja algum problema e eu não esteja no trabalho, posso dar imediato suporte porque os últimos comandos foram enviados para o meu email. (fica frio, chefe!)

Edite o .bash_logout e na última linha inclua:

sh /home/saida.bash_history

*o nome do arquivo e o caminho podem variar de acordo com sua necessidade.

Crie o arquivo referenciado no local especificado acima:

touch /home/saida.bash_history

Crie um arquivo que em breve será usado como anexo:

touch /home/resumo.bash_history

*o nome do arquivo e o caminho podem variar de acordo com sua necessidade.

Agora edite o arquivo saida.bash_history conforme o exemplo:

tail -n 35 /root/.bash_history > /home/resumo.bash_history

sendEmail -f nome_do_host_a_ser_monitorado@seu.dominio -t seu_usuario@seu.email -u "Alerta: Entrada de root por `who | cut -d"(" -f2 | cut -d")" -f1`" -m "Acesso por root em host_alvo 192.168.X.X" -a /home/resumo.bash_history -s protocolo_envio@seu_email:porta_usada -xu usuário_do_seu_email -xp senha_do_seu_email 1> /dev/tty7

*o comando “tail” usado acima serve para exportar as últimas 35 linhas do .bash_history para o resumo.bash_history que servirá de anexo para o logout.

Considerações finais:

Teste quantas vezes for necessário até ter certeza do funcioanamento. Suprima a parte “1> /dev/tty7” durante a fase de implantação para que você possa observar todas as saídas de tela e ter certeza do funcionamento do sendEmail. Use sempre o comando “exit” para o logout e consequente execução do arquivo .bash_logout. Digo ainda que a pior parte é fazer os servidores do Yahoo, bol, Gmail, etc não rejeitarem o email enviado pelo sendEmail. Por causa disso acabei por usar um email organizacional não tão bom, mas que recebe tudo tranquilamente.

fontes:

man sendEmail
http://caspian.dotconf.net/menu/Software/SendEmail/
http://www.vivaolinux.com.br
http://www.centraldolinux.org

Veremos então como criar um pequeno formulário de contato com apenas nome, e-mail, telefone, cidade, assunto e mensagem. Vejamos como ficará o HTML então:

<form action="enviar.php" method="post">
<fieldset>
        <legend>Formulário de Contato</legend>
         <label for="nome">Nome</label>
         <input name="nome" size="40" type="text" />
         <label for="email">E-mail:</label>
         <input name="email" size="40" type="text" />
         <label for="telefone">Telefone</label>
         <input name="telefone" size="20" type="text" />
         <label for="assunto">Assunto</label>
         <input name="assunto" size="40" type="text" />
         <label for="mensagem">Mensagem</label>
         <textarea cols="40" rows="4" name="mensagem"></textarea>
         <input type="submit" value="Enviar" />
</fieldset>
</form>

Para enviar este formulário iremos utilizar uma classe PHP chamada PHPmailer(http://phpmailer.sourceforge.net/), então antes de começarmos é bom baixa-la e descomactar-la na pasta do script.

  require_once('phpmailer/class.phpmailer.php');

 $erros = "";

 if(empty($_POST['nome'])){
     $erros .= "O nome deve ser preenchido.";
 }

 if(empty($_POST['email']) ){
      $erros .= "O E-mail deve ser preenchido.";
 }else{
      $email = $_POST['email'];
      eregi("([\._0-9A-Za-z-]+)@([0-9A-Za-z-]+)(\.[0-9A-Za-z\.]+)",$email,$match);
    if(!isset($match)){
       $erros .= "O e-mail informado é inválido.";
    }
}

if(empty($_POST['mensagem'])){
    $erros .= "A mensagem deve ser preenchida.";
}

if( empty($erros) ){

    $phpmail = new PHPMailer();

    $phpmail->IsSMTP(); // envia por SMTP
    $phpmail->Host = "mail.xxxxxx.com"; // SMTP servers
    $phpmail->SMTPAuth = true; // Caso o servidor SMTP precise de autenticação
    $phpmail->Username = "xxxxxx@xxxxxx.com"; // SMTP username
    $phpmail->Password = "*********"; // SMTP password

    $phpmail->IsHTML(true);

    $phpmail->From = $_POST['email'];
    $phpmail->FromName = $_POST['nome'];

    $phpmail->AddAddress("blogbotecodigital@gmail.com");
    $phpmail->Subject = $assunto;
    $phpmail->Body .= "Nome: ".$_POST['nome']."";
    $phpmail->Body .= "E-mail: ".$_POST['email']."";
    $phpmail->Body .= "Telefone: ".$_POST['telefone']."";
    $phpmail->Body .= "Assunto: ".$_POST['assunto']."";
    $phpmail->Body .= "Mensagem: ".nl2br($_POST['mensagem'])."";

    $send = $phpmail->Send();

    if($send){
        echo "A Mensagem foi enviada com sucesso.";
    }else{
        echo "Não foi possível enviar a mensagem. Erro: " .$phpmail->ErrorInfo;
    }

    }else{
        echo $erros;
    }

Vamos então commeçar a examinar o código. Na linha 1 apenas incluimos a classe PHPmailer no script. Na linha 5 testamos se a váriavel nome enviada por POST pelo nosso formulário esta vazia, se sim acrescentamos uma mensagem na variável $erros(linha 6).

Na linha 9 verficamos se o e-mail foi informado, se sim, na linha 13 utilizamos uma expressão regular para verficar se realmente foi informado um e-mail. Na linha 19 verficamos se foi enviado alguma mensagem.

Na linha 23 verficamos se não existe nenhuma mensagem de erro na variável $erros, se ela estiver vazia começa a brincadeira.

Instânciamos a classe PHPmailer na linha 25 para poder utiliza-la.

Na linha 27 definimos que utilizaremos o protocolo SMTP, poderiamos ter definido a opção $phpmail->IsMail(); que utilizaria ao invés do SMTP a função mail do PHP, mas utilizar a função mail() não é tão recomendada pois muitos servdores de e-mail pegam como spam.

Como estamos utilizando o SMTP devemos fornecer o host que enviará o email (linha 28). Na linha 29 definimos que utilizaremos autenticação para enviar o e-mail, o que também é interessante pois muitos servidores já estão utilizando este recurso para tentar diminuir o envio de spam na rede. Como definimos que iremos utilizar autenticação devemos informar o usuário e a senha, o que é feito nas linha 30 e 31.

Na linha 34 definimos que o e-mail será enviado em formato HTML.

Nas linhas 35 e 36 definimos o e-mail e nome enviado pelo formulário como remetente da mensagem, costumo fazer isto para facilitar a resposta da mensagem.

Na linha 38 adicionamos o endereço do destinatário no caso nós mensmo. A classe PHPmailer também nos permite enviar uma cópia do e-mail para outro endereço $phpmail->AddCC($endereco,$nome) e cópia oculta $phpmail->AddBCC($endereco, $nome).

Entre as linhas 39 e 44 montamos a mensagem, sendo setado o assunto $phpmail->Subject = $assunto; e montado o formulário no corpo da mensagem. Lembrando de converter as quebras de linhas \n do campo mensagem para as quebra de linha em HTML( nl2br() ).

Na linha 46 é onde nosso e-mail é enviado(ou não?). Após esta linha apenas informamos ao usuário se a mensagem foi enviada ou não. Se não for(linha 51) mostramos o erro que ocorreu.

Este é apenas um pequeno exemplo do que se pode fazer com a classe PHPMailer, ela é muito mais poderosa que isto, podemos por exemplo, enviar anexos nas mensagens.
%0