Créditos e Licença de Uso
Copyright © 2007-2008 Júnio José dos Santos
Baseado no Guia de Instalação de Debian GNU/Linux
Copyright © 2004, 2005, 2006, 2007 A equipe do Instalador Debian
Baseado no Securing Debian Manual
Copyright © 2002, 2003, 2004, 2005 Javier Fernández-Sanguino Peña
Copyright © 2001 Alexander Reelsen, Javier Fernández-Sanguino Peña
Copyright © 2000 Alexander Reelsen
É permitido copiar, distribuir e/ou modificar esse documento desde que sob os termos da GNU General Public License, Version 2 ou qualquer versão posterior publicada pela Free Software Foundation. Ele é distribuído na esperança de ser útil, porém SEM NENHUMA GARANTIA.
É permitido fazer e distribuir cópias em disquetes (ou qualquer outra forma de distribuição) desse documento desde que a nota de copyright e essa nota de permissão estejam em todas as cópias.
É permitido copiar e distribuir versões modificadas desse documento desde que o documento resultante seja distribuído sob os mesmos termos de distribuição desse documento.
É permitido copiar e distribuir traduções desse documento em outro idioma desde que o documento resultante seja distribuído sob os mesmos termos de distribuição desse documento e que a tradução dessa nota de permissão seja autorizada pela Free Software Foundation.
Resumo
Esse documento contém as instruções de instalação para o sistema Debian GNU/Linux 4.0, (nome de código "etch"), para a arquitectura Intel x86 (i386).
Sobre esse documento
O objetivo desse documento é reunir em apenas um lugar e de forma mais simplificada algumas informações constantes no Guia de Instalação Debian e no Securing Debian Manual.
Nele você encontrará um roteiro de instalação da GNU/Linux Debian com foco em computadores servidores. Trata-se da instalação do sistema básico para qualquer tipo de servidor em computadores da família i386. Escolhi essa arquitetura por ser mais fácil encontrar esse tipo de computador e por vários tipos de servidores funcionarem tranqüilamente nela.
Antes da instalação
Esse tópico trata da preparação para instalar a Debian antes mesmo de iniciar o instalador. Isso inclui preparar documentos necessários, verificar o hardware, definir alguns detalhes na BIOS, obter o CD/DVD de instalação, planejar o particionamento do(s) disco(s) e algumas outras coisas que você deve estar ciente.
Guia de instalação Debian
Esse documento procura ser o mais prático possível, para que você possa ter certeza que, ao final, terá instalado de forma correta a Debian no computador servidor. Todavia ele não entra em pequenos detalhes e nem detalha possíveis situações que podem ocorrer durante o processo de instalação. Caso não consiga instalar a Debian seguindo esse passo-a-passo ou queira ter uma visão mais detalhada do processo de instalação é recomendável que você leia o Guia de Instalação de Debian GNU/Linux.
Caso a arquitetura na qual você deseja instalar a Debian seja diferente da i386, existe uma Lista de Arquiteturas Suportadas, onde você poderá encontrar versões do Guia de Instalação para elas.
Hardware
A Debian não impõe requisitos de hardware para além do que é requerido pelo kernel Linux e pelas ferramentas GNU. Por isso qualquer arquitetura ou plataforma para a qual tenha sido portado o kernel Linux, libc, gcc, etc. e para o qual exista um port de Debian, você poderá instalar. No entanto é importante que você saiba dimensionar o hardware para o tipo de servidor que você deseja instalar para evitar que seu computador trabalhe sobrecarregado ou extremamente ocioso.
Algumas observações
A menos que seja extremamente necessário um computador servidor não deve possuir:
Copyright © 2007-2008 Júnio José dos Santos
Baseado no Guia de Instalação de Debian GNU/Linux
Copyright © 2004, 2005, 2006, 2007 A equipe do Instalador Debian
Baseado no Securing Debian Manual
Copyright © 2002, 2003, 2004, 2005 Javier Fernández-Sanguino Peña
Copyright © 2001 Alexander Reelsen, Javier Fernández-Sanguino Peña
Copyright © 2000 Alexander Reelsen
É permitido copiar, distribuir e/ou modificar esse documento desde que sob os termos da GNU General Public License, Version 2 ou qualquer versão posterior publicada pela Free Software Foundation. Ele é distribuído na esperança de ser útil, porém SEM NENHUMA GARANTIA.
É permitido fazer e distribuir cópias em disquetes (ou qualquer outra forma de distribuição) desse documento desde que a nota de copyright e essa nota de permissão estejam em todas as cópias.
É permitido copiar e distribuir versões modificadas desse documento desde que o documento resultante seja distribuído sob os mesmos termos de distribuição desse documento.
É permitido copiar e distribuir traduções desse documento em outro idioma desde que o documento resultante seja distribuído sob os mesmos termos de distribuição desse documento e que a tradução dessa nota de permissão seja autorizada pela Free Software Foundation.
Resumo
Esse documento contém as instruções de instalação para o sistema Debian GNU/Linux 4.0, (nome de código "etch"), para a arquitectura Intel x86 (i386).
Sobre esse documento
O objetivo desse documento é reunir em apenas um lugar e de forma mais simplificada algumas informações constantes no Guia de Instalação Debian e no Securing Debian Manual.
Nele você encontrará um roteiro de instalação da GNU/Linux Debian com foco em computadores servidores. Trata-se da instalação do sistema básico para qualquer tipo de servidor em computadores da família i386. Escolhi essa arquitetura por ser mais fácil encontrar esse tipo de computador e por vários tipos de servidores funcionarem tranqüilamente nela.
Antes da instalação
Esse tópico trata da preparação para instalar a Debian antes mesmo de iniciar o instalador. Isso inclui preparar documentos necessários, verificar o hardware, definir alguns detalhes na BIOS, obter o CD/DVD de instalação, planejar o particionamento do(s) disco(s) e algumas outras coisas que você deve estar ciente.
Guia de instalação Debian
Esse documento procura ser o mais prático possível, para que você possa ter certeza que, ao final, terá instalado de forma correta a Debian no computador servidor. Todavia ele não entra em pequenos detalhes e nem detalha possíveis situações que podem ocorrer durante o processo de instalação. Caso não consiga instalar a Debian seguindo esse passo-a-passo ou queira ter uma visão mais detalhada do processo de instalação é recomendável que você leia o Guia de Instalação de Debian GNU/Linux.
Caso a arquitetura na qual você deseja instalar a Debian seja diferente da i386, existe uma Lista de Arquiteturas Suportadas, onde você poderá encontrar versões do Guia de Instalação para elas.
Hardware
A Debian não impõe requisitos de hardware para além do que é requerido pelo kernel Linux e pelas ferramentas GNU. Por isso qualquer arquitetura ou plataforma para a qual tenha sido portado o kernel Linux, libc, gcc, etc. e para o qual exista um port de Debian, você poderá instalar. No entanto é importante que você saiba dimensionar o hardware para o tipo de servidor que você deseja instalar para evitar que seu computador trabalhe sobrecarregado ou extremamente ocioso.
Algumas observações
A menos que seja extremamente necessário um computador servidor não deve possuir:
- Conexões USB;
- Unidades de disquete;
- Unidades de CD/DVD (após a instalação);
- Teclado (após a instalação);
- Acesso físico facilitado.
Acesso facilitado pode permitir que uma pessoa estranha (ou não) tenha acesso ao computador. Essa pessoa pode plugar um pen-drive com um sistema previamente preparado e escrever informações no disco do servidor e, isso, apenas para dar um exemplo.
Definições para BIOS
Para um melhor desempenho e um maior grau de segurança é recomendável que você efetue algumas configurações na BIOS do computador onde pretende instalar o sistema.
Cada BIOS tem suas particularidades e você deverá saber acessá-la e procurar pelas sugestões aqui apresentadas. Lembre-se: nem todas as opções serão encontradas em todas as BIOS. O melhor a ser feito é você ler com bastante atenção o manual da BIOS do seu equipamento.
Memória Estendida vs. Expandida
Se seu sistema disponibiliza ambas as memórias (estendida e expandida) , configure-o de modo a ter o máximo de memória estendida e o mínimo de expandida. Linux necessita de memória estendida e não pode utilizar memória expandida.
Proteção de Vírus
Desligue os avisos que a BIOS possa dar sobre possibilidade de vírus. Se tem uma placa de proteção de vírus ou outro hardware especial, assegure-se que esteja desabilitado ou removido fisicamente enquanto executa o GNU/Linux, pois esses não são compatíveis; e mais, devido às permissões de arquivos e à memória protegida do kernel Linux, os vírus são praticamente desconhecidos.
Shadow RAM
A placa-mãe do seu computador pode disponibilizar shadow RAM ou cache da BIOS . Você pode ver as definições para ''Video BIOS Shadow'', ''C800-CBFF Shadow'', etc. Desligue toda a shadow RAM. A shadow RAM é utilizada para acelerar o acesso às ROMs da placa-mãe e de algumas placas controladoras. O Linux não utiliza essas ROMs após ter inicializado porque disponibiliza software 32-bit mais rápido do que os programas de 16-bit nas ROMs. Desligar a shadow RAM pode tornar disponível alguma memória, a mais, para os programas utilizarem como memória normal. Deixar a shadow RAM ligada pode interferir com o acesso do Linux a dispositivos de hardware.
Obtendo o Debian Netinst
A forma mais simples de se instalar a Debian em servidores é através do Netinst. Ele é um único CD de instalação que permite instalar todo o sistema operacional. Esse único CD contém apenas a quantidade mínima de software para começar a instalação e obter os outros pacotes através da Internet.
Ele é melhor, no caso de servidores, pois você só vai baixar os pacotes que selecionar para a instalação, o que economiza tempo e banda. Por esse motivo ele é mais seguro que um CD de instalação normal, já que não instalará nenhum programa desnecessário, reduzindo assim o número de programas com os quais você terá de se preocupar.
Após baixar a imagem de instalação do Debian 4.0 Netinst você deverá gravá-la num CD virgem. Não vou explicar aqui como fazer isso por se tratar de um recurso amplamente documentado na Internet.
Não se esqueça
Não conecte-se a Internet até estar pronto
O sistema não deve ser imediatamente conectado a Internet durante a instalação. Isso pode parecer estúpido mas instalação via Internet é um método comum. Uma vez que o sistema instalará e ativará serviços imediatamente, se o sistema estiver conectado a Internet e os serviços não estiverem adequadamente configurados, você estará abrindo brechas para ataques.
Observe também que alguns serviços podem ter vulnerabilidades de segurança não corrigidas nos pacotes que você estiver usando para a instalação. Isso normalmente será verdade se você estiver instalando a partir de mídia antiga (como CD-ROMs). Nesse caso, o sistema poderia estar comprometido antes de terminar a instalação!
Uma vez que a instalação e atualizações do Debian podem ser feitas pela Internet você pode pensar que é uma boa idéia usar esse recurso na instalação. Se o sistema está diretamente conectado (e não está protegido por um firewall ou NAT), é melhor instalar sem conexão com a grande rede usando um mirror local com os pacotes do Debian e as atualizações de segurança.
Você pode configurar mirrors de pacotes usando outro sistema conectado com ferramentas específicas Debian como apt-move ou apt-proxy, ou outras, para fornecer os arquivos para o sistema instalado. Se não puder fazer isso, você pode configurar regras de firewall para limitar o acesso ao sistema enquanto estiver atualizando.
Escolha de senhas
Configurar uma boa senha para o root é o requerimento mais básico para ter um sistema seguro.
Muita informação sobre a escolha de boas senhas pode ser encontrada na internet; um local que fornece um sumário decente e racional é How to: Pick a Safe Password do Eric Wolfram.
Rode o mínimo de serviços possíveis
Serviços são programas como, por exemplo, servidores ftp e servidores web. Uma vez que eles têm que estar escutando por conexões que requisitem o serviço, computadores externos podem conectar-se a eles. Serviços algumas vezes são vulneráveis (i.e. podem estar comprometidos sobre um certo ataque) e oferecem risco a segurança.
Você não deve instalar serviços que não são necessários em sua máquina. Todo serviço instalado pode introduzir novos, talvez não óbvios ou conhecidos, buracos na segurança.
Como você já deve saber, quando você instala um serviço o padrão é ele ser ativado. Em uma instalação Debian padrão, sem nenhum serviço a mais instalado, o número de serviços rodando é baixo mesmo quando falamos de serviços oferecidos para a rede, mas é bom conferi-los e, se for o caso, desabilitá-lo(s).
Quando você instala um novo serviço de rede (daemon) em seu sistema Debian GNU/Linux ele pode ser habilitado de duas maneiras: através do superdaemon inetd (uma linha será adicionada ao /etc/inetd.conf) ou através de um programa que serve de interface. Esses programas são controlados pelos arquivos /etc/init.d, que são chamados no momento da inicialização através do mecanismo SysV (ou outro alternativo) pelo uso de symlinks em /etc/rc?.d/* (para mais informações de como isso é feito leia /usr/share/doc/sysvinit/README.runlevels.gz).
Se você quer manter algum serviço, mas que será usado raramente, use os comandos update, isto é, update-inetd e update-rc.d para removê-los do processo de inicialização.
Desabilitar um daemon de serviço é simples. Existem vários métodos:
Definições para BIOS
Para um melhor desempenho e um maior grau de segurança é recomendável que você efetue algumas configurações na BIOS do computador onde pretende instalar o sistema.
Cada BIOS tem suas particularidades e você deverá saber acessá-la e procurar pelas sugestões aqui apresentadas. Lembre-se: nem todas as opções serão encontradas em todas as BIOS. O melhor a ser feito é você ler com bastante atenção o manual da BIOS do seu equipamento.
Memória Estendida vs. Expandida
Se seu sistema disponibiliza ambas as memórias (estendida e expandida) , configure-o de modo a ter o máximo de memória estendida e o mínimo de expandida. Linux necessita de memória estendida e não pode utilizar memória expandida.
Proteção de Vírus
Desligue os avisos que a BIOS possa dar sobre possibilidade de vírus. Se tem uma placa de proteção de vírus ou outro hardware especial, assegure-se que esteja desabilitado ou removido fisicamente enquanto executa o GNU/Linux, pois esses não são compatíveis; e mais, devido às permissões de arquivos e à memória protegida do kernel Linux, os vírus são praticamente desconhecidos.
Shadow RAM
A placa-mãe do seu computador pode disponibilizar shadow RAM ou cache da BIOS . Você pode ver as definições para ''Video BIOS Shadow'', ''C800-CBFF Shadow'', etc. Desligue toda a shadow RAM. A shadow RAM é utilizada para acelerar o acesso às ROMs da placa-mãe e de algumas placas controladoras. O Linux não utiliza essas ROMs após ter inicializado porque disponibiliza software 32-bit mais rápido do que os programas de 16-bit nas ROMs. Desligar a shadow RAM pode tornar disponível alguma memória, a mais, para os programas utilizarem como memória normal. Deixar a shadow RAM ligada pode interferir com o acesso do Linux a dispositivos de hardware.
Obtendo o Debian Netinst
A forma mais simples de se instalar a Debian em servidores é através do Netinst. Ele é um único CD de instalação que permite instalar todo o sistema operacional. Esse único CD contém apenas a quantidade mínima de software para começar a instalação e obter os outros pacotes através da Internet.
Ele é melhor, no caso de servidores, pois você só vai baixar os pacotes que selecionar para a instalação, o que economiza tempo e banda. Por esse motivo ele é mais seguro que um CD de instalação normal, já que não instalará nenhum programa desnecessário, reduzindo assim o número de programas com os quais você terá de se preocupar.
Após baixar a imagem de instalação do Debian 4.0 Netinst você deverá gravá-la num CD virgem. Não vou explicar aqui como fazer isso por se tratar de um recurso amplamente documentado na Internet.
Não se esqueça
Não conecte-se a Internet até estar pronto
O sistema não deve ser imediatamente conectado a Internet durante a instalação. Isso pode parecer estúpido mas instalação via Internet é um método comum. Uma vez que o sistema instalará e ativará serviços imediatamente, se o sistema estiver conectado a Internet e os serviços não estiverem adequadamente configurados, você estará abrindo brechas para ataques.
Observe também que alguns serviços podem ter vulnerabilidades de segurança não corrigidas nos pacotes que você estiver usando para a instalação. Isso normalmente será verdade se você estiver instalando a partir de mídia antiga (como CD-ROMs). Nesse caso, o sistema poderia estar comprometido antes de terminar a instalação!
Uma vez que a instalação e atualizações do Debian podem ser feitas pela Internet você pode pensar que é uma boa idéia usar esse recurso na instalação. Se o sistema está diretamente conectado (e não está protegido por um firewall ou NAT), é melhor instalar sem conexão com a grande rede usando um mirror local com os pacotes do Debian e as atualizações de segurança.
Você pode configurar mirrors de pacotes usando outro sistema conectado com ferramentas específicas Debian como apt-move ou apt-proxy, ou outras, para fornecer os arquivos para o sistema instalado. Se não puder fazer isso, você pode configurar regras de firewall para limitar o acesso ao sistema enquanto estiver atualizando.
Escolha de senhas
Configurar uma boa senha para o root é o requerimento mais básico para ter um sistema seguro.
Muita informação sobre a escolha de boas senhas pode ser encontrada na internet; um local que fornece um sumário decente e racional é How to: Pick a Safe Password do Eric Wolfram.
Rode o mínimo de serviços possíveis
Serviços são programas como, por exemplo, servidores ftp e servidores web. Uma vez que eles têm que estar escutando por conexões que requisitem o serviço, computadores externos podem conectar-se a eles. Serviços algumas vezes são vulneráveis (i.e. podem estar comprometidos sobre um certo ataque) e oferecem risco a segurança.
Você não deve instalar serviços que não são necessários em sua máquina. Todo serviço instalado pode introduzir novos, talvez não óbvios ou conhecidos, buracos na segurança.
Como você já deve saber, quando você instala um serviço o padrão é ele ser ativado. Em uma instalação Debian padrão, sem nenhum serviço a mais instalado, o número de serviços rodando é baixo mesmo quando falamos de serviços oferecidos para a rede, mas é bom conferi-los e, se for o caso, desabilitá-lo(s).
Quando você instala um novo serviço de rede (daemon) em seu sistema Debian GNU/Linux ele pode ser habilitado de duas maneiras: através do superdaemon inetd (uma linha será adicionada ao /etc/inetd.conf) ou através de um programa que serve de interface. Esses programas são controlados pelos arquivos /etc/init.d, que são chamados no momento da inicialização através do mecanismo SysV (ou outro alternativo) pelo uso de symlinks em /etc/rc?.d/* (para mais informações de como isso é feito leia /usr/share/doc/sysvinit/README.runlevels.gz).
Se você quer manter algum serviço, mas que será usado raramente, use os comandos update, isto é, update-inetd e update-rc.d para removê-los do processo de inicialização.
Desabilitar um daemon de serviço é simples. Existem vários métodos:
- remover ou renomear os links de /etc/rc${runlevel}.d/ de modo que eles não iniciem com a letra 'S'
- mover ou renomear o script /etc/init.d/_service_name_ pra outro nome, por exemplo /etc/init.d/OFF._service_name_
- remover a permissão de execução do arquivo /etc/init.d/_service_name_.
- editar o script /etc/init.d/_service_name_ para parar o serviço imediatamente.
Você pode remover os links de /etc/rc${runlevel}.d/ manualmente ou usando update-rc.d (veja update-rc.d(8)). Por exemplo, você pode desabilitar um serviço (firewall no exemplo) do runlevel 2 executando:
update-rc.d firewall start 14 2 .
Você deve checar se realmente precisa do daemon inetd . Inetd sempre foi uma maneira de compensar deficiências do kernel, mas estas deficiências foram corrigidas. Existe possibilidade de ataques DoS (Denial of Service) contra o inetd, então é preferível usar daemons individuais do que rodar um serviço do inetd. Se você ainda quer rodar algum serviço do inetd, então no mínimo alterne para um daemon mais configurável como xinetd, rlinetd ou openbsd-inetd.
Você deve parar todos os serviços Inetd desnecessários, como por exemplo echo , chargen , discard , daytime , time , talk , ntalk e r-services (rsh, rlogin e rcp) os quais são considerados ALTAMENTE inseguros (use ssh no lugar desses).
Você pode desabilitar os serviços editando o arquivo /etc/inetd.conf diretamente, mas o Debian fornece uma alternativa melhor: update-inetd (o qual comenta os serviços de modo que eles possam facilmente ser reativados). Você pode remover o daemon telnet para alterar o arquivo de configuração e reiniciar o daemon (neste caso o serviço telnet é desabilitado):
/usr/sbin/update-inetd --disable telnet
Se você quer um serviço, mas não o quer disponível para todos os IP do seu host, você deve usar um recurso não documentado no inetd (substitua o nome do serviço por serviço@ip) ou use um daemon alternativo como xinetd.
Instale somente pacotes necessários
A Debian vem com uma grande quantidade de software. Apesar da grande quantidade de software, a instalação do sistema base utiliza poucos pacotes. Você pode estar mal informado e instalar mais que o realmente necessário para seu sistema.
Sabendo o que seu sistema realmente precisa, você deve instalar apenas o que for realmente necessário para seu trabalho. Qualquer ferramenta desnecessária pode ser usada por um usuário malicioso para comprometer o sistema ou por um invasor externo que tenha acesso ao shell (ou código remoto através de serviços exploráveis).
A presença, por exemplo, de utilitários de desenvolvimento (um compilador C) ou linguagens interpretadas (como perl, python, tcl...) pode ajudar um atacante a comprometer o sistema da seguinte maneira:
- permitir a ele fazer escalação de privilégios. Isso facilita, por exemplo, rodar exploits locais no sistema se existe um depurador e compilador prontos para compilar e testar.
- fornecer ferramentas que poderiam ajudar um atacante a usar o sistema comprometido como base de ataque contra outros sistemas.
É claro que um invasor com acesso ao shell local pode baixar suas próprias ferramentas e executá-las, além disso o próprio shell pode ser usado para fazer complexos programas. Remover software desnecessário não impedirá o problema mas dificultará a ação de um possível atacante. Então, se você deixar disponíveis ferramentas em um sistema de produção que poderiam ser usadas remotamente para um ataque, pode acontecer de um invasor usá-las.
Durante a instalação
Esse tópico trata do processo durante a instalação da Debian em computador servidor. Isso inclui preparar a BIOS para dar BOOT pelo CD/DVD ROM, as opções de boot, seleção da localização, escolha do teclado, configuração da rede, particionamento do(s) disco(s), configuração do sistema e tornar o sistema inicializável.
Preparando a BIOS para o BOOT
Lembre-se de preparar sua BIOS para dar BOOT pelo CD/DVD ROM. Cada BIOS tem suas particularidades e você deverá saber acessá-la e ajustá-la para dar o boot.
Opções de BOOT
Quando o instalador inicia, será apresentada uma tela gráfica que mostra a logo do Debian e a linha de comandos de boot:
Para uma instalação comum basta pressionar ENTER. Se seu hardware possui a necessidade de algum parâmetro especial ou você não conseguiu dar continuidade ao processo de instalação, pode ser útil dar uma olhada nas Opções de boot ou ainda Diagnosticar Problemas no Processo de Instalação. As opções de boot podem ser obtidas pressionando F3.
Seleção da localização
Logo no começo da instalação você será perguntado sobre a localização do sistema. Isso permite selecionar as opções de localização para a instalação e para o sistema instalado: idioma, país e definições locais. O instalador irá mostrar mensagens no idioma escolhido a menos que a tradução para esse idioma não esteja completa, nesse caso algumas mensagens podem ser mostradas em Inglês.
Escolha do teclado
O instalador mostra uma lista de teclados, a partir da qual você escolhe o modelo que coincide com o seu.
O mais comum aqui no Brasil é o Português Brasileiro (ABNT2)
Configuração da rede
Se seu servidor possui mais de uma placa de rede você tem de escolher qual será a padrão (principal).
Logo em seguida o instalador tentará detectar sua rede. Lembre-se de não conectar esse computador à Internet neste momento. Minha sugestão é que você não configure sua placa de rede neste momento, deixando para fazer isso após a instalação básica do sistema.
Para isso desconecte qualquer cabo da(s) sua(s) placa(s) de rede e então escolha a opção:
Escolha um nome para sua máquina. Existem algumas limitações para nome de máquina. Por isso a dica é: use letras minúsculas e/ou números. Normalmente os administradores de rede escolhem um tema para dar nome aos seus vários servidores, por exemplo: Desenhos animados, planetas, pessoas famosas, etc.
Particionar o disco
Agora é hora de particionar o(s) disco(s). Esse é um momento bastante importante e se não for bem feito pode comprometer o comportamento e segurança do computador servidor.
Um esquema de partição inteligente depende de como o computador servidor será usado. Uma boa regra é ser razoavelmente generoso com suas partições e prestar atenção aos seguintes fatores:
Durante a instalação
Esse tópico trata do processo durante a instalação da Debian em computador servidor. Isso inclui preparar a BIOS para dar BOOT pelo CD/DVD ROM, as opções de boot, seleção da localização, escolha do teclado, configuração da rede, particionamento do(s) disco(s), configuração do sistema e tornar o sistema inicializável.
Preparando a BIOS para o BOOT
Lembre-se de preparar sua BIOS para dar BOOT pelo CD/DVD ROM. Cada BIOS tem suas particularidades e você deverá saber acessá-la e ajustá-la para dar o boot.
Opções de BOOT
Quando o instalador inicia, será apresentada uma tela gráfica que mostra a logo do Debian e a linha de comandos de boot:
Pressione F1 para ajuda, ou ENTER para iniciar:
Para uma instalação comum basta pressionar ENTER. Se seu hardware possui a necessidade de algum parâmetro especial ou você não conseguiu dar continuidade ao processo de instalação, pode ser útil dar uma olhada nas Opções de boot ou ainda Diagnosticar Problemas no Processo de Instalação. As opções de boot podem ser obtidas pressionando F3.
Seleção da localização
Logo no começo da instalação você será perguntado sobre a localização do sistema. Isso permite selecionar as opções de localização para a instalação e para o sistema instalado: idioma, país e definições locais. O instalador irá mostrar mensagens no idioma escolhido a menos que a tradução para esse idioma não esteja completa, nesse caso algumas mensagens podem ser mostradas em Inglês.
Selecione: Portuguese (Brazil) - Português do Brasil
Escolha do teclado
O instalador mostra uma lista de teclados, a partir da qual você escolhe o modelo que coincide com o seu.
O mais comum aqui no Brasil é o Português Brasileiro (ABNT2)
Configuração da rede
Se seu servidor possui mais de uma placa de rede você tem de escolher qual será a padrão (principal).
Logo em seguida o instalador tentará detectar sua rede. Lembre-se de não conectar esse computador à Internet neste momento. Minha sugestão é que você não configure sua placa de rede neste momento, deixando para fazer isso após a instalação básica do sistema.
Para isso desconecte qualquer cabo da(s) sua(s) placa(s) de rede e então escolha a opção:
Não configurar a rede agora.
Escolha um nome para sua máquina. Existem algumas limitações para nome de máquina. Por isso a dica é: use letras minúsculas e/ou números. Normalmente os administradores de rede escolhem um tema para dar nome aos seus vários servidores, por exemplo: Desenhos animados, planetas, pessoas famosas, etc.
Particionar o disco
Agora é hora de particionar o(s) disco(s). Esse é um momento bastante importante e se não for bem feito pode comprometer o comportamento e segurança do computador servidor.
Um esquema de partição inteligente depende de como o computador servidor será usado. Uma boa regra é ser razoavelmente generoso com suas partições e prestar atenção aos seguintes fatores:
- Qualquer diretório que um usuário tenha permissões de escrita, como o /home e o /tmp, devem estar separados em uma partição. Isso reduz o risco de um usuário malicioso utilizar o DoS (Denial of Service) para encher seu diretório raiz ( / ) e tornar o sistema inutilizável (Observação: isso não é totalmente verdade uma vez que sempre existe algum espaço reservado para o usuário root que o usuário normal não pode preencher), e também previne ataques tipo hardlink.
- Qualquer partição com dados variáveis, isto é, /var (especialmente /var/log) também deve estar numa partição separada. Em um sistema Debian você deve criar /var um pouco maior que em outros sistemas porque o download de pacotes (cache do apt) é armazenado em /var/cache/apt/archives.
- Do ponto de vista da segurança, é sensato tentar mover os dados estáticos para sua própria partição e então montar essa partição somente para leitura.
No caso de um servidor de email é importante ter uma partição separada para o spool de email. Usuários remotos (conhecidos ou não) podem encher o spool de email (/var/mail e/ou /var/spool/mail). Se o spool está em uma partição separada, essa situação não tornará o sistema inutilizável. Porém (se o diretório de spool está na mesma partição que /var) o sistema pode ter sérios problemas: logs não serão criados, pacotes podem não ser instalados e alguns programas podem ter problemas ao iniciar (se eles usam /var/run).
Durante o particionamento do sistema você também tem que decidir qual sistema de arquivos usar. O sistema de arquivos padrão em uma instalação Debian para partições Linux é o ext3. É recomendado sempre utilizar um sistema de arquivos journalling como ext3, reiserfs, jfs ou xfs, para minimizar os problemas derivados de uma quebra do sistema nos seguintes casos:
- Para laptops em todos os sistemas de arquivos instalados. Assim se acabar a bateria inesperadamente ou o sistema congelar você correrá menos risco de perda de dados durante a reinicialização do sistema.
- Para sistemas que armazenam grande quantidade de dados (como servidores de email, servidores ftp, sistemas de arquivos de rede ....). Assim, em caso de queda, menos tempo será gasto para o servidor checar o sistema de arquivos e a probabilidade da perda de dados será menor.
Decidir o tamanho e as partições
Cada caso é um caso e, na minha opinião, essa é a etapa mais complexa no processo de instalação. Vou apresentar (mais abaixo) um modelo que considero de uso geral, mas é bom que você analise bastante essa etapa para particionar e definir os tamanhos conforme o tipo de servidor que você for usar.
A árvore de diretórios
A Debian GNU/Linux adere ao Filesystem Hierarchy Standard para os diretórios e nomes de arquivos. Esse padrão permite aos usuários e aos programas de software predizer o local dos arquivos e diretórios. O nível do diretório raiz é representado simplesmente por uma barra /. No nível raiz, todos os sistemas Debian incluem estes diretórios:
bin: Comandos binários essenciais
boot: Arquivos do sistena de boot
dev: Arquivos de dispositivos
etc: Configurações específicas do sistema
home: Diretório principal dos usuários
lib: Bibliotecas essenciais compartilhadas e módulos do kernel
media: Contém pontos de montagem para dispositivos removíveis
mnt: Local de montagem temporária de um sistema de arquivos
proc: Diretório virtual para informações do sistema (kernels 2.4 e 2.6)
root: Diretório principal do usuário root
sbin: Binários essenciais do sistema
sys: Diretório virtual para informações do sistema (kernels 2.6)
tmp: Arquivos temporários
usr: Hierarquia secundária
var: Dados variáveis
srv: Dados para os serviços disponibilizados pelo sistema
opt: Pacotes de software e aplicações adicionais
A seguir é apresentada uma lista de considerações importantes relacionadas com diretórios e partições. Note que a utilização do disco varia muito com a configuração do sistema e padrões de utilização específicos. As recomendações aqui são linhas de orientações gerais e disponibilizam um ponto de partida para você definir o particionamento ideal para seu computador servidor.
- A partição raiz / tem de conter fisicamente sempre /etc, /bin, /sbin, /lib e /dev, caso contrário não será possível inicializar o sistema. Tipicamente são necessários 150-250MB para a partição raiz.
- /usr: contém todos os programas dos usuários (/usr/bin), bibliotecas (/usr/lib), documentação (/usr/share/doc), etc. Essa é a porção do sistema de arquivos que geralmente requer mais espaço. Deverá fornecer pelo menos 500 MB de espaço em disco. Esse tamanho deve aumentar dependendo do número e tipo de pacotes que planeja instalar. Uma generosa estação de trabalho deve precisar de uns 4-6 GB.
- /var: dados variáveis tais como artigos de news , e-mails, web sites, bases de dados, cache do sistema de pacotes, etc. serão guardados sob este diretório. O tamanho desse diretório depende muito da utilização do seu sistema, mas para a maioria das pessoas irá ser ditado pelo espaço utilizado pelo gestor de pacotes. Se vai fazer uma instalação completa com tudo aquilo que a Debian tem para oferecer, numa só sessão, coloque de começo uns 2 ou 3 gigabytes de espaço para /var que deverão ser suficientes. Se vai instalar por partes (isto é, instalar serviços e utilitários, seguidos de materiais de texto, depois o X, ...), poderá safar-se com 300-500 MB. Se o espaço no disco rígido está a prêmio e você não planeja fazer grandes atualizações ao sistema, poderá safar-se com uns 30 ou 40 MB. Servidores Web e servidores de E-mail precisam de grandes espaços no /var. Pense bastante nisso se for configurar servidores desse tipo.
- /tmp: dados temporários criados por programas irão provavelmente para esse diretório. Normalmente 40-100 MB são suficientes. Algumas aplicações - incluindo manipuladores de arquivos, utilitários de criação de CD/DVD, e software multimédia - podem utilizar /tmp para guardar arquivos de imagens. Se você planeja utilizar essas aplicações, você deve ajustar de acordo o espaço disponível em /tmp.
- /home: todos os usuários irão colocar os seus dados pessoais num subdiretório desse diretório. Seu tamanho depende de quantos usuários irão utilizar o sistema e que arquivos irão ser guardados nos seus diretórios. Dependendo da utilização planejada deverá reservar cerca de 100MB para cada utilizador, mas adapte esse valor às suas necessidades. Reserve muito mais espaço se planeja guardar muitos arquivos multimédia (fotografias, MP3, filmes) no seu diretório home.
Recomendações para o sistema de arquivos escolhido
É sempre recomendável utilizar o sistema de arquivos padrão da distribuição, no nosso caso a ext3.
Modelo de particionamento de uso geral
Lembre-se: cada caso é um caso e esse modelo pode não ser o seu caso.
Considerando um HD de 60 GB.
Diretório Ponto de montagem Tamanho Extras
swap swap 1 GB
Raíz / 1 GB Inicializável
tmp /tmp 1 GB
home /home 7 GB Muito relativo ao tipo de servidor
var /var 20 GB
www /var/www 20 GB Servidor Web simples
log /var/log 10 GB
Configurar o sistema
Após o particionamento você terá que responder mais algumas questões que são:
Configurar o Fuso Horário
Como aqui no Brasil temos quatro fusos horários será apresentada a tela para escolha do fuso horário. Escolha a que corresponda à sua localização.
Configurar usuários e senhas
Defina a senha para o root. Lembre-se de escolher uma boa senha.
Após definir a senha de root você terá de definir o nome completo, nome de usuário e senha para um usuário normal do sistema. Esse usuário precisa ser criado para que, no caso de um computador servidor, ele possa ser utilizado para acessar e administrar o sistema, já que regras de segurança dizem para não acessar o sistema como root.
Configurar o gerenciador de pacotes
Não configure o gerenciador de pacotes. Isso fará com que o sistema básico seja instalado apenas com os pacotes disponíveis no CD/DVD ROM. A instalação de pacotes necessários (que não estejam no CD/DVD do Netinst) será feita posteriormente.
Instalar o GRUB em um disco rígido
Você será questionado se o sistema deve instalar o GRUB. Responda Sim.
Pronto! O sistema será inicializado e após o boot, se tudo correu bem, você terá a Debian GNU/Linux instalada no seu computador servidor.
Depois da instalação
Lembre-se que essa instalação é apenas o básico. É necessário realizar várias coisas para fortalecer ainda mais o sistema. Vou tratar disso em um outro artigo. Mas há algumas coisas que você pode fazer para ganhar alguns pontos a favor da segurança.
Inscreva-se na lista de discussão "Anúncios de Segurança Debian"
Para receber informações sobre atualizações e alertas de segurança (DSAs) disponíveis você deverá se inscrever na lista de discussão ''debian-security-announce''. Veja O time Debian Security, Seção 7.1 para mais informações sobre como o time de segurança do Debian funciona. Para mais informações sobre como se inscrever nas listas de discussões do Debian, leia http://lists.debian.org.
Você deverá considerar, também, se inscrever na lista de discussão debian-security para discussões gerais de problemas de segurança no sistema operacional Debian. Na lista você poderá entrar em contato com outros administradores de sistemas experientes, assim como também desenvolvedores do Debian e autores de ferramentas de segurança que podem responder suas questões e oferecer recomendações.
Atualização de segurança
Talvez você pense que agora seja o melhor momento para conectar seu computador à Internet e realizar uma atualização de segurança, mas não é.
O objetivo desse documento é apenas mostrar a instalação básica e foi o que fizemos até aqui. Agora é hora de começar a configurar e fortalecer seu sistema, mas isso é assunto para outro documento, o ''Fortalecimento de Servidores com Debian''.
Por isso, se quer ter um servidor seguro não conecte-o na rede ainda.
Alterar a BIOS (de novo)
Agora é uma boa hora para você revisar as alterações finais na BIOS, como evitar que a mesma dê BOOT por outro dispositivo que não seja o HD onde o sistema está instalado e acrescentar uma senha para que somente com essa senha seja possível realizar alterações na BIOS.
Talvez você pense que isso seja uma medida de segurança muito simples de ser quebrada, já que bastaria abrir o gabinete e zerar a BIOS para que essa senha e outras configurações desapareçam, mas se você realizar essas configurações e acrescentar lacres que indiquem que o gabinete foi aberto, será mais fácil identificar esse problema.
Postagens
