Manual de instalação e configuração

Copyleft Alceu Rodrigues de Freitas Junior

Revisado por Tiago Cruz

O que é o FAUS?

FAUS significa “Ferramenta de Administração de Usuário no Samba”. Ele é um conjunto de scripts escritos em Perl que permitem a administração de usuários UNIX quanto do Samba via uma interface web.

Motivações

O FAUS foi inscrito devido a uma necessidade real que tive num site que gerenciava aonde existia um servidor Samba instalado.

Eu dava manutenção neste site sobre eventuais falhas ou administração básica, mas era um aborrecimento ter o trabalho de administrar usuários no site toda a vez que havia necessidade de tal tarefa. Infelizmente, os usuários não possuíam nenhum conhecimento em Linux e muito menos em Samba: eram todos usuários do sistema você-sabe-de-quem, e portanto presos a necessidade de uma interface gráfica (ok, eles não eram técnicos, mas esse era um trabalho que eu preferia não ter).

Na ânsia de resolver o problema, eu decidi fornecer alguma interface gráfica para estes usuários, mas ferramentas como SWAT, Linuxconf e Webmin ou faziam mais do que eu gostaria de permitir que esses usuários fizessem, ou não faziam o serviço completo.

A melhor alternativa que eu poderia usar seria o SWAT, mas além de ele ter necessidade do uso da senha do root (e as complicações que isso poderia gerar), os usuários poderiam acabar mexendo em parâmetros de configuração do servidor, e a pior coisa que você pode ter num servidor que administra é gente curiosa que não sabe o que está fazendo!

Além disso, o SWAT adiciona usuários apenas no arquivo smbpasswd: ele não executa nenhuma modificação no arquivo /etc/passwd, e qualquer adminstrador de Samba sabe que isso é necessário.

Então eu escrevi a primeira versão do FAUS, já que precisava de um programa com interface gráfica e que não fornecesse mais opções do que o estritamente necessário para ter o trabalho concluído.

Vantagens do FAUS

O FAUS possui oferece as seguintes vantagens para o administrador do Samba:

1. Administração de usuários simultaneamente no Samba e no Linux, via uma interface gráfica e/ou programas em linha de comando.

2. A ferramenta agrega informações tanto da base de usuários do Linux (/etc/passwd) quando do Samba (smbpasswd).

3. O uso do FAUS permite que as senhas entre os dois sistemas esteja sincronizada, desde que os mesmos sejam administrados pelo FAUS (via interface gráfica ou programas em linha de comando).

O que esse manual abrange

Esse manual cobre a versão 1.4.4 do FAUS. Versões anteriores podem ter seus próprios manuais.

Requisitos

Os requisitos básicos para o FAUS são:

1. Servidor Samba: o FAUS foi desenvolvido para ser utilizado em um servidor Samba configurado para funcionar como PDC¹. Ele deve ser instalado no mesmo servidor em que o Samba estiver instalado. O arquivo de senhas smbpasswd será utilizados extensivamente pelo FAUS. Desde a versão 1.4.3 o FAUS não utiliza mais o programa smbpasswd distribuído junto com o Samba.

O FAUS suporta somente base de dados smbpasswd. As novas bases tdbsam e ldapsam do Samba 3.x ainda não são suportadas. Portanto, para que o Samba funcione corretamente com o FAUS, certifique-se que seu servidor Samba possui a seguinte linha:

passdb backend = smbpasswd

no arquivo smb.conf do servidor Samba.

2. Servidor Apache: na realidade você pode utilizar outro servidor web para fornecer acesso ao CGI, mas eu escolhi utilizar o Apache por ser normalmente a primeira opção para servidores UNIX. Esse guia mostrará como configurar o Apache para usar juntamente com o FAUS;

3. Sudo: esse programa irá controlar o acesso aos scripts do FAUS sendo, portanto, indispensável. Um substituto válido para o Sudo pode ser o programa Super. Esse guia possui informações apenas sobre o Sudo.

4. Um servidor Linux: desde a versão 1.4.4, o FAUS funciona apenas em sistemas Linux. Isso devido a dois motivos:

• O FAUS sempre foi desenvolvido em sistemas Linux e até aonde eu tenha conhecimento ele nunca foi executado em outros sistemas derivados do UNIX.

• Versões anteriores do FAUS dependiam de comandos do sistema, como useradd, userdel e passwd. Esses comandos não são mais utilizados, principalmente por problemas de compatibilidade de sintaxe em diferentes distribuições Linux. A versão 1.4.4 do FAUS faz uso de um módulo Perl para efetuar as mesmas tarefas que esse comando. Não existe até o momento módulos semelhantes para outros sistemas, como o FreeBSD.

5. Perl: você precisa ter o Perl instalado na mesma máquina também, uma vez que todos os scripts foram escritos nessa linguagem. O FAUS foi testado em nas versões 5.6 e 5.8 do Perl: versões anteriores são desencorajadas.

Instalação

Não vou mentir para você: a instalação do FAUS pode ser complicada. Eu digo que pode porque exige do administrador do Samba conhecimento em configurar mais duas outras ferramentas que são requisitos básicos do FAUS: o Sudo e o servidor Apache. Mas isso também não é tão difícil como configurar à ponto de você desistir da instalação: apenas não é intuitivo o suficiente.

Temos a partir da versão 1.4.4 do FAUS um instalador que automatiza toda essa parte chata de instalação dos módulos, permissão e configuração do sudo. Infelizmente, esta versão foi escrita e testada para funcionar apenas no Debian e derivados. Se você usa outra distribuição e gostaria de adaptar o shell script para ela, entre em contato conosco através de nossa lista de discussão https://lists.sourceforge.net/lists/listinfo/faus-users

Para a instalação manual, descrevo aqui os pasos necessários. Lembre-se: esses são os passos básicos. não esqueça de ler a última parte do manual sobre segurança do FAUS para depois não ter dores de cabeça.

O FAUS é distribuído no tradicional formato tar+gz². O que você deve fazer inicialmente é descompactá-lo dentro de um diretório temporário qualquer. Esse será o conteúdo que você vai encontrar, depois de descompactar:

/usr/sbin/

addsmb

delsmb

changesmb

blocksmb

enablesmb

getpassfile

/etc/faus/

faus.conf

/languages/portuguese

/languages/english

sudoers.example

/var/www/cgi-bin/samba.cgi

FAUS-Helper-versão.tar.gz

Primeiro os arquivos do diretório usr/sbin: você deve movê-los para o diretório /usr/sbin. Como esses scripts irão alterar tanto o arquivo smbpasswd quanto o /etc/passwd e /etc/shadow, mantê-los longe dos outros usuários parece ser uma boa idéia. Cheque as permissões desses arquivos de modo que apenas o usuário root tenha acesso de leitura e execução para os mesmos:

valhalla:~# ls -l /usr/sbin/*smb*

-r-x------ 1 root root 6306 Nov 14 19:49 /usr/sbin/addsmb

-r-x------ 1 root root 3808 Nov 14 14:43 /usr/sbin/blocksmb

-r-x------ 1 root root 4610 Nov 14 14:43 /usr/sbin/changesmb

-r-x------ 1 root root 5029 Nov 14 14:43 /usr/sbin/delsmb

-r-x------ 1 root root 3647 Nov 14 14:43 /usr/sbin/enablesmb

-r-x------ 1 root root 5002 Nov 14 18:15 /usr/sbin/machsmb

valhalla:~# ls -l /usr/sbin/getpassfile

-r-x------ 1 root root 2552 Nov 14 21:33 /usr/sbin/getpassfile

• addsmb: adiciona usuários nos arquivos smbpasswd, /etc/shadow e /etc/passwd

• delsmb: remove usuários dos arquivos smbpasswd, /etc/shadow e /etc/passwd

• changesmb: altera senha dos usuários no arquivo smbpasswd

• blocksmb: bloqueia usuários no arquivo smbpasswd

• enablesmb: habilita usuários no arquivo smbpasswd

• getpassfile: fornece uma lista de usuários existentes no arquivo smbpasswd. Essa lista incluí o nome do usuário (se disponível) e as suas flags de status

Todos os scripts possuem uma ajuda online quando são digitados sem parâmetros, com parâmetros errados ou quando executados com a opção “–help”.

Existe um cuidado extra quanto ao script getpassfile: esse programa irá ler o arquivo smbpasswd e gerar uma lista para o CGI samba.cgi. Para ler esse arquivo, logicamente esse script deverá ter configurado a localização exata do arquivo de senhas do Samba. Versões antigas do FAUS obrigavam o administrador a editar o script se quisesse mudar a localização do arquivo smbpasswd: essa configuração é feita durante a instalação do módulo Perl FAUS::Helper (que será exibido mais adiante no capítulo “Os detalhes do FAUS::Helper”).

Configurando o Apache

Pois bem, agora mova o script samba.cgi para a localização do repositórios CGI do seu servidor Apache. Se você não conhece essa localização, edite o arquivo http.conf do servidor Apache e procure pela seguinte linha:

ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"

Esse é um exemplo: a localização pode diferir completamente. No exemplo, eu deveria mover o samba.cgi para o diretório /var/www/cgi-bin³. Garanta também que o usuário do servidor Apache tenha o acesso correto ao CGI. Vamos supor, por exemplo, que esse usuário é apache⁴. Não muito original, mas enfim... execute os seguintes comandos:

chown apache.apache samba.cgi

chmod 500 samba.cgi

Isso irá garantir que o usuário apache é o proprietário do samba.cgi e que apenas ele tem acesso de leitura e execução ao mesmo.

Configurando o Perl

Execute um teste que vai evitar muitas dores de cabeça para você:

perl -cwT samba.cgi

Se nenhuma mensagem de erro for exibida, isso significa que não há problemas com a sua instalação de Perl, e que o script está correto (quanto à sua sintaxe).

Você terá que instalar os seguintes módulos Perl:

• Crypt::SmbHash

• Digest::MD4

• Passwd::Linux

• FAUS::Helper

• AppConfig

uma vez que eles fazem parte dos requerimentos mínimos para o FAUS funcionar. O Digest::MD4 não é requerido, mas é altamente recomendado uma vez que melhora em muito a performance do Crypt::SmbHash.

Isso pode ser feito de diversas maneiras e apesar de eu explicar apenas a instalação do módulo Crypt::SmbHash, os procedimentos são exatamente iguais para o outros módulos⁵.

• Através de instalação de pacotes

Esses módulos podem estar disponíveis para os diversos tipos de UNIX. Eu não acho que exista um pacote para o Crypt::SmbHash mas com certeza existe um para o Digest::MD4 com um nome parecido com "perl-digest-md4". Bem, os procedimentos variam, então eu não vou listar todos eles aqui. Por favor verifique a documentação do seu Linux sobre como instalar pacotes.

Nota: Para os outros dois métodos, você precisará dos programas make e provavelmente do gcc (ou outro compilador C).

• Através do módulo CPAN

Esse é o método mais simples para instalar qualquer módulo Perl. O CPAN é um repositório com centenas de módulos Perl e o módulo CPAN.pm é distribuído por padrão para todas as distribuições mais novas do Perl. Utilizar ele facilita muito para instalar novos módulos.

Para instalar o Crypt::SmbHash apenas execute o comando abaixo (no shell do UNIX):

perl -MCPAN -e shell

Se esta for a primeira vez que você utiliza esse módulo, ele irá lhe fazer algumas perguntas (sobre conexão à Internet por exemplo). Depois dessa configuração rápida, o módulo CPAN lhe mostrará um novo shell. Apenas digite:

install Crypt::SmbHash

A instalação é bem simples. Preste atenção as mensagens e sempre responda yes (sim) para resolver dependências (se houver alguma).

Para instalar o Digest::MD4 apenas repita os mesmos passos dados acima, mudando o comando inicial para:

install Digest::MD4

• Diretamente através do site do CPAN

Você pode fazer o download dos módulos do site http://search.cpan.org. Geralmente o arquivo estará compactado com os programas tar e gzip portanto você deve seguir a sequência de comandos abaixo uma vez que o download estiver concluído (num shell do Linux):

mv Crypt-SmbHash-0.12.tar.gz /usr/local

tar xzvf Crypt-SmbHash-0.12.tar.gz

cd Crypt-SmbHash-0.12

perl Makefile.PL

make

make test

make install

Esse método é um pouco complicado uma vez que você precisa resolver todas as dependências dos módulos manualmente. Preste atenção as mensagens dadas durante a instalação.

Os detalhes do FAUS::Helper

FAUS::Helper é um módulo Perl que agrega dados e funções comuns a todos os programas de linha de comando do FAUS. Entre as informações está a localização do arquivo de senhas do Samba smbpasswd, UID mínimo que o FAUS considera como válido para manipular, etc.

O FAUS::Helper não está disponível no CPAN: ele é distribuído junto com o arquivo tar+gz do FAUS. Depois de descompactar o tar+gz do FAUS, procure o arquivo FAUS-Helper-versão.tar.gz, aonde versão é a versão atual do módulo. Copie esse arquivo para um diretório como /usr/local, e use a sequência de comando abaixo:

tar xzvf FAUS-Helper-0.01.tar.gz

cd FAUS-Helper-0.01

perl Makefile.PL

Lhe será feita algumas perguntas então.Você deve responder cada pergunta com calma, de modo a não passar valores errados. Você pode interromper esse script e iniciar novamente esse passo simplesmente executando “perl Makefile.PL”.

valhalla:/usr/local/FAUS-Helper-0.01# perl Makefile.PL

Welcome to FAUS Helper install script. This script will ask you

about some values that will be used as constants by all command

line scripts that FAUS uses.

Please be careful when supplying values. You can change these

values later by just running 'perk Makefile.PL' command again.

If you do not give a value, this script will assume the default

value that is shown as [value].

Location of smbpasswd file

--------------------------

Please give the complete pathname to smbpasswd [/etc/smbpasswd]: /etc/smbpasswd

Minimum UID allowed

-------------------

For security reasons, FAUS will not deal with users that have an UID less than a defined value. Please type the desired value for MINIMUM_UID [500]: 1000

Home directory default permission

---------------------------------

Please type the default permission mask that will be used for all /home diretories created by FAUS [0750]:

Ignore UID

---------------------------------

Please type the uid that the maxuid() must ignore when returning a uid for new users that will be added in the system [65534]:

Checking if your kit is complete...

Looks good

Writing Makefile for FAUS::Helper

valhalla:/usr/local/FAUS-Helper-0.01#

Uma vez que você tenha certeza de ter passado os valores corretos, prossiga com os comandos:

make

make test

make install

prestando atenção nas mensagens exibidas por cada um.

Sempre que for necessário você pode checar os valores definidos para o FAUS::Helper simplesmente digitando o comando abaixo no shell:

perl -M'FAUS::Helper qw(show_config)' -e 'show_config();'

Configurando o Sudo

Você deve ter notado também a existência do arquivo sudoers.example: esse arquivo foi colocado como exemplo de configuração do Sudo. Como já dito anteriormente, o Sudo irá garantir o acesso aos scripts Perl pelo usuário do servidor do Apache.Vamos dar uma olhada nos parâmetros que devem ser configurados:

# This file MUST be edited with the 'visudo' command as root.

#

# See the sudoers man page for the details on how to write a sudoers #file.

#

Defaults:apache !authenticate

# Host alias specification

Host_Alias LOCAL = 192.168.0.1

# Command alias specification

Cmnd_Alias FAUS = /usr/sbin/addsmb,/usr/sbin/delsmb,/usr/sbin/blocksmb, /usr/sbin/enablesmb,/usr/sbin/changesmb,/usr/sbin/machsmb

Cmnd_Alias GETPASSFILE = /usr/sbin/getpassfile.pl

# User privilege specification

root ALL=(ALL) ALL

apache LOCAL=FAUS, GETPASSFILE

Esses podem funcionar na maioria dos casos, desde que a localização dos comandos não seja diferente, tampouco o usuário do servidor Apache ou o nome da máquina. Você deve consultar a página do manual do Sudo para maiores informações sobre esses parâmetros e o capítulo “Quanto à segurança” para se certificar que o Sudo esteja bem configurado (em termos de restrições).

Finalizando

Agora mova o diretório faus para o diretório /etc. Veja bem: eu disse o diretório faus e não etc/faus para o /etc/. Toda a configuração do FAUS será procurada em /etc/faus, então certifique-se de deixar esse diretório ali, e dar permissões de leitura para o usuários do servidor Apache, para que essa configuração possa ser lida. Dentro do diretório /etc/faus também fica localizado o diretório languages: esse diretório irá conter todas as mensagens do FAUS, tanto para o CGI quanto para as mensagens de log.

chown -R apache.apache /etc/faus

chmod -R 500 /etc/faus

Você agora deve perder algum tempo configurando o arquivo faus.conf: esse arquivo possui opções que devem ser configuradas. Todas as opções estão devidamente comentadas, então você deve ter o cuidado de ler esses comentários para saber exatamente do que se trata o parâmetro.

Hora do teste: como usuário root, ative o servidor Apache. Depois, com outro usuário qualquer, abra um navegador de sua preferência (como o Mozilla) e solicite a página http://servidor/cgi-bin/samba.cgi, onde “servidor” é o endereço IP da máquina aonde o servidor Apache está instalado. A página introdutória do FAUS deve ser exibida para você e na língua que você configurou.

Ilustração 2: Tela principal do FAUS, acessada de uma máquina MS Windows 2000

Uso do FAUS

O FAUS pode realizar as seguintes tarefas:

1. Adicionar: preenchendo os campos de login e senha, você irá criar um usuário tanto no /etc/passwd quanto no arquivo smbpasswd. O usuário adicionado não possuirá shell, terá um diretório home criado com seu nome e forçadamente possuirá um UID maior do que 500. Esse usuário também estará desabilitado por padrão no smbpasswd, sendo necessário habilitá-lo para que possa fazer login no Samba. O FAUS não administra usuários de sistema, e nem deve fazê-lo, por segurança do sistema.

2. Habilitar: um usuário recém adicionado estará bloqueado. Isso significa que esse usuário não poderá efetuar login no Samba, e (teoricamente) não terá acesso aos recursos da rede. Com essa função você pode habilitá-lo a qualquer momento. Não é necessário preencher os campos de senha para tanto (se você preencher, ambos campos de senha serão ignorados de qualquer forma).

3. Desabilitar: por uma razão ou outra, pode ser necessário desabilitar um login por algum tempo. Isso é especialmente útil quando um funcionário sai de férias, de modo a evitar o acesso indevido por alguém que conheça sua senha.Não é necessário preencher os campos de senha para tanto (se você preencher, ambos campos de senha serão ignorados de qualquer forma).

4. Alterar senha: essa parece ser a atividade mestre do administrador de rede por causa de usuários esquecidos. Assim como o usuário root, você não precisa saber da senha anterior para executar isso. Castigue o usuário esquecido com dez chibatadas, e se ele anotar a nova senha num papel, com vinte.

5. Remover: essa é uma operação um pouco drástica. Você vai eliminar o usuário de ambos os sistemas, assim como o diretório home dele. Isso pode mandar os dados do usuário para o paraíso dos bits, então tome cuidado. Até a versão 1.2, o FAUS não solicita confirmação para essa operação, nem oferece opção de remover um usuário sem remover o diretório home do mesmo.

6. Adicionar conta de máquina: ou trust account, se você preferir. O FAUS também permite fazer essa tarefa. Uma conta será criada no /etc/passwd assim como no smbpasswd. Se você não sabe para que servem essas coisas, largue isso aqui tudo e vá ler documentação sobre como configurar o Samba como PDC. Não é necessário preencher os campos de senha.

7. Seleção de grupo: isso não é bem uma tarefa, mas você terá que usar o menu popup Grupo para selecionar à qual grupo o usuário a ser adicionado irá pertencer. Isso também é válido para contas de máquina. O FAUS irá obter a lista de grupos válidos do arquivo /etc/faus/faus.conf. Tome o cuidado de inserir no faus.conf apenas os grupos cujos os quais os usuários do Samba deverão preencher. Essas contas de grupo devem também existir no arquivo /etc/group.

Cuidados quanto ao acesso concorrente

O FAUS lida corretamente com acessos concorrentes aos arquivos /etc/passwd, /etc/shadow e smbpasswd quanto à escrita. Isso significa que sua base de usuários não será danificada se duas ou mais pessoas tentarem utilizar o FAUS ao mesmo tempo, o que é o mínimo esperado.

O problema é se um dos administradores tenta usar o FAUS enquanto um outro tenta atualizar uma senha usando o comando smbpasswd do Samba por exemplo: isso poderá causar corrupções no arquivo.

Isso acontece porque o bloqueio de arquivos do FAUS (de acordo com o recursos da linguagem Perl) é apenas consultivo: isso quer dizer que um arquivo sendo lido para o FAUS poderá ser escrito por um outro programa mal-educado que não checa primeiro se alguém não está editando o arquivo.

Portanto, se você pretende usar o FAUS num ambiente de produção aonde existem outros administradores além de você, é uma boa idéia desativar (se possível) programas como useradd, userdel e smbpasswd. Se isso não for possível, ao menos seu uso desse ser feito com bastante cautela e os procedimentos devidamente documentados. Pode ser interessante desativar o Apache durante o período em que esses programas estiverem sendo usados.

De qualquer forma, procure usar os programas de linha de comando do FAUS aos seus equivalentes: não há como o FAUS garantir que programas de terceiros respeitarão o bloqueio consultivo.

Quanto à segurança

O FAUS é desenvolvido com uma preocução em relação a segurança das operações que executa, devido a criticidade das mesmas. De nada adianta fornecer uma ferramenta para facilitar a administração de um serviço se essa mesma ferramenta o compromete.

O FAUS utiliza alguns recursos oferecidos pelo próprio Perl (como o modo Taint) e de implementação de CGI. Toda entrada de dados é filtrada, inclusive as dos scripts.

Aliás, a função dos scripts é limitar as operações que são executadas. O comando addsmb não irá, por exemplo, adicionar um usuário com um shell funcional, tampouco permitirá a seleção de uid para um usuário qualquer.

Isso facilita bastante também o trabalho do Sudo. Sudo é o programa utilizado pelo FAUS para dar permissões equivalentes ao usuário root para o usuário do servidor Apache. Isso evita ter que criar um CGI setuid e o usuário do Apache não poderá executar o comando useradd, por exemplo: apenas o script addsmb.pl, que possui uma série de restrições.

Falando em Apache e Sudo, esse serão os dois pontos principais à serem discutidos aqui: a dependência do FAUS para esses dois softwares é grande, e eles devem ser configurados com o maior cuidado possível.

O Apache

O primeiro ponto sobre o Apache: não rode nada no servidor Apache além do FAUS, se possível. Se você rodar uma aplicação em conjunto com o FAUS, você aumenta as possibilidades de comprometimento do servidor. E você não quer isso.

Você também não quer colocar o Apache com FAUS exposto à Internet: pode parecer tentador, mas o risco não vale à pena. Se você precisa executar administração remota, dê preferência a usar o SSH. Mantenha o servidor com FAUS + Apache + Samba atrás de um firewall e evite dores de cabeça.

Outro ponto é que você deve limitar o acesso ao FAUS aos administradores do sistema. Você não vai deixar um usuário sair adicionando contas e removendo diretórios aos quais não devem. Para isso você vai precisar implementar autenticação.

Existem muitos módulos de autenticação para o Apache, e alguns são bem exóticos. Eu vou dar uma explicação básica sobre dois dos mais usados, mas convido você a fazer uma pesquisa em http://modules.apache.org e procurar pelo módulo que mais lhe agradar.

Vou apresentar aqui como proteger o diretório cgi-bin com a autenticação básica e por digest.

Autenticação Básica

A vantagem de utilizar essa autenticação é que ela é rápida e simples de configurar. A desvantagem é que o usuário e senha que você usar irão trafegar livremente pela rede. Uma barbada capturar o par se alguém estiver usando um sniffer na rede, como o dsniff, por exemplo. Você pode compensar essa falha configurando SSL no Apache, o que irá garantir a criptografia não só da senha, mas também de todo o tráfego de dados.

A autenticação básica também funciona com qualquer navegador decentemente implementado, já que é o método de autenticação via web utilizado a bastante tempo.

O módulo da autenticação básica chama-se mod_auth e é carregada pelo Apache por padrão na inicialização do mesmo. Se isso não estiver ocorrendo, basta procurar por mod_auth no arquivo http.conf e descomentar essa linha.

Edite o arquivo httpd.conf, normalmente localizado em /etc/httpd/conf/. Procure pela seguinte linha:

ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"

Achou? Calma que ainda não é essa. Você deve procurar uma definição de diretório que seja o mostrado nessa linha (no caso, /var/www/cgi-bin). O arquivo padrão do Apache é bem organizado, e normalmente essa defnição vem logo em seguida:

<Directory "/var/www/cgi-bin">

AllowOverride None

Options ExecCGI

Order allow,deny

Allow from all

</Directory>

Para implementar a autenticação básica, basta alterar o texto assim para algo assim:

<Directory "/var/www/cgi-bin">

AuthType Basic

AuthName "FAUS"

AuthUserFile /var/www/controle

require valid-user

AllowOverride None

Options ExecCGI

Order allow,deny

Allow from all

</Directory>

Estamos quase no final agora. Com esse módulo, o Apache irá procurar por um arquivo texto definido na diretriz AuthUserFile. Esse arquivo texto irá conter o nome de um usuário e sua senha criptografada. A diretriz AuthName serve apenas para você dar um nome na caixa de diálogo que será aberta para você entrar com login e senha. A diretriz require valid-user define que qualquer usuário que esteja no arquivo de senhas pode acessar esse recurso, desde que tenha sucesso na autenticação. Você pode limitar esse acesso a um ou mais usuário, mas na minha opinião, se você não quer um usuário fuçando no FAUS, simplesmente não coloque o login dele no arquivo.

Claro que você já percebeu que vai ter que administrar usuários nesse arquivo texto. A ferramenta para tanto chama-se htpasswd. Eu não vou entrar em detalhes de como usar essa ferramenta: ela roda no shell, é bem simples de ser utilizada e já é documentada em sua manpage e na própria documentação do Apache.

Autenticação por digest

A vantagem dessa autenticação é que a senha de um usuário nunca é enviada para o servidor. No lugar dessa senha, é enviado um hash, uma sequência de caracteres é gerada à partir dessa senha e alguns outros bits pelo navegador, e essa sequência é enviada o ao servidor. O servidor, por sua vez, faz o mesmo. Se as sequências forem idênticas, o usuário é autenticado.

Isso é quase que o meio do caminho entre a autenticação básica pura e seu uso conjunto com SSL. A vantagem que a autenticação via digest é mais simples de configurar do que habilitar SSL no Apache. A desvantagem é que esse método protege apenas o login do administrador durante o logon. Informações sensíveis continuam trafegando em texto sem criptografia pela rede. Outros problemas com autenticação via digest é que apenas browsers novos funcionam com ela (trate de atualizar esse navegador velho da sua máquina!), ela ainda é tida como experimental⁶ e nem sempre as distribuições Linux, por exemplo, incluem ela.

A implementação desse método é bem simples, e muito similar à autenticação básica. O módulo a ser carregado no Apache é o mod_auth_digest e as diretrizes à serem usadas são as abaixo:

<Directory "/var/www/cgi-bin">

AuthType Digest

AuthName "FAUS"

AuthDigestFile /var/www/controle

require valid-user

AllowOverride None

Options ExecCGI

Order allow,deny

Allow from all

</Directory>

Praticamente idêntica à autenticação básica, exceto por duas linhas. A ferramenta de administração de usuários também é muito parecida: htdigest. Leia a manpage dessa programa para ter maiores informações.

Apesar de ser classificada como experimental, eu já usei algumas vezes a autenticação por digest sem maiores sofrimentos, exceto ter que me livrar de alguns navegadores velhos.

De qualquer forma, o uso de SSL, apesar de não ser explicado aqui, é altamente recomendável. Ainda existem outras formas de reforçar a segurança do servidor Apache, mas eu não vou listá-las todas aqui, até porque não haveria sentido. Fica a seu critério definir suas necessidades.

Sudo

A configuração correta do Sudo também é muito importante. A idéia é limitar o máximo possível o usuário do Apache ao que ele pode fazer e em que circunstâncias. Uma boa lida na manpage do sudoers vai exclarer muitas coisas para você, no entanto aqui eu irei discutir diretamente sobre o arquivo sudoers.example, que é distribuído junto com o FAUS.

Você pode editar o arquivo de configuração do Sudo com o comando visudo.

Defaults:www !authenticate

Essa linha acima descreve que o usuário www não precisa se autenticar para executar qualquer comando com o Sudo. Isso é necessário para utilizar o FAUS, uma vez que não há muito sentido em colocar uma senha no CGI. Se o servidor for comprometido, a qualquer momento o invasor pode obter essa senha e executar comandos com o Sudo.

# Host alias specification

Host_Alias LOCAL = 192.168.0.1

Aqui definimos um apelido para o host aonde será permitido o usuário www executar comandos com o Sudo. Se ele tentar de qualquer outro host, não funcionará. Você pode utilizar qualquer nome como apelido, mas o endereço IP deve ser o local ou do próprio servidor do Samba.

# Command alias specification

Cmnd_Alias FAUS = /usr/sbin/addsmb, /usr/sbin/delsmb, /usr/sbin/blocksmb, /usr/sbin/enablesmb, /usr/sbin/changesmb, /usr/sbin/machsmb

Cmnd_Alias GETPASSFILE = /usr/sbin/getpassfile

Criar apelidos para todos os comandos que podem ser executados também ajuda a manter o sudoers melhor organizado.

# User privilege specification

www LOCAL=FAUS, GETPASSFILE

Acima definimos os privilégios do usuário www: ele poderá executar, da máquina LOCAL, os comandos FAUS e GETPASSFILE.

Indo além com a segurança

Esses seriam os cuidados mais básicos que você tem que ter ao utilizar o FAUS. Esconder que você utiliza o FAUS não o manterá a salvo por muito tempo, então não deixe de tomar esses cuidados.

Outra atividade, também importante, é manter os softwares sempre atualizados em suas últimas versões. Além de isso evitar que você tenha problema com bugs, você se protege de brechas no sistema. Isso também vale para o FAUS!

Dúvidas, erros ou alterações

Caso você encontre algum erro, tenha alguma dica ou comentário à fazer, por favor me envie um email para glasswalk3r@yahoo.com.br e procure explicar com detalhes o que você encontrou de interessante.

Bibliografia

http://www.perl.org/: site oficial do Perl

http://httpd.apache.org/: site oficial do servidor web Apache

http://www.courtesan.com/sudo/: site oficial do Sudo

Licença de uso deste manual

GNU Free Documentation License
                  Version 1.2, November 2002


 Copyright (C) 2000,2001,2002  Free Software Foundation, Inc.
     51 Franklin St, Fifth Floor, Boston, MA  02110-1301  USA
 Everyone is permitted to copy and distribute verbatim copies
 of this license document, but changing it is not allowed.


0. PREAMBLE

The purpose of this License is to make a manual, textbook, or other
functional and useful document "free" in the sense of freedom: to
assure everyone the effective freedom to copy and redistribute it,
with or without modifying it, either commercially or noncommercially.
Secondarily, this License preserves for the author and publisher a way
to get credit for their work, while not being considered responsible
for modifications made by others.

This License is a kind of "copyleft", which means that derivative
works of the document must themselves be free in the same sense.  It
complements the GNU General Public License, which is a copyleft
license designed for free software.

We have designed this License in order to use it for manuals for free
software, because free software needs free documentation: a free
program should come with manuals providing the same freedoms that the
software does.  But this License is not limited to software manuals;
it can be used for any textual work, regardless of subject matter or
whether it is published as a printed book.  We recommend this License
principally for works whose purpose is instruction or reference.


1. APPLICABILITY AND DEFINITIONS

This License applies to any manual or other work, in any medium, that
contains a notice placed by the copyright holder saying it can be
distributed under the terms of this License.  Such a notice grants a
world-wide, royalty-free license, unlimited in duration, to use that
work under the conditions stated herein.  The "Document", below,
refers to any such manual or work.  Any member of the public is a
licensee, and is addressed as "you".  You accept the license if you
copy, modify or distribute the work in a way requiring permission
under copyright law.

A "Modified Version" of the Document means any work containing the
Document or a portion of it, either copied verbatim, or with
modifications and/or translated into another language.

A "Secondary Section" is a named appendix or a front-matter section of
the Document that deals exclusively with the relationship of the
publishers or authors of the Document to the Document's overall subject
(or to related matters) and contains nothing that could fall directly
within that overall subject.  (Thus, if the Document is in part a
textbook of mathematics, a Secondary Section may not explain any
mathematics.)  The relationship could be a matter of historical
connection with the subject or with related matters, or of legal,
commercial, philosophical, ethical or political position regarding
them.

The "Invariant Sections" are certain Secondary Sections whose titles
are designated, as being those of Invariant Sections, in the notice
that says that the Document is released under this License.  If a
section does not fit the above definition of Secondary then it is not
allowed to be designated as Invariant.  The Document may contain zero
Invariant Sections.  If the Document does not identify any Invariant
Sections then there are none.

The "Cover Texts" are certain short passages of text that are listed,
as Front-Cover Texts or Back-Cover Texts, in the notice that says that
the Document is released under this License.  A Front-Cover Text may
be at most 5 words, and a Back-Cover Text may be at most 25 words.

A "Transparent" copy of the Document means a machine-readable copy,
represented in a format whose specification is available to the
general public, that is suitable for revising the document
straightforwardly with generic text editors or (for images composed of
pixels) generic paint programs or (for drawings) some widely available
drawing editor, and that is suitable for input to text formatters or
for automatic translation to a variety of formats suitable for input
to text formatters.  A copy made in an otherwise Transparent file
format whose markup, or absence of markup, has been arranged to thwart
or discourage subsequent modification by readers is not Transparent.
An image format is not Transparent if used for any substantial amount
of text.  A copy that is not "Transparent" is called "Opaque".

Examples of suitable formats for Transparent copies include plain
ASCII without markup, Texinfo input format, LaTeX input format, SGML
or XML using a publicly available DTD, and standard-conforming simple
HTML, PostScript or PDF designed for human modification.  Examples of
transparent image formats include PNG, XCF and JPG.  Opaque formats
include proprietary formats that can be read and edited only by
proprietary word processors, SGML or XML for which the DTD and/or
processing tools are not generally available, and the
machine-generated HTML, PostScript or PDF produced by some word
processors for output purposes only.

The "Title Page" means, for a printed book, the title page itself,
plus such following pages as are needed to hold, legibly, the material
this License requires to appear in the title page.  For works in
formats which do not have any title page as such, "Title Page" means
the text near the most prominent appearance of the work's title,
preceding the beginning of the body of the text.

A section "Entitled XYZ" means a named subunit of the Document whose
title either is precisely XYZ or contains XYZ in parentheses following
text that translates XYZ in another language.  (Here XYZ stands for a
specific section name mentioned below, such as "Acknowledgements",
"Dedications", "Endorsements", or "History".)  To "Preserve the Title"
of such a section when you modify the Document means that it remains a
section "Entitled XYZ" according to this definition.

The Document may include Warranty Disclaimers next to the notice which
states that this License applies to the Document.  These Warranty
Disclaimers are considered to be included by reference in this
License, but only as regards disclaiming warranties: any other
implication that these Warranty Disclaimers may have is void and has
no effect on the meaning of this License.


2. VERBATIM COPYING

You may copy and distribute the Document in any medium, either
commercially or noncommercially, provided that this License, the
copyright notices, and the license notice saying this License applies
to the Document are reproduced in all copies, and that you add no other
conditions whatsoever to those of this License.  You may not use
technical measures to obstruct or control the reading or further
copying of the copies you make or distribute.  However, you may accept
compensation in exchange for copies.  If you distribute a large enough
number of copies you must also follow the conditions in section 3.

You may also lend copies, under the same conditions stated above, and
you may publicly display copies.


3. COPYING IN QUANTITY

If you publish printed copies (or copies in media that commonly have
printed covers) of the Document, numbering more than 100, and the
Document's license notice requires Cover Texts, you must enclose the
copies in covers that carry, clearly and legibly, all these Cover
Texts: Front-Cover Texts on the front cover, and Back-Cover Texts on
the back cover.  Both covers must also clearly and legibly identify
you as the publisher of these copies.  The front cover must present
the full title with all words of the title equally prominent and
visible.  You may add other material on the covers in addition.
Copying with changes limited to the covers, as long as they preserve
the title of the Document and satisfy these conditions, can be treated
as verbatim copying in other respects.

If the required texts for either cover are too voluminous to fit
legibly, you should put the first ones listed (as many as fit
reasonably) on the actual cover, and continue the rest onto adjacent
pages.

If you publish or distribute Opaque copies of the Document numbering
more than 100, you must either include a machine-readable Transparent
copy along with each Opaque copy, or state in or with each Opaque copy
a computer-network location from which the general network-using
public has access to download using public-standard network protocols
a complete Transparent copy of the Document, free of added material.
If you use the latter option, you must take reasonably prudent steps,
when you begin distribution of Opaque copies in quantity, to ensure
that this Transparent copy will remain thus accessible at the stated
location until at least one year after the last time you distribute an
Opaque copy (directly or through your agents or retailers) of that
edition to the public.

It is requested, but not required, that you contact the authors of the
Document well before redistributing any large number of copies, to give
them a chance to provide you with an updated version of the Document.


4. MODIFICATIONS

You may copy and distribute a Modified Version of the Document under
the conditions of sections 2 and 3 above, provided that you release
the Modified Version under precisely this License, with the Modified
Version filling the role of the Document, thus licensing distribution
and modification of the Modified Version to whoever possesses a copy
of it.  In addition, you must do these things in the Modified Version:

A. Use in the Title Page (and on the covers, if any) a title distinct
   from that of the Document, and from those of previous versions
   (which should, if there were any, be listed in the History section
   of the Document).  You may use the same title as a previous version
   if the original publisher of that version gives permission.
B. List on the Title Page, as authors, one or more persons or entities
   responsible for authorship of the modifications in the Modified
   Version, together with at least five of the principal authors of the
   Document (all of its principal authors, if it has fewer than five),
   unless they release you from this requirement.
C. State on the Title page the name of the publisher of the
   Modified Version, as the publisher.
D. Preserve all the copyright notices of the Document.
E. Add an appropriate copyright notice for your modifications
   adjacent to the other copyright notices.
F. Include, immediately after the copyright notices, a license notice
   giving the public permission to use the Modified Version under the
   terms of this License, in the form shown in the Addendum below.
G. Preserve in that license notice the full lists of Invariant Sections
   and required Cover Texts given in the Document's license notice.
H. Include an unaltered copy of this License.
I. Preserve the section Entitled "History", Preserve its Title, and add
   to it an item stating at least the title, year, new authors, and
   publisher of the Modified Version as given on the Title Page.  If
   there is no section Entitled "History" in the Document, create one
   stating the title, year, authors, and publisher of the Document as
   given on its Title Page, then add an item describing the Modified
   Version as stated in the previous sentence.
J. Preserve the network location, if any, given in the Document for
   public access to a Transparent copy of the Document, and likewise
   the network locations given in the Document for previous versions
   it was based on.  These may be placed in the "History" section.
   You may omit a network location for a work that was published at
   least four years before the Document itself, or if the original
   publisher of the version it refers to gives permission.
K. For any section Entitled "Acknowledgements" or "Dedications",
   Preserve the Title of the section, and preserve in the section all
   the substance and tone of each of the contributor acknowledgements
   and/or dedications given therein.
L. Preserve all the Invariant Sections of the Document,
   unaltered in their text and in their titles.  Section numbers
   or the equivalent are not considered part of the section titles.
M. Delete any section Entitled "Endorsements".  Such a section
   may not be included in the Modified Version.
N. Do not retitle any existing section to be Entitled "Endorsements"
   or to conflict in title with any Invariant Section.
O. Preserve any Warranty Disclaimers.

If the Modified Version includes new front-matter sections or
appendices that qualify as Secondary Sections and contain no material
copied from the Document, you may at your option designate some or all
of these sections as invariant.  To do this, add their titles to the
list of Invariant Sections in the Modified Version's license notice.
These titles must be distinct from any other section titles.

You may add a section Entitled "Endorsements", provided it contains
nothing but endorsements of your Modified Version by various
parties--for example, statements of peer review or that the text has
been approved by an organization as the authoritative definition of a
standard.

You may add a passage of up to five words as a Front-Cover Text, and a
passage of up to 25 words as a Back-Cover Text, to the end of the list
of Cover Texts in the Modified Version.  Only one passage of
Front-Cover Text and one of Back-Cover Text may be added by (or
through arrangements made by) any one entity.  If the Document already
includes a cover text for the same cover, previously added by you or
by arrangement made by the same entity you are acting on behalf of,
you may not add another; but you may replace the old one, on explicit
permission from the previous publisher that added the old one.

The author(s) and publisher(s) of the Document do not by this License
give permission to use their names for publicity for or to assert or
imply endorsement of any Modified Version.


5. COMBINING DOCUMENTS

You may combine the Document with other documents released under this
License, under the terms defined in section 4 above for modified
versions, provided that you include in the combination all of the
Invariant Sections of all of the original documents, unmodified, and
list them all as Invariant Sections of your combined work in its
license notice, and that you preserve all their Warranty Disclaimers.

The combined work need only contain one copy of this License, and
multiple identical Invariant Sections may be replaced with a single
copy.  If there are multiple Invariant Sections with the same name but
different contents, make the title of each such section unique by
adding at the end of it, in parentheses, the name of the original
author or publisher of that section if known, or else a unique number.
Make the same adjustment to the section titles in the list of
Invariant Sections in the license notice of the combined work.

In the combination, you must combine any sections Entitled "History"
in the various original documents, forming one section Entitled
"History"; likewise combine any sections Entitled "Acknowledgements",
and any sections Entitled "Dedications".  You must delete all sections
Entitled "Endorsements".


6. COLLECTIONS OF DOCUMENTS

You may make a collection consisting of the Document and other documents
released under this License, and replace the individual copies of this
License in the various documents with a single copy that is included in
the collection, provided that you follow the rules of this License for
verbatim copying of each of the documents in all other respects.

You may extract a single document from such a collection, and distribute
it individually under this License, provided you insert a copy of this
License into the extracted document, and follow this License in all
other respects regarding verbatim copying of that document.


7. AGGREGATION WITH INDEPENDENT WORKS

A compilation of the Document or its derivatives with other separate
and independent documents or works, in or on a volume of a storage or
distribution medium, is called an "aggregate" if the copyright
resulting from the compilation is not used to limit the legal rights
of the compilation's users beyond what the individual works permit.
When the Document is included in an aggregate, this License does not
apply to the other works in the aggregate which are not themselves
derivative works of the Document.

If the Cover Text requirement of section 3 is applicable to these
copies of the Document, then if the Document is less than one half of
the entire aggregate, the Document's Cover Texts may be placed on
covers that bracket the Document within the aggregate, or the
electronic equivalent of covers if the Document is in electronic form.
Otherwise they must appear on printed covers that bracket the whole
aggregate.


8. TRANSLATION

Translation is considered a kind of modification, so you may
distribute translations of the Document under the terms of section 4.
Replacing Invariant Sections with translations requires special
permission from their copyright holders, but you may include
translations of some or all Invariant Sections in addition to the
original versions of these Invariant Sections.  You may include a
translation of this License, and all the license notices in the
Document, and any Warranty Disclaimers, provided that you also include
the original English version of this License and the original versions
of those notices and disclaimers.  In case of a disagreement between
the translation and the original version of this License or a notice
or disclaimer, the original version will prevail.

If a section in the Document is Entitled "Acknowledgements",
"Dedications", or "History", the requirement (section 4) to Preserve
its Title (section 1) will typically require changing the actual
title.


9. TERMINATION

You may not copy, modify, sublicense, or distribute the Document except
as expressly provided for under this License.  Any other attempt to
copy, modify, sublicense or distribute the Document is void, and will
automatically terminate your rights under this License.  However,
parties who have received copies, or rights, from you under this
License will not have their licenses terminated so long as such
parties remain in full compliance.


10. FUTURE REVISIONS OF THIS LICENSE

The Free Software Foundation may publish new, revised versions
of the GNU Free Documentation License from time to time.  Such new
versions will be similar in spirit to the present version, but may
differ in detail to address new problems or concerns.  See
http://www.gnu.org/copyleft/.

Each version of the License is given a distinguishing version number.
If the Document specifies that a particular numbered version of this
License "or any later version" applies to it, you have the option of
following the terms and conditions either of that specified version or
of any later version that has been published (not as a draft) by the
Free Software Foundation.  If the Document does not specify a version
number of this License, you may choose any version ever published (not
as a draft) by the Free Software Foundation.


ADDENDUM: How to use this License for your documents

To use this License in a document you have written, include a copy of
the License in the document and put the following copyright and
license notices just after the title page:

    Copyright (c)  YEAR  YOUR NAME.
    Permission is granted to copy, distribute and/or modify this document
    under the terms of the GNU Free Documentation License, Version 1.2
    or any later version published by the Free Software Foundation;
    with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.
    A copy of the license is included in the section entitled "GNU
    Free Documentation License".

If you have Invariant Sections, Front-Cover Texts and Back-Cover Texts,
replace the "with...Texts." line with this:

    with the Invariant Sections being LIST THEIR TITLES, with the
    Front-Cover Texts being LIST, and with the Back-Cover Texts being LIST.

If you have Invariant Sections without Cover Texts, or some other
combination of the three, merge those two alternatives to suit the
situation.

If your document contains nontrivial examples of program code, we
recommend releasing these examples in parallel under your choice of
free software license, such as the GNU General Public License,
to permit their use in free software.