https://wiki.ispup.com.br/w/api.php?action=feedcontributions&feedformat=atom&user=GondimISPUP! - Contribuições do usuário [pt-br]2026-04-21T10:03:22ZContribuições do usuárioMediaWiki 1.45.3https://wiki.ispup.com.br/w/index.php?title=Debian_Cluster_CEPH&diff=1140Debian Cluster CEPH2026-04-16T16:57:30Z<p>Gondim: </p>
<hr />
<div>== Introdução ==<br />
Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 nodes com '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um terceiro servidor às vezes ainda não está nos planos mas você tem uma máquina parada, onde você pode adicionar 2 SSDs e com 4G de ram você pode adicionar ela no '''Cluster''' para servir de quorum e de disco '''CEPH'''. Dessa maneira você consegue com 2 servidores '''Proxmox''' e uma máquina que chamei de '''Quorum Device''', colocar em produção um Cluster com HA funcional.<br />
<br />
== Diagrama ==<br />
O diagrama abaixo será o ambiente de exemplo mas não falaremos de como construir um Cluster + HA com Proxmox. Nesse caso você precisará ter os 2 servidores já instalados e configurados em '''Cluster''' com '''CEPH'''. Aqui vamos apenas mostrar como adicionar um Debian GNU/Linux nesse Cluster e no CEPH.<br />
[[Arquivo:Diagrama cluster ceph.png|nenhum|miniaturadaimagem|522x522px]]<br />
<br />
== Pré-requisitos ==<br />
<br />
* Debian GNU/Linux 13 (Trixie).<br />
* Uma máquina com 4G ou 8G de ram.<br />
* 1 SSD para instalar o sistema.<br />
* 1 SSD para servir de '''OSD''' no '''CEPH'''.<br />
*3 interfaces de rede. Uma para o acesso, outra para o '''Cluster''' e outra para o '''CEPH'''. <br />
<br />
== Configurando o Qdevice no Debian ==<br />
Uma vez instalado o Debian, precisamos configurar as 3 interfaces para a comunicação com seu Cluster Proxmox. Por exemplo:<br />
<br />
* ens18 - IP 10.254.254.27/24 GW 10.254.254.1 (essa seria a interface com acesso à Internet para instalar os programas).<br />
* ens19 - IP 192.168.1.3/24 (interface que deve se comunicar com a rede do Cluster, com os IPs dos nodes 192.168.1.1 e 192.168.1.2.<br />
* ens20 - IP 192.168.2.3/24 (interface que se comunica com a rede CEPH, com os IPs 192.168.2.1 e 192.168.2.2.<br />
<br />
Precisamos configurar o serviço SSHD para permitir conexão com root, pois o Proxmox vai precisar acessar o Debian. Para isso altere o arquivo '''/etc/ssh/sshd_config''' o parâmetro abaixo:<br />
PermitRootLogin yes<br />
Reinicie o serviço:<br />
# systemctl restart sshd<br />
No Debian vamos instalar o pacote '''corosync-qnetd''':<br />
# apt install corosync-qnetd<br />
Nos dois servidores Proxmox, no nosso exemplo PVE01 e PVE02 instalaremos o pacote '''corosync-qdevice''':<br />
# apt install corosync-qdevice<br />
Agora vá para o shell do seu '''Proxmox principal''', no meu caso o '''PVE01''' e adicione o Debian ao Cluster com o seguinte comando: <br />
# pvecm qdevice setup 192.168.1.3<br />
Com o comando '''pvecm status''' podemos ver como está o quorum e se tudo ocorreu bem, verá que agora temos 3 votos no lugar de 2 e um '''Qdevice''' no membership:<br />
[[Arquivo:Qdevice.png|nenhum|miniaturadaimagem|748x748px]]<br />
Agora em se tratando de Cluster, você tem o mínimo de votantes para o bom funcionamento e usando uma máquina simples com Debian.<br />
<br />
== Adicionando um CEPH monitor e OSD ==<br />
Agora precisamos tornar nosso '''CEPH''' saudável também e para isso vamos instalar os pacotes do CEPH do Proxmox no Debian. O CEPH precisa ser da mesma versão usada no Cluster Proxmox. Para os meus testes utilizei um '''Cluster Proxmox 9''' no '''PVE01''' e '''PVE02''' que utiliza o '''CEPH Squid 19.2'''. Então vamos adicionar o repositório:<br />
# echo "deb <nowiki>http://download.proxmox.com/debian/ceph-squid</nowiki> trixie no-subscription" > /etc/apt/sources.list.d/ceph.list<br />
# wget <nowiki>https://enterprise.proxmox.com/debian/proxmox-release-trixie.gpg</nowiki> -O /etc/apt/trusted.gpg.d/proxmox-release-trixie.gpg<br />
Instalando os pacotes do CEPH:<br />
# apt update<br />
# apt install ceph ceph-common<br />
Antes de prosseguir adicione no '''/etc/hosts''' do Debian:<br />
192.168.2.1 node1<br />
192.168.2.2 node2<br />
192.168.2.3 nodeq<br />
Estou chamando nosso '''Quorum Device''' com o hostname '''nodeq'''.<br />
<br />
Agora precisaremos executar algumas tarefas no nosso '''PVE01''':<br />
# ceph mon getmap -o /tmp/monmap<br />
<br />
# monmaptool \<br />
--add nodeq 192.168.2.3:6789 \<br />
/tmp/monmap<br />
Vamos checar se adicionamos o '''nodeq''' ao '''monmap''' com o comando: '''monmaptool --print /tmp/monmap'''<br />
[[Arquivo:Monmap.png|nenhum|miniaturadaimagem|677x677px]]<br />
Vamos gerar o '''keyring''' para usarmos no Debian:<br />
# ceph auth get mon. -o /tmp/ceph.mon.keyring<br />
Agora precisamos copiar todos os arquivos necessários do '''PVE01''' para o nosso Debian:<br />
# scp /tmp/monmap root@192.168.2.3:/etc/ceph/<br />
# scp /tmp/ceph.mon.keyring root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/ceph.conf root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/priv/ceph.client.admin.keyring root@192.168.2.3:/etc/ceph/<br />
<br />
# scp /var/lib/ceph/bootstrap-osd/ceph.keyring \<br />
root@192.168.2.3:/var/lib/ceph/bootstrap-osd/<br />
'''Atenção''' '''agora''' pois vamos no nosso Debian alterar o arquivo '''/etc/ceph/ceph.conf'''. Primeiro modifique o parâmetro abaixo para incluir o IP '''192.168.2.3''':<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
Modifique os dois parâmetros abaixo e deixe eles iguais a estes:<pre><br />
[client]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
<br />
[client.crash]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
</pre>Adicione no final deste mesmo arquivo a configuração abaixo:<pre><br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
</pre>Ainda no '''Debian''' execute os comandos abaixo para prepararmos o ambiente pro '''CEPH''':<br />
# mkdir -p /var/lib/ceph/mon/ceph-nodeq<br />
# chown ceph:ceph /var/lib/ceph/mon/ceph-nodeq<br />
# chmod 750 /var/lib/ceph/mon/ceph-nodeq<br />
Vamos criar o monitor:<br />
# ceph-mon --mkfs \<br />
-i nodeq \<br />
--monmap /etc/ceph/monmap \<br />
--keyring /etc/ceph/ceph.mon.keyring<br />
<br />
# chown -R ceph: /var/lib/ceph/mon/ceph-nodeq<br />
# chown -R ceph: /etc/ceph/<br />
# chmod 640 /etc/ceph/ceph.mon.keyring<br />
# chmod 640 /etc/ceph/monmap<br />
Este é o momento crucial para que tenhamos mais um monitor no nosso CEPH do Proxmox:<br />
# systemctl enable ceph-mon@nodeq<br />
# systemctl start ceph-mon@nodeq<br />
Precisamos checar se o serviço subiu com o comando: '''systemctl status ceph-mon@nodeq'''<br />
<br />
Se aparecer algo assim então parabéns, até aqui foi tudo OK:<br />
[[Arquivo:Nodeq ceph.png|nenhum|miniaturadaimagem|806x806px]]Volte no Proxmox PVE01 e altere o '''/etc/pve/ceph.conf''' modificando para:<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
E adicionando no final do arquivo:<br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
Agora ativamos, ainda no '''Proxmox PVE01''', o '''msgr2''':<br />
# ceph mon enable-msgr2<br />
No Debian reinicie o serviço:<br />
# systemctl restart ceph-mon@nodeq<br />
No '''Proxmox''' em '''CEPH''' verá um novo Monitor adicionado:<br />
[[Arquivo:Mon ceph.png|nenhum|miniaturadaimagem|598x598px]]<br />
<br />
== Adicionando o OSD no Debian ==<br />
Agora vamos aos procedimentos para usarmos aquele SSD como OSD no CEPH. Vamos supor que o '''SSD livre''' seja o '''/dev/sdb''':<br />
# apt install gdisk util-linux<br />
<br />
# wipefs -a /dev/sdb<br />
# sgdisk --zap-all /dev/sdb<br />
<br />
Feito isso só precisamos criar o volume CEPH com o comando:<br />
# ceph-volume lvm create --data /dev/sdb<br />
Se tudo foi bem, nesse momento verá o '''OSD''' no seu '''Cluster Proxmox''':<br />
[[Arquivo:Osd img.png|nenhum|miniaturadaimagem|1234x1234px]]<br />
Olhando a saúde do nosso Cluster veremos:<br />
[[Arquivo:Resultado ceph.png|nenhum|miniaturadaimagem|1235x1235px]]<br />
<br />
== Conclusão ==<br />
Aqui vemos em funcionamento um '''Cluster Proxmox + HA''' com 2 nós apenas e uma máquina Debian servindo como apoio no funcionamento e segurança do Cluster.<br />
<br />
Gostou do artigo? Compartilhe!<br />
<br />
Autor: [[Sobre mim|Marcelo Gondim]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Debian_Cluster_CEPH&diff=1139Debian Cluster CEPH2026-04-16T16:57:20Z<p>Gondim: </p>
<hr />
<div>== Introdução ==<br />
Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 nodes com '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um terceiro servidor às vezes ainda não está nos planos mas você tem uma máquina parada, onde você pode adicionar 2 SSDs e com 4G de ram você pode adicionar ela no '''Cluster''' para servir de quorum e de disco '''CEPH'''. Dessa maneira você consegue com 2 servidores '''Proxmox''' e uma máquina que chamei de '''Quorum Device''', colocar em produção um Cluster com HA funcional.t<br />
<br />
== Diagrama ==<br />
O diagrama abaixo será o ambiente de exemplo mas não falaremos de como construir um Cluster + HA com Proxmox. Nesse caso você precisará ter os 2 servidores já instalados e configurados em '''Cluster''' com '''CEPH'''. Aqui vamos apenas mostrar como adicionar um Debian GNU/Linux nesse Cluster e no CEPH.<br />
[[Arquivo:Diagrama cluster ceph.png|nenhum|miniaturadaimagem|522x522px]]<br />
<br />
== Pré-requisitos ==<br />
<br />
* Debian GNU/Linux 13 (Trixie).<br />
* Uma máquina com 4G ou 8G de ram.<br />
* 1 SSD para instalar o sistema.<br />
* 1 SSD para servir de '''OSD''' no '''CEPH'''.<br />
*3 interfaces de rede. Uma para o acesso, outra para o '''Cluster''' e outra para o '''CEPH'''. <br />
<br />
== Configurando o Qdevice no Debian ==<br />
Uma vez instalado o Debian, precisamos configurar as 3 interfaces para a comunicação com seu Cluster Proxmox. Por exemplo:<br />
<br />
* ens18 - IP 10.254.254.27/24 GW 10.254.254.1 (essa seria a interface com acesso à Internet para instalar os programas).<br />
* ens19 - IP 192.168.1.3/24 (interface que deve se comunicar com a rede do Cluster, com os IPs dos nodes 192.168.1.1 e 192.168.1.2.<br />
* ens20 - IP 192.168.2.3/24 (interface que se comunica com a rede CEPH, com os IPs 192.168.2.1 e 192.168.2.2.<br />
<br />
Precisamos configurar o serviço SSHD para permitir conexão com root, pois o Proxmox vai precisar acessar o Debian. Para isso altere o arquivo '''/etc/ssh/sshd_config''' o parâmetro abaixo:<br />
PermitRootLogin yes<br />
Reinicie o serviço:<br />
# systemctl restart sshd<br />
No Debian vamos instalar o pacote '''corosync-qnetd''':<br />
# apt install corosync-qnetd<br />
Nos dois servidores Proxmox, no nosso exemplo PVE01 e PVE02 instalaremos o pacote '''corosync-qdevice''':<br />
# apt install corosync-qdevice<br />
Agora vá para o shell do seu '''Proxmox principal''', no meu caso o '''PVE01''' e adicione o Debian ao Cluster com o seguinte comando: <br />
# pvecm qdevice setup 192.168.1.3<br />
Com o comando '''pvecm status''' podemos ver como está o quorum e se tudo ocorreu bem, verá que agora temos 3 votos no lugar de 2 e um '''Qdevice''' no membership:<br />
[[Arquivo:Qdevice.png|nenhum|miniaturadaimagem|748x748px]]<br />
Agora em se tratando de Cluster, você tem o mínimo de votantes para o bom funcionamento e usando uma máquina simples com Debian.<br />
<br />
== Adicionando um CEPH monitor e OSD ==<br />
Agora precisamos tornar nosso '''CEPH''' saudável também e para isso vamos instalar os pacotes do CEPH do Proxmox no Debian. O CEPH precisa ser da mesma versão usada no Cluster Proxmox. Para os meus testes utilizei um '''Cluster Proxmox 9''' no '''PVE01''' e '''PVE02''' que utiliza o '''CEPH Squid 19.2'''. Então vamos adicionar o repositório:<br />
# echo "deb <nowiki>http://download.proxmox.com/debian/ceph-squid</nowiki> trixie no-subscription" > /etc/apt/sources.list.d/ceph.list<br />
# wget <nowiki>https://enterprise.proxmox.com/debian/proxmox-release-trixie.gpg</nowiki> -O /etc/apt/trusted.gpg.d/proxmox-release-trixie.gpg<br />
Instalando os pacotes do CEPH:<br />
# apt update<br />
# apt install ceph ceph-common<br />
Antes de prosseguir adicione no '''/etc/hosts''' do Debian:<br />
192.168.2.1 node1<br />
192.168.2.2 node2<br />
192.168.2.3 nodeq<br />
Estou chamando nosso '''Quorum Device''' com o hostname '''nodeq'''.<br />
<br />
Agora precisaremos executar algumas tarefas no nosso '''PVE01''':<br />
# ceph mon getmap -o /tmp/monmap<br />
<br />
# monmaptool \<br />
--add nodeq 192.168.2.3:6789 \<br />
/tmp/monmap<br />
Vamos checar se adicionamos o '''nodeq''' ao '''monmap''' com o comando: '''monmaptool --print /tmp/monmap'''<br />
[[Arquivo:Monmap.png|nenhum|miniaturadaimagem|677x677px]]<br />
Vamos gerar o '''keyring''' para usarmos no Debian:<br />
# ceph auth get mon. -o /tmp/ceph.mon.keyring<br />
Agora precisamos copiar todos os arquivos necessários do '''PVE01''' para o nosso Debian:<br />
# scp /tmp/monmap root@192.168.2.3:/etc/ceph/<br />
# scp /tmp/ceph.mon.keyring root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/ceph.conf root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/priv/ceph.client.admin.keyring root@192.168.2.3:/etc/ceph/<br />
<br />
# scp /var/lib/ceph/bootstrap-osd/ceph.keyring \<br />
root@192.168.2.3:/var/lib/ceph/bootstrap-osd/<br />
'''Atenção''' '''agora''' pois vamos no nosso Debian alterar o arquivo '''/etc/ceph/ceph.conf'''. Primeiro modifique o parâmetro abaixo para incluir o IP '''192.168.2.3''':<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
Modifique os dois parâmetros abaixo e deixe eles iguais a estes:<pre><br />
[client]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
<br />
[client.crash]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
</pre>Adicione no final deste mesmo arquivo a configuração abaixo:<pre><br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
</pre>Ainda no '''Debian''' execute os comandos abaixo para prepararmos o ambiente pro '''CEPH''':<br />
# mkdir -p /var/lib/ceph/mon/ceph-nodeq<br />
# chown ceph:ceph /var/lib/ceph/mon/ceph-nodeq<br />
# chmod 750 /var/lib/ceph/mon/ceph-nodeq<br />
Vamos criar o monitor:<br />
# ceph-mon --mkfs \<br />
-i nodeq \<br />
--monmap /etc/ceph/monmap \<br />
--keyring /etc/ceph/ceph.mon.keyring<br />
<br />
# chown -R ceph: /var/lib/ceph/mon/ceph-nodeq<br />
# chown -R ceph: /etc/ceph/<br />
# chmod 640 /etc/ceph/ceph.mon.keyring<br />
# chmod 640 /etc/ceph/monmap<br />
Este é o momento crucial para que tenhamos mais um monitor no nosso CEPH do Proxmox:<br />
# systemctl enable ceph-mon@nodeq<br />
# systemctl start ceph-mon@nodeq<br />
Precisamos checar se o serviço subiu com o comando: '''systemctl status ceph-mon@nodeq'''<br />
<br />
Se aparecer algo assim então parabéns, até aqui foi tudo OK:<br />
[[Arquivo:Nodeq ceph.png|nenhum|miniaturadaimagem|806x806px]]Volte no Proxmox PVE01 e altere o '''/etc/pve/ceph.conf''' modificando para:<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
E adicionando no final do arquivo:<br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
Agora ativamos, ainda no '''Proxmox PVE01''', o '''msgr2''':<br />
# ceph mon enable-msgr2<br />
No Debian reinicie o serviço:<br />
# systemctl restart ceph-mon@nodeq<br />
No '''Proxmox''' em '''CEPH''' verá um novo Monitor adicionado:<br />
[[Arquivo:Mon ceph.png|nenhum|miniaturadaimagem|598x598px]]<br />
<br />
== Adicionando o OSD no Debian ==<br />
Agora vamos aos procedimentos para usarmos aquele SSD como OSD no CEPH. Vamos supor que o '''SSD livre''' seja o '''/dev/sdb''':<br />
# apt install gdisk util-linux<br />
<br />
# wipefs -a /dev/sdb<br />
# sgdisk --zap-all /dev/sdb<br />
<br />
Feito isso só precisamos criar o volume CEPH com o comando:<br />
# ceph-volume lvm create --data /dev/sdb<br />
Se tudo foi bem, nesse momento verá o '''OSD''' no seu '''Cluster Proxmox''':<br />
[[Arquivo:Osd img.png|nenhum|miniaturadaimagem|1234x1234px]]<br />
Olhando a saúde do nosso Cluster veremos:<br />
[[Arquivo:Resultado ceph.png|nenhum|miniaturadaimagem|1235x1235px]]<br />
<br />
== Conclusão ==<br />
Aqui vemos em funcionamento um '''Cluster Proxmox + HA''' com 2 nós apenas e uma máquina Debian servindo como apoio no funcionamento e segurança do Cluster.<br />
<br />
Gostou do artigo? Compartilhe!<br />
<br />
Autor: [[Sobre mim|Marcelo Gondim]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Artigos_Tecnicos&diff=1138Artigos Tecnicos2026-04-12T20:50:26Z<p>Gondim: </p>
<hr />
<div>{{DISPLAYTITLE:Artigos Técnicos}}<br />
[[Arquivo:Tecnico.png|nenhum|miniaturadaimagem]]<br />
<br />
<br />
[[IPv6 Por onde comecar|IPv6 - Por onde começar]]<br />
<br />
[[Debian Cluster CEPH]]<br />
<br />
[[Autenticacao TOTP Radius Tacacs Debian|Autenticação TOTP + Radius/Tacacs no Debian]]<br />
<br />
[[Static Loop|Static Loop - um erro que pode matar seu ISP/ITP]]<br />
<br />
[[Portas Amplificacao DDoS|Portas de Amplificação DDoS e Botnets]]<br />
<br />
[[POC DNS Anycast TCP|PoC - Quebra do TCP em DNS Anycast Balanceado]]<br />
<br />
[[Template Servidor Debian|Template de Servidor Debian GNU/Linux]]<br />
<br />
[[Policy Based Routing|Policy Based Routing (PBR)]]<br />
<br />
[[PHPIPAM|DCIM/IPAM com phpIPAM]]<br />
<br />
[[Vazamento de prefixos na mitigação DDoS]]<br />
<br />
[[Enviando mensagens para o Discord]]<br />
<br />
[[Recomendacao Mitigacao DDoS|Recomendações sobre Mitigação DDoS]]<br />
<br />
[[Identificando e neutralizando uma Botnet]]<br />
<br />
[[MSMTP com OAuth2|MSMTP com OAuth2 no Debian 12]]<br />
<br />
[[Geolocalizacao|Geolocalização e a Internet]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Artigos_Tecnicos&diff=1137Artigos Tecnicos2026-04-12T20:49:35Z<p>Gondim: </p>
<hr />
<div>{{DISPLAYTITLE:Artigos Técnicos}}<br />
[[Arquivo:Tecnico.png|nenhum|miniaturadaimagem]]<br />
<br />
<br />
[[IPv6 Por onde comecar|IPv6 - Por onde começar]]<br />
<br />
[[Debian Cluster CEPH]]<br />
<br />
[[Static Loop|Static Loop - um erro que pode matar seu ISP/ITP]]<br />
<br />
[[Portas Amplificacao DDoS|Portas de Amplificação DDoS e Botnets]]<br />
<br />
[[POC DNS Anycast TCP|PoC - Quebra do TCP em DNS Anycast Balanceado]]<br />
<br />
[[Template Servidor Debian|Template de Servidor Debian GNU/Linux]]<br />
<br />
[[Policy Based Routing|Policy Based Routing (PBR)]]<br />
<br />
[[PHPIPAM|DCIM/IPAM com phpIPAM]]<br />
<br />
[[Vazamento de prefixos na mitigação DDoS]]<br />
<br />
[[Enviando mensagens para o Discord]]<br />
<br />
[[Recomendacao Mitigacao DDoS|Recomendações sobre Mitigação DDoS]]<br />
<br />
[[Identificando e neutralizando uma Botnet]]<br />
<br />
[[MSMTP com OAuth2|MSMTP com OAuth2 no Debian 12]]<br />
<br />
[[Geolocalizacao|Geolocalização e a Internet]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Debian_Cluster_CEPH&diff=1136Debian Cluster CEPH2026-04-10T16:46:10Z<p>Gondim: </p>
<hr />
<div>== Introdução ==<br />
Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 nodes com '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um terceiro servidor às vezes ainda não está nos planos mas você tem uma máquina parada, onde você pode adicionar 2 SSDs e com 4G de ram você pode adicionar ela no '''Cluster''' para servir de quorum e de disco '''CEPH'''. Dessa maneira você consegue com 2 servidores '''Proxmox''' e uma máquina que chamei de '''Quorum Device''', colocar em produção um Cluster com HA funcional.<br />
<br />
== Diagrama ==<br />
O diagrama abaixo será o ambiente de exemplo mas não falaremos de como construir um Cluster + HA com Proxmox. Nesse caso você precisará ter os 2 servidores já instalados e configurados em '''Cluster''' com '''CEPH'''. Aqui vamos apenas mostrar como adicionar um Debian GNU/Linux nesse Cluster e no CEPH.<br />
[[Arquivo:Diagrama cluster ceph.png|nenhum|miniaturadaimagem|522x522px]]<br />
<br />
== Pré-requisitos ==<br />
<br />
* Debian GNU/Linux 13 (Trixie).<br />
* Uma máquina com 4G ou 8G de ram.<br />
* 1 SSD para instalar o sistema.<br />
* 1 SSD para servir de '''OSD''' no '''CEPH'''.<br />
*3 interfaces de rede. Uma para o acesso, outra para o '''Cluster''' e outra para o '''CEPH'''. <br />
<br />
== Configurando o Qdevice no Debian ==<br />
Uma vez instalado o Debian, precisamos configurar as 3 interfaces para a comunicação com seu Cluster Proxmox. Por exemplo:<br />
<br />
* ens18 - IP 10.254.254.27/24 GW 10.254.254.1 (essa seria a interface com acesso à Internet para instalar os programas).<br />
* ens19 - IP 192.168.1.3/24 (interface que deve se comunicar com a rede do Cluster, com os IPs dos nodes 192.168.1.1 e 192.168.1.2.<br />
* ens20 - IP 192.168.2.3/24 (interface que se comunica com a rede CEPH, com os IPs 192.168.2.1 e 192.168.2.2.<br />
<br />
Precisamos configurar o serviço SSHD para permitir conexão com root, pois o Proxmox vai precisar acessar o Debian. Para isso altere o arquivo '''/etc/ssh/sshd_config''' o parâmetro abaixo:<br />
PermitRootLogin yes<br />
Reinicie o serviço:<br />
# systemctl restart sshd<br />
No Debian vamos instalar o pacote '''corosync-qnetd''':<br />
# apt install corosync-qnetd<br />
Nos dois servidores Proxmox, no nosso exemplo PVE01 e PVE02 instalaremos o pacote '''corosync-qdevice''':<br />
# apt install corosync-qdevice<br />
Agora vá para o shell do seu '''Proxmox principal''', no meu caso o '''PVE01''' e adicione o Debian ao Cluster com o seguinte comando: <br />
# pvecm qdevice setup 192.168.1.3<br />
Com o comando '''pvecm status''' podemos ver como está o quorum e se tudo ocorreu bem, verá que agora temos 3 votos no lugar de 2 e um '''Qdevice''' no membership:<br />
[[Arquivo:Qdevice.png|nenhum|miniaturadaimagem|748x748px]]<br />
Agora em se tratando de Cluster, você tem o mínimo de votantes para o bom funcionamento e usando uma máquina simples com Debian.<br />
<br />
== Adicionando um CEPH monitor e OSD ==<br />
Agora precisamos tornar nosso '''CEPH''' saudável também e para isso vamos instalar os pacotes do CEPH do Proxmox no Debian. O CEPH precisa ser da mesma versão usada no Cluster Proxmox. Para os meus testes utilizei um '''Cluster Proxmox 9''' no '''PVE01''' e '''PVE02''' que utiliza o '''CEPH Squid 19.2'''. Então vamos adicionar o repositório:<br />
# echo "deb <nowiki>http://download.proxmox.com/debian/ceph-squid</nowiki> trixie no-subscription" > /etc/apt/sources.list.d/ceph.list<br />
# wget <nowiki>https://enterprise.proxmox.com/debian/proxmox-release-trixie.gpg</nowiki> -O /etc/apt/trusted.gpg.d/proxmox-release-trixie.gpg<br />
Instalando os pacotes do CEPH:<br />
# apt update<br />
# apt install ceph ceph-common<br />
Antes de prosseguir adicione no '''/etc/hosts''' do Debian:<br />
192.168.2.1 node1<br />
192.168.2.2 node2<br />
192.168.2.3 nodeq<br />
Estou chamando nosso '''Quorum Device''' com o hostname '''nodeq'''.<br />
<br />
Agora precisaremos executar algumas tarefas no nosso '''PVE01''':<br />
# ceph mon getmap -o /tmp/monmap<br />
<br />
# monmaptool \<br />
--add nodeq 192.168.2.3:6789 \<br />
/tmp/monmap<br />
Vamos checar se adicionamos o '''nodeq''' ao '''monmap''' com o comando: '''monmaptool --print /tmp/monmap'''<br />
[[Arquivo:Monmap.png|nenhum|miniaturadaimagem|677x677px]]<br />
Vamos gerar o '''keyring''' para usarmos no Debian:<br />
# ceph auth get mon. -o /tmp/ceph.mon.keyring<br />
Agora precisamos copiar todos os arquivos necessários do '''PVE01''' para o nosso Debian:<br />
# scp /tmp/monmap root@192.168.2.3:/etc/ceph/<br />
# scp /tmp/ceph.mon.keyring root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/ceph.conf root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/priv/ceph.client.admin.keyring root@192.168.2.3:/etc/ceph/<br />
<br />
# scp /var/lib/ceph/bootstrap-osd/ceph.keyring \<br />
root@192.168.2.3:/var/lib/ceph/bootstrap-osd/<br />
'''Atenção''' '''agora''' pois vamos no nosso Debian alterar o arquivo '''/etc/ceph/ceph.conf'''. Primeiro modifique o parâmetro abaixo para incluir o IP '''192.168.2.3''':<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
Modifique os dois parâmetros abaixo e deixe eles iguais a estes:<pre><br />
[client]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
<br />
[client.crash]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
</pre>Adicione no final deste mesmo arquivo a configuração abaixo:<pre><br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
</pre>Ainda no '''Debian''' execute os comandos abaixo para prepararmos o ambiente pro '''CEPH''':<br />
# mkdir -p /var/lib/ceph/mon/ceph-nodeq<br />
# chown ceph:ceph /var/lib/ceph/mon/ceph-nodeq<br />
# chmod 750 /var/lib/ceph/mon/ceph-nodeq<br />
Vamos criar o monitor:<br />
# ceph-mon --mkfs \<br />
-i nodeq \<br />
--monmap /etc/ceph/monmap \<br />
--keyring /etc/ceph/ceph.mon.keyring<br />
<br />
# chown -R ceph: /var/lib/ceph/mon/ceph-nodeq<br />
# chown -R ceph: /etc/ceph/<br />
# chmod 640 /etc/ceph/ceph.mon.keyring<br />
# chmod 640 /etc/ceph/monmap<br />
Este é o momento crucial para que tenhamos mais um monitor no nosso CEPH do Proxmox:<br />
# systemctl enable ceph-mon@nodeq<br />
# systemctl start ceph-mon@nodeq<br />
Precisamos checar se o serviço subiu com o comando: '''systemctl status ceph-mon@nodeq'''<br />
<br />
Se aparecer algo assim então parabéns, até aqui foi tudo OK:<br />
[[Arquivo:Nodeq ceph.png|nenhum|miniaturadaimagem|806x806px]]Volte no Proxmox PVE01 e altere o '''/etc/pve/ceph.conf''' modificando para:<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
E adicionando no final do arquivo:<br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
Agora ativamos, ainda no '''Proxmox PVE01''', o '''msgr2''':<br />
# ceph mon enable-msgr2<br />
No Debian reinicie o serviço:<br />
# systemctl restart ceph-mon@nodeq<br />
No '''Proxmox''' em '''CEPH''' verá um novo Monitor adicionado:<br />
[[Arquivo:Mon ceph.png|nenhum|miniaturadaimagem|598x598px]]<br />
<br />
== Adicionando o OSD no Debian ==<br />
Agora vamos aos procedimentos para usarmos aquele SSD como OSD no CEPH. Vamos supor que o '''SSD livre''' seja o '''/dev/sdb''':<br />
# apt install gdisk util-linux<br />
<br />
# wipefs -a /dev/sdb<br />
# sgdisk --zap-all /dev/sdb<br />
<br />
Feito isso só precisamos criar o volume CEPH com o comando:<br />
# ceph-volume lvm create --data /dev/sdb<br />
Se tudo foi bem, nesse momento verá o '''OSD''' no seu '''Cluster Proxmox''':<br />
[[Arquivo:Osd img.png|nenhum|miniaturadaimagem|1234x1234px]]<br />
Olhando a saúde do nosso Cluster veremos:<br />
[[Arquivo:Resultado ceph.png|nenhum|miniaturadaimagem|1235x1235px]]<br />
<br />
== Conclusão ==<br />
Aqui vemos em funcionamento um '''Cluster Proxmox + HA''' com 2 nós apenas e uma máquina Debian servindo como apoio no funcionamento e segurança do Cluster.<br />
<br />
Gostou do artigo? Compartilhe!<br />
<br />
Autor: [[Sobre mim|Marcelo Gondim]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Debian_Cluster_CEPH&diff=1135Debian Cluster CEPH2026-04-10T15:28:43Z<p>Gondim: </p>
<hr />
<div>== Introdução ==<br />
Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 nodes com '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um terceiro servidor às vezes ainda não está nos planos mas você tem uma máquina parada, onde você pode adicionar 2 SSDs e com 4G de ram você pode adicionar ela no '''Cluster''' para servir de quorum e de disco '''CEPH'''. Dessa maneira você consegue com 2 servidores '''Proxmox''' e uma máquina que chamei de '''Quorum Device''', colocar em produção um Cluster com HA funcional.<br />
<br />
== Diagrama ==<br />
O diagrama abaixo será o ambiente de exemplo mas não falaremos de como construir um Cluster + HA com Proxmox. Nesse caso você precisará ter os 2 servidores já instalados e configurados em '''Cluster''' com '''CEPH'''. Aqui vamos apenas mostrar como adicionar um Debian GNU/Linux nesse Cluster e no CEPH.<br />
[[Arquivo:Diagrama cluster ceph.png|nenhum|miniaturadaimagem|522x522px]]<br />
<br />
== Pré-requisitos ==<br />
<br />
* Debian GNU/Linux 13 (Trixie).<br />
* Uma máquina com 4G ou 8G de ram.<br />
* 1 SSD para instalar o sistema.<br />
* 1 SSD para servir de '''OSD''' no '''CEPH'''.<br />
*3 interfaces de rede. Uma para o acesso, outra para o '''Cluster''' e outra para o '''CEPH'''. <br />
<br />
== Configurando o Qdevice no Debian ==<br />
Uma vez instalado o Debian, precisamos configurar as 3 interfaces para a comunicação com seu Cluster Proxmox. Por exemplo:<br />
<br />
* ens18 - IP 10.254.254.27/24 GW 10.254.254.1 (essa seria a interface com acesso à Internet para instalar os programas).<br />
* ens19 - IP 192.168.1.3/24 (interface que deve se comunicar com a rede do Cluster, com os IPs dos nodes 192.168.1.1 e 192.168.1.2.<br />
* ens20 - IP 192.168.2.3/24 (interface que se comunica com a rede CEPH, com os IPs 192.168.2.1 e 192.168.2.2.<br />
<br />
Precisamos configurar o serviço SSHD para permitir conexão com root, pois o Proxmox vai precisar acessar o Debian. Para isso altere o arquivo '''/etc/ssh/sshd_config''' o parâmetro abaixo:<br />
PermitRootLogin yes<br />
Reinicie o serviço:<br />
# systemctl restart sshd<br />
No Debian vamos instalar o pacote '''corosync-qnetd''':<br />
# apt install corosync-qnetd<br />
Nos dois servidores Proxmox, no nosso exemplo PVE01 e PVE02 instalaremos o pacote '''corosync-qdevice''':<br />
# apt install corosync-qdevice<br />
Agora vá para o shell do seu '''Proxmox principal''', no meu caso o '''PVE01''' e adicione o Debian ao Cluster com o seguinte comando: <br />
# pvecm qdevice setup 192.168.1.3<br />
Com o comando '''pvecm status''' podemos ver como está o quorum e se tudo ocorreu bem, verá que agora temos 3 votos no lugar de 2 e um '''Qdevice''' no membership:<br />
[[Arquivo:Qdevice.png|nenhum|miniaturadaimagem|748x748px]]<br />
Agora em se tratando de Cluster, você tem o mínimo de votantes para o bom funcionamento e usando uma máquina simples com Debian.<br />
<br />
== Adicionando um CEPH monitor e OSD ==<br />
Agora precisamos tornar nosso '''CEPH''' saudável também e para isso vamos instalar os pacotes do CEPH do Proxmox no Debian. O CEPH precisa ser da mesma versão usada no Cluster Proxmox. Para os meus testes utilizei um '''Cluster Proxmox 9''' no '''PVE01''' e '''PVE02''' que utiliza o '''CEPH Squid 19.2'''. Então vamos adicionar o repositório:<br />
# echo "deb <nowiki>http://download.proxmox.com/debian/ceph-squid</nowiki> trixie no-subscription" > /etc/apt/sources.list.d/ceph.list<br />
# wget <nowiki>https://enterprise.proxmox.com/debian/proxmox-release-trixie.gpg</nowiki> -O /etc/apt/trusted.gpg.d/proxmox-release-trixie.gpg<br />
Instalando os pacotes do CEPH:<br />
# apt update<br />
# apt install ceph ceph-common<br />
Antes de prosseguir adicione no '''/etc/hosts''' do Debian:<br />
192.168.2.1 node1<br />
192.168.2.2 node2<br />
192.168.2.3 nodeq<br />
Estou chamando nosso '''Quorum Device''' com o hostname '''nodeq'''.<br />
<br />
Agora precisaremos executar algumas tarefas no nosso '''PVE01''':<br />
# ceph mon getmap -o /tmp/monmap<br />
<br />
# monmaptool \<br />
--add nodeq 192.168.2.3:6789 \<br />
/tmp/monmap<br />
Vamos checar se adicionamos o '''nodeq''' ao '''monmap''' com o comando: '''monmaptool --print /tmp/monmap'''<br />
[[Arquivo:Monmap.png|nenhum|miniaturadaimagem|677x677px]]<br />
Vamos gerar o '''keyring''' para usarmos no Debian:<br />
# ceph auth get mon. -o /tmp/ceph.mon.keyring<br />
Agora precisamos copiar todos os arquivos necessários do '''PVE01''' para o nosso Debian:<br />
# scp /tmp/monmap root@192.168.2.3:/etc/ceph/<br />
# scp /tmp/ceph.mon.keyring root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/ceph.conf root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/priv/ceph.client.admin.keyring root@192.168.2.3:/etc/ceph/<br />
<br />
# scp /var/lib/ceph/bootstrap-osd/ceph.keyring \<br />
root@192.168.2.3:/var/lib/ceph/bootstrap-osd/<br />
'''Atenção''' '''agora''' pois vamos no nosso Debian alterar o arquivo '''/etc/ceph/ceph.conf'''. Primeiro modifique o parâmetro abaixo para incluir o IP '''192.168.2.3''':<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
Modifique os dois parâmetros abaixo e deixe eles iguais a estes:<pre><br />
[client]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
<br />
[client.crash]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
</pre>Adicione no final deste mesmo arquivo a configuração abaixo:<pre><br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
</pre>Ainda no '''Debian''' execute os comandos abaixo para prepararmos o ambiente pro '''CEPH''':<br />
# mkdir -p /var/lib/ceph/mon/ceph-nodeq<br />
# chown ceph:ceph /var/lib/ceph/mon/ceph-nodeq<br />
# chmod 750 /var/lib/ceph/mon/ceph-nodeq<br />
Vamos criar o monitor:<br />
# ceph-mon --mkfs \<br />
-i nodeq \<br />
--monmap /etc/ceph/monmap \<br />
--keyring /etc/ceph/ceph.mon.keyring<br />
<br />
# chown -R ceph: /var/lib/ceph/mon/ceph-nodeq<br />
# chown -R ceph: /etc/ceph/<br />
# chmod 640 /etc/ceph/ceph.mon.keyring<br />
# chmod 640 /etc/ceph/monmap<br />
Este é o momento crucial para que tenhamos mais um monitor no nosso CEPH do Proxmox:<br />
# systemctl enable ceph-mon@nodeq<br />
# systemctl start ceph-mon@nodeq<br />
Precisamos checar se o serviço subiu com o comando: '''systemctl status ceph-mon@nodeq'''<br />
<br />
Se aparecer algo assim então parabéns, até aqui foi tudo OK:<br />
[[Arquivo:Nodeq ceph.png|nenhum|miniaturadaimagem|806x806px]]Volte no Proxmox PVE01 e altere o '''/etc/pve/ceph.conf''' modificando para:<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
E adicionando no final do arquivo:<br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
Agora ativamos, ainda no '''Proxmox PVE01''', o '''msgr2''':<br />
# ceph mon enable-msgr2<br />
No Debian reinicie o serviço:<br />
# systemctl restart ceph-mon@nodeq<br />
No '''Proxmox''' em '''CEPH''' verá um novo Monitor adicionado:<br />
[[Arquivo:Mon ceph.png|nenhum|miniaturadaimagem|598x598px]]<br />
<br />
== Adicionando o OSD no Debian ==<br />
Agora vamos aos procedimentos para usarmos aquele SSD como OSD no CEPH. Vamos supor que o '''SSD livre''' seja o '''/dev/sdb''':<br />
# apt install gdisk<br />
<br />
# wipefs -a /dev/sdb<br />
# sgdisk --zap-all /dev/sdb<br />
<br />
Feito isso só precisamos criar o volume CEPH com o comando:<br />
# ceph-volume lvm create --data /dev/sdb<br />
Se tudo foi bem, nesse momento verá o '''OSD''' no seu '''Cluster Proxmox''':<br />
[[Arquivo:Osd img.png|nenhum|miniaturadaimagem|1234x1234px]]<br />
Olhando a saúde do nosso Cluster veremos:<br />
[[Arquivo:Resultado ceph.png|nenhum|miniaturadaimagem|1235x1235px]]<br />
<br />
== Conclusão ==<br />
Aqui vemos em funcionamento um '''Cluster Proxmox + HA''' com 2 nós apenas e uma máquina Debian servindo como apoio no funcionamento e segurança do Cluster.<br />
<br />
Gostou do artigo? Compartilhe!<br />
<br />
Autor: [[Sobre mim|Marcelo Gondim]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Debian_Cluster_CEPH&diff=1134Debian Cluster CEPH2026-04-10T15:27:59Z<p>Gondim: </p>
<hr />
<div>== Introdução ==<br />
Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 nodes com '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um terceiro servidor às vezes ainda não está nos planos mas você tem uma máquina parada, onde você pode adicionar 2 SSDs e com 4G de ram você pode adicionar ela no '''Cluster''' para servir de quorum e de disco '''CEPH'''. Dessa maneira você consegue com 2 servidores '''Proxmox''' e uma máquina que chamei de '''Quorum Device''', colocar em produção um Cluster com HA funcional.<br />
<br />
== Diagrama ==<br />
O diagrama abaixo será o ambiente de exemplo mas não falaremos de como construir um Cluster + HA com Proxmox. Nesse caso você precisará ter os 2 servidores já instalados e configurados em '''Cluster''' com '''CEPH'''. Aqui vamos apenas mostrar como adicionar um Debian GNU/Linux nesse Cluster e no CEPH.<br />
[[Arquivo:Diagrama cluster ceph.png|nenhum|miniaturadaimagem|522x522px]]<br />
<br />
== Pré-requisitos ==<br />
<br />
* Debian GNU/Linux 13 (Trixie).<br />
* Uma máquina com 4G ou 8G de ram.<br />
* 1 SSD para instalar o sistema.<br />
* 1 SSD para servir de '''OSD''' no '''CEPH'''.<br />
*3 interfaces de rede. Uma para o acesso, outra para o '''Cluster''' e outra para o '''CEPH'''. <br />
<br />
== Configurando o Qdevice no Debian ==<br />
Uma vez instalado o Debian, precisamos configurar as 3 interfaces para a comunicação com seu Cluster Proxmox. Por exemplo:<br />
<br />
* ens18 - IP 10.254.254.27/24 GW 10.254.254.1 (essa seria a interface com acesso à Internet para instalar os programas).<br />
* ens19 - IP 192.168.1.3/24 (interface que deve se comunicar com a rede do Cluster, com os IPs dos nodes 192.168.1.1 e 192.168.1.2.<br />
* ens20 - IP 192.168.2.3/24 (interface que se comunica com a rede CEPH, com os IPs 192.168.2.1 e 192.168.2.2.<br />
<br />
Precisamos configurar o serviço SSHD para permitir conexão com root, pois o Proxmox vai precisar acessar o Debian. Para isso altere o arquivo '''/etc/ssh/sshd_config''' o parâmetro abaixo:<br />
PermitRootLogin yes<br />
Reinicie o serviço:<br />
# systemctl restart sshd<br />
No Debian vamos instalar o pacote '''corosync-qnetd''':<br />
# apt install corosync-qnetd<br />
Nos dois servidores Proxmox, no nosso exemplo PVE01 e PVE02 instalaremos o pacote '''corosync-qdevice''':<br />
# apt install corosync-qdevice<br />
Agora vá para o shell do seu '''Proxmox principal''', no meu caso o '''PVE01''' e adicione o Debian ao Cluster com o seguinte comando: <br />
# pvecm qdevice setup 192.168.1.3<br />
Com o comando '''pvecm status''' podemos ver como está o quorum e se tudo ocorreu bem, verá que agora temos 3 votos no lugar de 2 e um '''Qdevice''' no membership:<br />
[[Arquivo:Qdevice.png|nenhum|miniaturadaimagem|748x748px]]<br />
Agora em se tratando de Cluster, você tem o mínimo de votantes para o bom funcionamento e usando uma máquina simples com Debian.<br />
<br />
== Adicionando um CEPH monitor e OSD ==<br />
Agora precisamos tornar nosso '''CEPH''' saudável também e para isso vamos instalar os pacotes do CEPH do Proxmox no Debian. O CEPH precisa ser da mesma versão usada no Cluster Proxmox. Para os meus testes utilizei um '''Cluster Proxmox 9''' no '''PVE01''' e '''PVE02''' que utiliza o '''CEPH Squid 19.2'''. Então vamos adicionar o repositório:<br />
# echo "deb <nowiki>http://download.proxmox.com/debian/ceph-squid</nowiki> trixie no-subscription" > /etc/apt/sources.list.d/ceph.list<br />
# wget <nowiki>https://enterprise.proxmox.com/debian/proxmox-release-trixie.gpg</nowiki> -O /etc/apt/trusted.gpg.d/proxmox-release-trixie.gpg<br />
Instalando os pacotes do CEPH:<br />
# apt update<br />
# apt install ceph ceph-common<br />
Antes de prosseguir adicione no '''/etc/hosts''' do Debian:<br />
192.168.2.1 node1<br />
192.168.2.2 node2<br />
192.168.2.3 nodeq<br />
Estou chamando nosso '''Quorum Device''' com o hostname '''nodeq'''.<br />
<br />
Agora precisaremos executar algumas tarefas no nosso '''PVE01''':<br />
# ceph mon getmap -o /tmp/monmap<br />
<br />
# monmaptool \<br />
--add nodeq 192.168.2.3:6789 \<br />
/tmp/monmap<br />
Vamos checar se adicionamos o '''nodeq''' ao '''monmap''' com o comando: '''monmaptool --print /tmp/monmap'''<br />
[[Arquivo:Monmap.png|nenhum|miniaturadaimagem|677x677px]]<br />
Vamos gerar o '''keyring''' para usarmos no Debian:<br />
# ceph auth get mon. -o /tmp/ceph.mon.keyring<br />
Agora precisamos copiar todos os arquivos necessários do '''PVE01''' para o nosso Debian:<br />
# scp /tmp/monmap root@192.168.2.3:/etc/ceph/<br />
# scp /tmp/ceph.mon.keyring root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/ceph.conf root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/priv/ceph.client.admin.keyring root@192.168.2.3:/etc/ceph/<br />
<br />
# scp /var/lib/ceph/bootstrap-osd/ceph.keyring \<br />
root@192.168.2.3:/var/lib/ceph/bootstrap-osd/<br />
'''Atenção''' '''agora''' pois vamos no nosso Debian alterar o arquivo '''/etc/ceph/ceph.conf'''. Primeiro modifique o parâmetro abaixo para incluir o IP '''192.168.2.3''':<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
Modifique os dois parâmetros abaixo e deixe eles iguais a estes:<pre><br />
[client]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
<br />
[client.crash]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
</pre>Adicione no final deste mesmo arquivo a configuração abaixo:<pre><br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
</pre>Ainda no '''Debian''' execute os comandos abaixo para prepararmos o ambiente pro '''CEPH''':<br />
# mkdir -p /var/lib/ceph/mon/ceph-nodeq<br />
# chown ceph:ceph /var/lib/ceph/mon/ceph-nodeq<br />
# chmod 750 /var/lib/ceph/mon/ceph-nodeq<br />
Vamos criar o monitor:<br />
# ceph-mon --mkfs \<br />
-i nodeq \<br />
--monmap /etc/ceph/monmap \<br />
--keyring /etc/ceph/ceph.mon.keyring<br />
<br />
# chown -R ceph: /var/lib/ceph/mon/ceph-nodeq<br />
# chown -R ceph: /etc/ceph/<br />
# chmod 640 /etc/ceph/ceph.mon.keyring<br />
# chmod 640 /etc/ceph/monmap<br />
Este é o momento crucial para que tenhamos mais um monitor no nosso CEPH do Proxmox:<br />
# systemctl enable ceph-mon@nodeq<br />
# systemctl start ceph-mon@nodeq<br />
Precisamos checar se o serviço subiu com o comando: '''systemctl status ceph-mon@nodeq'''<br />
<br />
Se aparecer algo assim então parabéns, até aqui foi tudo OK:<br />
[[Arquivo:Nodeq ceph.png|nenhum|miniaturadaimagem|806x806px]]Volte no Proxmox PVE01 e altere o '''/etc/pve/ceph.conf''' modificando para:<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
E adicionando no final do arquivo:<br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
Agora ativamos, ainda no '''Proxmox PVE01''', o '''msgr2''':<br />
# ceph mon enable-msgr2<br />
No Debian reinicie o serviço:<br />
# systemctl restart ceph-mon@nodeq<br />
No '''Proxmox''' em '''CEPH''' verá um novo Monitor adicionado:<br />
[[Arquivo:Mon ceph.png|nenhum|miniaturadaimagem|598x598px]]<br />
<br />
== Adicionando o OSD no Debian ==<br />
Agora vamos aos procedimentos para usarmos aquele SSD como OSD no CEPH. Vamos supor que o '''SSD livre''' seja o '''/dev/sdb''':<br />
# apt install gdisk<br />
<br />
# wipefs -a /dev/sdb<br />
# sgdisk --zap<br />
<br />
Feito isso só precisamos criar o volume CEPH com o comando:<br />
# ceph-volume lvm create --data /dev/sdb<br />
Se tudo foi bem, nesse momento verá o '''OSD''' no seu '''Cluster Proxmox''':<br />
[[Arquivo:Osd img.png|nenhum|miniaturadaimagem|1234x1234px]]<br />
Olhando a saúde do nosso Cluster veremos:<br />
[[Arquivo:Resultado ceph.png|nenhum|miniaturadaimagem|1235x1235px]]<br />
<br />
== Conclusão ==<br />
Aqui vemos em funcionamento um '''Cluster Proxmox + HA''' com 2 nós apenas e uma máquina Debian servindo como apoio no funcionamento e segurança do Cluster.<br />
<br />
Gostou do artigo? Compartilhe!<br />
<br />
Autor: [[Sobre mim|Marcelo Gondim]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Debian_Cluster_CEPH&diff=1133Debian Cluster CEPH2026-04-08T23:33:14Z<p>Gondim: </p>
<hr />
<div>== Introdução ==<br />
Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 nodes com '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um terceiro servidor às vezes ainda não está nos planos mas você tem uma máquina parada, onde você pode adicionar 2 SSDs e com 4G de ram você pode adicionar ela no '''Cluster''' para servir de quorum e de disco '''CEPH'''. Dessa maneira você consegue com 2 servidores '''Proxmox''' e uma máquina que chamei de '''Quorum Device''', colocar em produção um Cluster com HA funcional.<br />
<br />
== Diagrama ==<br />
O diagrama abaixo será o ambiente de exemplo mas não falaremos de como construir um Cluster + HA com Proxmox. Nesse caso você precisará ter os 2 servidores já instalados e configurados em '''Cluster''' com '''CEPH'''. Aqui vamos apenas mostrar como adicionar um Debian GNU/Linux nesse Cluster e no CEPH.<br />
[[Arquivo:Diagrama cluster ceph.png|nenhum|miniaturadaimagem|522x522px]]<br />
<br />
== Pré-requisitos ==<br />
<br />
* Debian GNU/Linux 13 (Trixie).<br />
* Uma máquina com 4G ou 8G de ram.<br />
* 1 SSD para instalar o sistema.<br />
* 1 SSD para servir de '''OSD''' no '''CEPH'''.<br />
*3 interfaces de rede. Uma para o acesso, outra para o '''Cluster''' e outra para o '''CEPH'''. <br />
<br />
== Configurando o Qdevice no Debian ==<br />
Uma vez instalado o Debian, precisamos configurar as 3 interfaces para a comunicação com seu Cluster Proxmox. Por exemplo:<br />
<br />
* ens18 - IP 10.254.254.27/24 GW 10.254.254.1 (essa seria a interface com acesso à Internet para instalar os programas).<br />
* ens19 - IP 192.168.1.3/24 (interface que deve se comunicar com a rede do Cluster, com os IPs dos nodes 192.168.1.1 e 192.168.1.2.<br />
* ens20 - IP 192.168.2.3/24 (interface que se comunica com a rede CEPH, com os IPs 192.168.2.1 e 192.168.2.2.<br />
<br />
Precisamos configurar o serviço SSHD para permitir conexão com root, pois o Proxmox vai precisar acessar o Debian. Para isso altere o arquivo '''/etc/ssh/sshd_config''' o parâmetro abaixo:<br />
PermitRootLogin yes<br />
Reinicie o serviço:<br />
# systemctl restart sshd<br />
No Debian vamos instalar o pacote '''corosync-qnetd''':<br />
# apt install corosync-qnetd<br />
Nos dois servidores Proxmox, no nosso exemplo PVE01 e PVE02 instalaremos o pacote '''corosync-qdevice''':<br />
# apt install corosync-qdevice<br />
Agora vá para o shell do seu '''Proxmox principal''', no meu caso o '''PVE01''' e adicione o Debian ao Cluster com o seguinte comando: <br />
# pvecm qdevice setup 192.168.1.3<br />
Com o comando '''pvecm status''' podemos ver como está o quorum e se tudo ocorreu bem, verá que agora temos 3 votos no lugar de 2 e um '''Qdevice''' no membership:<br />
[[Arquivo:Qdevice.png|nenhum|miniaturadaimagem|748x748px]]<br />
Agora em se tratando de Cluster, você tem o mínimo de votantes para o bom funcionamento e usando uma máquina simples com Debian.<br />
<br />
== Adicionando um CEPH monitor e OSD ==<br />
Agora precisamos tornar nosso '''CEPH''' saudável também e para isso vamos instalar os pacotes do CEPH do Proxmox no Debian. O CEPH precisa ser da mesma versão usada no Cluster Proxmox. Para os meus testes utilizei um '''Cluster Proxmox 9''' no '''PVE01''' e '''PVE02''' que utiliza o '''CEPH Squid 19.2'''. Então vamos adicionar o repositório:<br />
# echo "deb <nowiki>http://download.proxmox.com/debian/ceph-squid</nowiki> trixie no-subscription" > /etc/apt/sources.list.d/ceph.list<br />
# wget <nowiki>https://enterprise.proxmox.com/debian/proxmox-release-trixie.gpg</nowiki> -O /etc/apt/trusted.gpg.d/proxmox-release-trixie.gpg<br />
Instalando os pacotes do CEPH:<br />
# apt update<br />
# apt install ceph ceph-common<br />
Antes de prosseguir adicione no '''/etc/hosts''' do Debian:<br />
192.168.2.1 node1<br />
192.168.2.2 node2<br />
192.168.2.3 nodeq<br />
Estou chamando nosso '''Quorum Device''' com o hostname '''nodeq'''.<br />
<br />
Agora precisaremos executar algumas tarefas no nosso '''PVE01''':<br />
# ceph mon getmap -o /tmp/monmap<br />
<br />
# monmaptool \<br />
--add nodeq 192.168.2.3:6789 \<br />
/tmp/monmap<br />
Vamos checar se adicionamos o '''nodeq''' ao '''monmap''' com o comando: '''monmaptool --print /tmp/monmap'''<br />
[[Arquivo:Monmap.png|nenhum|miniaturadaimagem|677x677px]]<br />
Vamos gerar o '''keyring''' para usarmos no Debian:<br />
# ceph auth get mon. -o /tmp/ceph.mon.keyring<br />
Agora precisamos copiar todos os arquivos necessários do '''PVE01''' para o nosso Debian:<br />
# scp /tmp/monmap root@192.168.2.3:/etc/ceph/<br />
# scp /tmp/ceph.mon.keyring root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/ceph.conf root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/priv/ceph.client.admin.keyring root@192.168.2.3:/etc/ceph/<br />
<br />
# scp /var/lib/ceph/bootstrap-osd/ceph.keyring \<br />
root@192.168.2.3:/var/lib/ceph/bootstrap-osd/<br />
'''Atenção''' '''agora''' pois vamos no nosso Debian alterar o arquivo '''/etc/ceph/ceph.conf'''. Primeiro modifique o parâmetro abaixo para incluir o IP '''192.168.2.3''':<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
Modifique os dois parâmetros abaixo e deixe eles iguais a estes:<pre><br />
[client]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
<br />
[client.crash]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
</pre>Adicione no final deste mesmo arquivo a configuração abaixo:<pre><br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
</pre>Ainda no '''Debian''' execute os comandos abaixo para prepararmos o ambiente pro '''CEPH''':<br />
# mkdir -p /var/lib/ceph/mon/ceph-nodeq<br />
# chown ceph:ceph /var/lib/ceph/mon/ceph-nodeq<br />
# chmod 750 /var/lib/ceph/mon/ceph-nodeq<br />
Vamos criar o monitor:<br />
# ceph-mon --mkfs \<br />
-i nodeq \<br />
--monmap /etc/ceph/monmap \<br />
--keyring /etc/ceph/ceph.mon.keyring<br />
<br />
# chown -R ceph: /var/lib/ceph/mon/ceph-nodeq<br />
# chown -R ceph: /etc/ceph/<br />
# chmod 640 /etc/ceph/ceph.mon.keyring<br />
# chmod 640 /etc/ceph/monmap<br />
Este é o momento crucial para que tenhamos mais um monitor no nosso CEPH do Proxmox:<br />
# systemctl enable ceph-mon@nodeq<br />
# systemctl start ceph-mon@nodeq<br />
Precisamos checar se o serviço subiu com o comando: '''systemctl status ceph-mon@nodeq'''<br />
<br />
Se aparecer algo assim então parabéns, até aqui foi tudo OK:<br />
[[Arquivo:Nodeq ceph.png|nenhum|miniaturadaimagem|806x806px]]Volte no Proxmox PVE01 e altere o '''/etc/pve/ceph.conf''' modificando para:<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
E adicionando no final do arquivo:<br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
Agora ativamos, ainda no '''Proxmox PVE01''', o '''msgr2''':<br />
# ceph mon enable-msgr2<br />
No Debian reinicie o serviço:<br />
# systemctl restart ceph-mon@nodeq<br />
No '''Proxmox''' em '''CEPH''' verá um novo Monitor adicionado:<br />
[[Arquivo:Mon ceph.png|nenhum|miniaturadaimagem|598x598px]]<br />
<br />
== Adicionando o OSD no Debian ==<br />
Agora vamos aos procedimentos para usarmos aquele SSD como OSD no CEPH. Vamos supor que o '''SSD livre''' seja o '''/dev/sdb''':<br />
# apt install parted<br />
<br />
# parted /dev/sdb --script mklabel gpt<br />
<br />
# parted /dev/sdb --script \<br />
mkpart primary 0% 100%<br />
Feito isso só precisamos criar o volume CEPH com o comando:<br />
# ceph-volume lvm create --data /dev/sdb1<br />
Se tudo foi bem, nesse momento verá o '''OSD''' no seu '''Cluster Proxmox''':<br />
[[Arquivo:Osd img.png|nenhum|miniaturadaimagem|1234x1234px]]<br />
Olhando a saúde do nosso Cluster veremos:<br />
[[Arquivo:Resultado ceph.png|nenhum|miniaturadaimagem|1235x1235px]]<br />
<br />
== Conclusão ==<br />
Aqui vemos em funcionamento um '''Cluster Proxmox + HA''' com 2 nós apenas e uma máquina Debian servindo como apoio no funcionamento e segurança do Cluster.<br />
<br />
Gostou do artigo? Compartilhe!<br />
<br />
Autor: [[Sobre mim|Marcelo Gondim]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=P%C3%A1gina_principal&diff=1132Página principal2026-04-08T23:27:53Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Pascal.png|esquerda|semmoldura|554x554px]]<br />
<br />
= Bem vindo à Wiki ISPUP! =<br />
Durante 29 anos trabalhando como '''sysadmin''' em ambientes '''Unix Like''' e com Redes em Provedores de Internet, acabei guardando algum conhecimento e essa Wiki é uma forma de disponibilizar para a comunidade, uma fonte de consulta de soluções para diversos problemas que encontrei ao longo da minha vida como profissional. Espero que te ajude assim como sempre me ajudou. Tenho muita documentação para postar aqui e por isso irei revisar e disponibilizar aos poucos. Vamos dar um UP! no seu ISP?<br />
<br />
Aqui veremos assuntos relacionados a '''Servidores GNU/Linux''', '''Telecom''', '''Serviços de Redes''', '''Segurança da Informação''' e '''Boas Práticas'''. Os artigos e documentações serão voltados paras as comunidades '''ISP (Internet Service Provider)''', '''ITP (Internet Transit Provider)''' e '''Debian'''. <br />
<br><br><br />
Enquanto for "'''pequeno'''", precisa pensar como um "'''grande'''": precisa pensar nas boas práticas, se estruturar para o futuro e aí quando crescer e ficar "'''grande'''", precisará pensar como um "'''pequeno'''", para continuar melhorando a sua agilidade nos processos, na qualidade do atendimento e nos serviços entregues aos seus clientes. <br />
<br />
As boas práticas trazem: '''segurança''', '''credibilidade''', '''estabilidade''' e '''qualidade'''.<br />
<br />
'''"UNIX is very simple, it just needs a genius to understand its simplicity."''' Dennis Ritchie.<br><br />
<br><br />
<br><br />
<br><br />
<br><br />
<br />
== Índice ==<br />
* [[Artigos Tecnicos|Artigos Técnicos]]<br />
* [[Servicos de Redes e Servidores|Serviços de Redes e Servidores]]<br />
* [[Dicas Tecnicas|Dicas Técnicas]]<br />
* [[Links Uteis|Links úteis]]<br />
* [[Sobre mim]]<br />
<br />
== Destaques ==<br />
[[Debian Cluster CEPH]]<br />
<br />
[[Autenticacao TOTP Radius Tacacs Debian|Autenticação TOTP + Radius/Tacacs no Debian]]<br />
<br />
[[SSH SERVER 2FA|SSH Server com Autenticação 2FA]]<br />
<br />
[[Certificado TLS com ACME-DNS e DNS-01]]<br />
<br />
[[RPKI|RPKI (Resource Public Key Infrastructure)]]<br />
<br />
[[Recomendacao Mitigacao DDoS|Recomendações sobre Mitigação DDoS]]<br />
<br />
[[DNS Recursivo Anycast HyperLocal|DNS Recursivo Anycast com Hyperlocal]]<br />
<br />
[[Static Loop|Static Loop - um erro que pode matar seu ISP/ITP]]<br />
<br />
[[Portas Amplificacao DDoS|Portas de Amplificação DDoS e Botnets]]<br />
<br />
[[Servidor Logs CGNAT|Servidor de logs CGNAT]]<br />
<br />
[[Template Servidor Debian|Template de Servidor Debian GNU/Linux]]<br />
<br />
[[Policy Based Routing|Policy Based Routing (PBR)]]<br />
<br />
[[Compilando Bash|Compilando Shell Scripts com o SHC]]<br />
<br />
[[PHPIPAM|DCIM/IPAM com phpIPAM]]<br />
<br />
[[MSMTP com OAuth2|MSMTP com OAuth2 no Debian 12]]<br />
<br />
[[Geolocalizacao|Geolocalização e a Internet]]<br />
<br />
[[Arquivo:Debian powered.png|miniaturadaimagem|83x83px]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Debian_Cluster_CEPH&diff=1131Debian Cluster CEPH2026-04-08T23:26:01Z<p>Gondim: </p>
<hr />
<div>== Introdução ==<br />
Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um terceiro servidor às vezes ainda não está nos planos mas você tem uma máquina parada, onde você pode adicionar 2 SSDs e com 4G de ram você pode adicionar ela no '''Cluster''' para servir de quorum e de disco '''CEPH'''. Dessa maneira você consegue com 2 servidores '''Proxmox''' e uma máquina que chamei de '''Quorum Device''', colocar em produção um Cluster com HA funcional.<br />
<br />
== Diagrama ==<br />
O diagrama abaixo será o ambiente de exemplo mas não falaremos de como construir um Cluster + HA com Proxmox. Nesse caso você precisará ter os 2 servidores já instalados e configurados em '''Cluster''' com '''CEPH'''. Aqui vamos apenas mostrar como adicionar um Debian GNU/Linux nesse Cluster e no CEPH.<br />
[[Arquivo:Diagrama cluster ceph.png|nenhum|miniaturadaimagem|522x522px]]<br />
<br />
== Pré-requisitos ==<br />
<br />
* Debian GNU/Linux 13 (Trixie).<br />
* Uma máquina com 4G ou 8G de ram.<br />
* 1 SSD para instalar o sistema.<br />
* 1 SSD para servir de '''OSD''' no '''CEPH'''.<br />
*3 interfaces de rede. Uma para o acesso, outra para o '''Cluster''' e outra para o '''CEPH'''. <br />
<br />
== Configurando o Qdevice no Debian ==<br />
Uma vez instalado o Debian, precisamos configurar as 3 interfaces para a comunicação com seu Cluster Proxmox. Por exemplo:<br />
<br />
* ens18 - IP 10.254.254.27/24 GW 10.254.254.1 (essa seria a interface com acesso à Internet para instalar os programas).<br />
* ens19 - IP 192.168.1.3/24 (interface que deve se comunicar com a rede do Cluster, com os IPs dos nodes 192.168.1.1 e 192.168.1.2.<br />
* ens20 - IP 192.168.2.3/24 (interface que se comunica com a rede CEPH, com os IPs 192.168.2.1 e 192.168.2.2.<br />
<br />
Precisamos configurar o serviço SSHD para permitir conexão com root, pois o Proxmox vai precisar acessar o Debian. Para isso altere o arquivo '''/etc/ssh/sshd_config''' o parâmetro abaixo:<br />
PermitRootLogin yes<br />
Reinicie o serviço:<br />
# systemctl restart sshd<br />
No Debian vamos instalar o pacote '''corosync-qnetd''':<br />
# apt install corosync-qnetd<br />
Nos dois servidores Proxmox, no nosso exemplo PVE01 e PVE02 instalaremos o pacote '''corosync-qdevice''':<br />
# apt install corosync-qdevice<br />
Agora vá para o shell do seu '''Proxmox principal''', no meu caso o '''PVE01''' e adicione o Debian ao Cluster com o seguinte comando: <br />
# pvecm qdevice setup 192.168.1.3<br />
Com o comando '''pvecm status''' podemos ver como está o quorum e se tudo ocorreu bem, verá que agora temos 3 votos no lugar de 2 e um '''Qdevice''' no membership:<br />
[[Arquivo:Qdevice.png|nenhum|miniaturadaimagem|748x748px]]<br />
Agora em se tratando de Cluster, você tem o mínimo de votantes para o bom funcionamento e usando uma máquina simples com Debian.<br />
<br />
== Adicionando um CEPH monitor e OSD ==<br />
Agora precisamos tornar nosso '''CEPH''' saudável também e para isso vamos instalar os pacotes do CEPH do Proxmox no Debian. O CEPH precisa ser da mesma versão usada no Cluster Proxmox. Para os meus testes utilizei um '''Cluster Proxmox 9''' no '''PVE01''' e '''PVE02''' que utiliza o '''CEPH Squid 19.2'''. Então vamos adicionar o repositório:<br />
# echo "deb <nowiki>http://download.proxmox.com/debian/ceph-squid</nowiki> trixie no-subscription" > /etc/apt/sources.list.d/ceph.list<br />
# wget <nowiki>https://enterprise.proxmox.com/debian/proxmox-release-trixie.gpg</nowiki> -O /etc/apt/trusted.gpg.d/proxmox-release-trixie.gpg<br />
Instalando os pacotes do CEPH:<br />
# apt update<br />
# apt install ceph ceph-common<br />
Antes de prosseguir adicione no '''/etc/hosts''' do Debian:<br />
192.168.2.1 node1<br />
192.168.2.2 node2<br />
192.168.2.3 nodeq<br />
Estou chamando nosso '''Quorum Device''' com o hostname '''nodeq'''.<br />
<br />
Agora precisaremos executar algumas tarefas no nosso '''PVE01''':<br />
# ceph mon getmap -o /tmp/monmap<br />
<br />
# monmaptool \<br />
--add nodeq 192.168.2.3:6789 \<br />
/tmp/monmap<br />
Vamos checar se adicionamos o '''nodeq''' ao '''monmap''' com o comando: '''monmaptool --print /tmp/monmap'''<br />
[[Arquivo:Monmap.png|nenhum|miniaturadaimagem|677x677px]]<br />
Vamos gerar o '''keyring''' para usarmos no Debian:<br />
# ceph auth get mon. -o /tmp/ceph.mon.keyring<br />
Agora precisamos copiar todos os arquivos necessários do '''PVE01''' para o nosso Debian:<br />
# scp /tmp/monmap root@192.168.2.3:/etc/ceph/<br />
# scp /tmp/ceph.mon.keyring root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/ceph.conf root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/priv/ceph.client.admin.keyring root@192.168.2.3:/etc/ceph/<br />
<br />
# scp /var/lib/ceph/bootstrap-osd/ceph.keyring \<br />
root@192.168.2.3:/var/lib/ceph/bootstrap-osd/<br />
'''Atenção''' '''agora''' pois vamos no nosso Debian alterar o arquivo '''/etc/ceph/ceph.conf'''. Primeiro modifique o parâmetro abaixo para incluir o IP '''192.168.2.3''':<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
Modifique os dois parâmetros abaixo e deixe eles iguais a estes:<pre><br />
[client]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
<br />
[client.crash]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
</pre>Adicione no final deste mesmo arquivo a configuração abaixo:<pre><br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
</pre>Ainda no '''Debian''' execute os comandos abaixo para prepararmos o ambiente pro '''CEPH''':<br />
# mkdir -p /var/lib/ceph/mon/ceph-nodeq<br />
# chown ceph:ceph /var/lib/ceph/mon/ceph-nodeq<br />
# chmod 750 /var/lib/ceph/mon/ceph-nodeq<br />
Vamos criar o monitor:<br />
# ceph-mon --mkfs \<br />
-i nodeq \<br />
--monmap /etc/ceph/monmap \<br />
--keyring /etc/ceph/ceph.mon.keyring<br />
<br />
# chown -R ceph: /var/lib/ceph/mon/ceph-nodeq<br />
# chown -R ceph: /etc/ceph/<br />
# chmod 640 /etc/ceph/ceph.mon.keyring<br />
# chmod 640 /etc/ceph/monmap<br />
Este é o momento crucial para que tenhamos mais um monitor no nosso CEPH do Proxmox:<br />
# systemctl enable ceph-mon@nodeq<br />
# systemctl start ceph-mon@nodeq<br />
Precisamos checar se o serviço subiu com o comando: '''systemctl status ceph-mon@nodeq'''<br />
<br />
Se aparecer algo assim então parabéns, até aqui foi tudo OK:<br />
[[Arquivo:Nodeq ceph.png|nenhum|miniaturadaimagem|806x806px]]Volte no Proxmox PVE01 e altere o '''/etc/pve/ceph.conf''' modificando para:<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
E adicionando no final do arquivo:<br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
Agora ativamos, ainda no '''Proxmox PVE01''', o '''msgr2''':<br />
# ceph mon enable-msgr2<br />
No Debian reinicie o serviço:<br />
# systemctl restart ceph-mon@nodeq<br />
No '''Proxmox''' em '''CEPH''' verá um novo Monitor adicionado:<br />
[[Arquivo:Mon ceph.png|nenhum|miniaturadaimagem|598x598px]]<br />
<br />
== Adicionando o OSD no Debian ==<br />
Agora vamos aos procedimentos para usarmos aquele SSD como OSD no CEPH. Vamos supor que o '''SSD livre''' seja o '''/dev/sdb''':<br />
# apt install parted<br />
<br />
# parted /dev/sdb --script mklabel gpt<br />
<br />
# parted /dev/sdb --script \<br />
mkpart primary 0% 100%<br />
Feito isso só precisamos criar o volume CEPH com o comando:<br />
# ceph-volume lvm create --data /dev/sdb1<br />
Se tudo foi bem, nesse momento verá o '''OSD''' no seu '''Cluster Proxmox''':<br />
[[Arquivo:Osd img.png|nenhum|miniaturadaimagem|1234x1234px]]<br />
Olhando a saúde do nosso Cluster veremos:<br />
[[Arquivo:Resultado ceph.png|nenhum|miniaturadaimagem|1235x1235px]]<br />
<br />
== Conclusão ==<br />
Aqui vemos em funcionamento um '''Cluster Proxmox + HA''' com 2 nós apenas e uma máquina Debian servindo como apoio no funcionamento e segurança do Cluster.<br />
<br />
Gostou do artigo? Compartilhe!<br />
<br />
Autor: [[Sobre mim|Marcelo Gondim]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Arquivo:Resultado_ceph.png&diff=1130Arquivo:Resultado ceph.png2026-04-08T23:20:57Z<p>Gondim: </p>
<hr />
<div>resultado_ceph</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Arquivo:Osd_img.png&diff=1129Arquivo:Osd img.png2026-04-08T23:18:52Z<p>Gondim: </p>
<hr />
<div>osd_img</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Arquivo:Mon_ceph.png&diff=1128Arquivo:Mon ceph.png2026-04-08T23:11:34Z<p>Gondim: </p>
<hr />
<div>mon_ceph</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Debian_Cluster_CEPH&diff=1127Debian Cluster CEPH2026-04-08T23:03:43Z<p>Gondim: </p>
<hr />
<div>== Introdução ==<br />
Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um terceiro servidor às vezes ainda não está nos planos mas você tem uma máquina parada, onde você pode adicionar 2 SSDs e com 4G de ram você pode adicionar ela no '''Cluster''' para servir de quorum e de disco '''CEPH'''. Dessa maneira você consegue com 2 servidores '''Proxmox''' e uma máquina que chamei de '''Quorum Device''', colocar em produção um Cluster com HA funcional.<br />
<br />
== Diagrama ==<br />
O diagrama abaixo será o ambiente de exemplo mas não falaremos de como construir um Cluster + HA com Proxmox. Nesse caso você precisará ter os 2 servidores já instalados e configurados em '''Cluster''' com '''CEPH'''. Aqui vamos apenas mostrar como adicionar um Debian GNU/Linux nesse Cluster e no CEPH.<br />
[[Arquivo:Diagrama cluster ceph.png|nenhum|miniaturadaimagem|522x522px]]<br />
<br />
== Pré-requisitos ==<br />
<br />
* Debian GNU/Linux 13 (Trixie).<br />
* Uma máquina com 4G ou 8G de ram.<br />
* 1 SSD para instalar o sistema.<br />
* 1 SSD para servir de '''OSD''' no '''CEPH'''.<br />
*3 interfaces de rede. Uma para o acesso, outra para o '''Cluster''' e outra para o '''CEPH'''. <br />
<br />
== Configurando o Qdevice no Debian ==<br />
Uma vez instalado o Debian, precisamos configurar as 3 interfaces para a comunicação com seu Cluster Proxmox. Por exemplo:<br />
<br />
* ens18 - IP 10.254.254.27/24 GW 10.254.254.1 (essa seria a interface com acesso à Internet para instalar os programas).<br />
* ens19 - IP 192.168.1.3/24 (interface que deve se comunicar com a rede do Cluster, com os IPs dos nodes 192.168.1.1 e 192.168.1.2.<br />
* ens20 - IP 192.168.2.3/24 (interface que se comunica com a rede CEPH, com os IPs 192.168.2.1 e 192.168.2.2.<br />
<br />
Precisamos configurar o serviço SSHD para permitir conexão com root, pois o Proxmox vai precisar acessar o Debian. Para isso altere o arquivo '''/etc/ssh/sshd_config''' o parâmetro abaixo:<br />
PermitRootLogin yes<br />
Reinicie o serviço:<br />
# systemctl restart sshd<br />
No Debian vamos instalar o pacote '''corosync-qnetd''':<br />
# apt install corosync-qnetd<br />
Nos dois servidores Proxmox, no nosso exemplo PVE01 e PVE02 instalaremos o pacote '''corosync-qdevice''':<br />
# apt install corosync-qdevice<br />
Agora vá para o shell do seu '''Proxmox principal''', no meu caso o '''PVE01''' e adicione o Debian ao Cluster com o seguinte comando: <br />
# pvecm qdevice setup 192.168.1.3<br />
Com o comando '''pvecm status''' podemos ver como está o quorum e se tudo ocorreu bem, verá que agora temos 3 votos no lugar de 2 e um '''Qdevice''' no membership:<br />
[[Arquivo:Qdevice.png|nenhum|miniaturadaimagem|748x748px]]<br />
Agora em se tratando de Cluster, você tem o mínimo de votantes para o bom funcionamento e usando uma máquina simples com Debian.<br />
<br />
== Adicionando um CEPH monitor e OSD ==<br />
Agora precisamos tornar nosso '''CEPH''' saudável também e para isso vamos instalar os pacotes do CEPH do Proxmox no Debian. O CEPH precisa ser da mesma versão usada no Cluster Proxmox. Para os meus testes utilizei um '''Cluster Proxmox 9''' no '''PVE01''' e '''PVE02''' que utiliza o '''CEPH Squid 19.2'''. Então vamos adicionar o repositório:<br />
# echo "deb <nowiki>http://download.proxmox.com/debian/ceph-squid</nowiki> trixie no-subscription" > /etc/apt/sources.list.d/ceph.list<br />
# wget <nowiki>https://enterprise.proxmox.com/debian/proxmox-release-trixie.gpg</nowiki> -O /etc/apt/trusted.gpg.d/proxmox-release-trixie.gpg<br />
Instalando os pacotes do CEPH:<br />
# apt update<br />
# apt install ceph ceph-common<br />
Antes de prosseguir adicione no '''/etc/hosts''' do Debian:<br />
192.168.2.1 node1<br />
192.168.2.2 node2<br />
192.168.2.3 nodeq<br />
Estou chamando nosso '''Quorum Device''' com o hostname '''nodeq'''.<br />
<br />
Agora precisaremos executar algumas tarefas no nosso '''PVE01''':<br />
# ceph mon getmap -o /tmp/monmap<br />
<br />
# monmaptool \<br />
--add nodeq 192.168.2.3:6789 \<br />
/tmp/monmap<br />
Vamos checar se adicionamos o '''nodeq''' ao '''monmap''' com o comando: '''monmaptool --print /tmp/monmap'''<br />
[[Arquivo:Monmap.png|nenhum|miniaturadaimagem|677x677px]]<br />
Vamos gerar o '''keyring''' para usarmos no Debian:<br />
# ceph auth get mon. -o /tmp/ceph.mon.keyring<br />
Agora precisamos copiar todos os arquivos necessários do '''PVE01''' para o nosso Debian:<br />
# scp /tmp/monmap root@192.168.2.3:/etc/ceph/<br />
# scp /tmp/ceph.mon.keyring root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/ceph.conf root@192.168.2.3:/etc/ceph/<br />
# scp /etc/pve/priv/ceph.client.admin.keyring root@192.168.2.3:/etc/ceph/<br />
<br />
# scp /var/lib/ceph/bootstrap-osd/ceph.keyring \<br />
root@192.168.2.3:/var/lib/ceph/bootstrap-osd/<br />
'''Atenção''' '''agora''' pois vamos no nosso Debian alterar o arquivo '''/etc/ceph/ceph.conf'''. Primeiro modifique o parâmetro abaixo para incluir o IP '''192.168.2.3''':<br />
mon_host = 192.168.2.1 192.168.2.2 192.168.2.3<br />
Modifique os dois parâmetros abaixo e deixe eles iguais a estes:<pre><br />
[client]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
<br />
[client.crash]<br />
keyring = /etc/ceph/$cluster.$name.keyring<br />
</pre>Adicione no final deste mesmo arquivo a configuração abaixo:<pre><br />
[mon.nodeq]<br />
public_addr = 192.168.2.3<br />
</pre>Ainda no '''Debian''' execute os comandos abaixo para prepararmos o ambiente pro '''CEPH''':<br />
# mkdir -p /var/lib/ceph/mon/ceph-nodeq<br />
# chown ceph:ceph /var/lib/ceph/mon/ceph-nodeq<br />
# chmod 750 /var/lib/ceph/mon/ceph-nodeq<br />
Vamos criar o monitor:<br />
# ceph-mon --mkfs \<br />
-i nodeq \<br />
--monmap /etc/ceph/monmap \<br />
--keyring /etc/ceph/ceph.mon.keyring<br />
<br />
# chown -R ceph: /var/lib/ceph/mon/ceph-nodeq<br />
# chown -R ceph: /etc/ceph/<br />
# chmod 640 /etc/ceph/ceph.mon.keyring<br />
# chmod 640 /etc/ceph/monmap<br />
Este é o momento crucial para que tenhamos mais um monitor no nosso CEPH do Proxmox:<br />
# systemctl enable ceph-mon@nodeq<br />
# systemctl start ceph-mon@nodeq<br />
Precisamos checar se o serviço subiu com o comando: '''systemctl status ceph-mon@nodeq'''<br />
<br />
Se aparecer algo assim então parabéns, até aqui foi tudo OK:<br />
[[Arquivo:Nodeq ceph.png|nenhum|miniaturadaimagem|806x806px]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Arquivo:Nodeq_ceph.png&diff=1126Arquivo:Nodeq ceph.png2026-04-08T23:03:18Z<p>Gondim: </p>
<hr />
<div>nodeq_ceph</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Arquivo:Monmap.png&diff=1125Arquivo:Monmap.png2026-04-08T22:46:47Z<p>Gondim: </p>
<hr />
<div>monmap</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Debian_Cluster_CEPH&diff=1124Debian Cluster CEPH2026-04-08T22:43:49Z<p>Gondim: </p>
<hr />
<div>== Introdução ==<br />
Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um terceiro servidor às vezes ainda não está nos planos mas você tem uma máquina parada, onde você pode adicionar 2 SSDs e com 4G de ram você pode adicionar ela no '''Cluster''' para servir de quorum e de disco '''CEPH'''. Dessa maneira você consegue com 2 servidores '''Proxmox''' e uma máquina que chamei de '''Quorum Device''', colocar em produção um Cluster com HA funcional.<br />
<br />
== Diagrama ==<br />
O diagrama abaixo será o ambiente de exemplo mas não falaremos de como construir um Cluster + HA com Proxmox. Nesse caso você precisará ter os 2 servidores já instalados e configurados em '''Cluster''' com '''CEPH'''. Aqui vamos apenas mostrar como adicionar um Debian GNU/Linux nesse Cluster e no CEPH.<br />
[[Arquivo:Diagrama cluster ceph.png|nenhum|miniaturadaimagem|522x522px]]<br />
<br />
== Pré-requisitos ==<br />
<br />
* Debian GNU/Linux 13 (Trixie).<br />
* Uma máquina com 4G ou 8G de ram.<br />
* 1 SSD para instalar o sistema.<br />
* 1 SSD para servir de '''OSD''' no '''CEPH'''.<br />
*3 interfaces de rede. Uma para o acesso, outra para o '''Cluster''' e outra para o '''CEPH'''. <br />
<br />
== Configurando o Qdevice no Debian ==<br />
Uma vez instalado o Debian, precisamos configurar as 3 interfaces para a comunicação com seu Cluster Proxmox. Por exemplo:<br />
<br />
* ens18 - IP 10.254.254.27/24 GW 10.254.254.1 (essa seria a interface com acesso à Internet para instalar os programas).<br />
* ens19 - IP 192.168.1.3/24 (interface que deve se comunicar com a rede do Cluster, com os IPs dos nodes 192.168.1.1 e 192.168.1.2.<br />
* ens20 - IP 192.168.2.3/24 (interface que se comunica com a rede CEPH, com os IPs 192.168.2.1 e 192.168.2.2.<br />
<br />
Precisamos configurar o serviço SSHD para permitir conexão com root, pois o Proxmox vai precisar acessar o Debian. Para isso altere o arquivo '''/etc/ssh/sshd_config''' o parâmetro abaixo:<br />
PermitRootLogin yes<br />
Reinicie o serviço:<br />
# systemctl restart sshd<br />
No Debian vamos instalar o pacote '''corosync-qnetd''':<br />
# apt install corosync-qnetd<br />
Nos dois servidores Proxmox, no nosso exemplo PVE01 e PVE02 instalaremos o pacote '''corosync-qdevice''':<br />
# apt install corosync-qdevice<br />
Agora vá para o shell do seu '''Proxmox principal''', no meu caso o '''PVE01''' e adicione o Debian ao Cluster com o seguinte comando: <br />
# pvecm qdevice setup 192.168.1.3<br />
Com o comando '''pvecm status''' podemos ver como está o quorum e se tudo ocorreu bem, verá que agora temos 3 votos no lugar de 2 e um '''Qdevice''' no membership:<br />
[[Arquivo:Qdevice.png|nenhum|miniaturadaimagem|748x748px]]<br />
Agora em se tratando de Cluster, você tem o mínimo de votantes para o bom funcionamento e usando uma máquina simples com Debian.<br />
<br />
== Adicionando um CEPH monitor e OSD ==<br />
Agora precisamos tornar nosso '''CEPH''' saudável também e para isso vamos instalar os pacotes do CEPH do Proxmox no Debian. O CEPH precisa ser da mesma versão usada no Cluster Proxmox. Para os meus testes utilizei um '''Cluster Proxmox 9''' no '''PVE01''' e '''PVE02''' que utiliza o '''CEPH Squid 19.2'''. Então vamos adicionar o repositório:<br />
# echo "deb <nowiki>http://download.proxmox.com/debian/ceph-squid</nowiki> trixie no-subscription" > /etc/apt/sources.list.d/ceph.list<br />
# wget <nowiki>https://enterprise.proxmox.com/debian/proxmox-release-trixie.gpg</nowiki> -O /etc/apt/trusted.gpg.d/proxmox-release-trixie.gpg<br />
Instalando os pacotes do CEPH:<br />
# apt update<br />
# apt install ceph ceph-common<br />
Antes de prosseguir adicione no '''/etc/hosts''' do Debian:<br />
192.168.2.1 node1<br />
192.168.2.2 node2<br />
192.168.2.3 nodeq<br />
Estou chamando nosso '''Quorum Device''' com o hostname '''nodeq'''.<br />
<br />
Agora precisaremos executar algumas tarefas no nosso '''PVE01''':<br />
# ceph mon getmap -o /tmp/monmap<br />
<br />
# monmaptool \<br />
--add nodeq 192.168.2.3:6789 \<br />
/tmp/monmap</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Debian_Cluster_CEPH&diff=1123Debian Cluster CEPH2026-04-08T22:32:54Z<p>Gondim: </p>
<hr />
<div>== Introdução ==<br />
Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um terceiro servidor às vezes ainda não está nos planos mas você tem uma máquina parada, onde você pode adicionar 2 SSDs e com 4G de ram você pode adicionar ela no '''Cluster''' para servir de quorum e de disco '''CEPH'''. Dessa maneira você consegue com 2 servidores '''Proxmox''' e uma máquina que chamei de '''Quorum Device''', colocar em produção um Cluster com HA funcional.<br />
<br />
== Diagrama ==<br />
O diagrama abaixo será o ambiente de exemplo mas não falaremos de como construir um Cluster + HA com Proxmox. Nesse caso você precisará ter os 2 servidores já instalados e configurados em '''Cluster''' com '''CEPH'''. Aqui vamos apenas mostrar como adicionar um Debian GNU/Linux nesse Cluster e no CEPH.<br />
[[Arquivo:Diagrama cluster ceph.png|nenhum|miniaturadaimagem|522x522px]]<br />
<br />
== Pré-requisitos ==<br />
<br />
* Debian GNU/Linux 13 (Trixie).<br />
* Uma máquina com 4G ou 8G de ram.<br />
* 1 SSD para instalar o sistema.<br />
* 1 SSD para servir de '''OSD''' no '''CEPH'''.<br />
*3 interfaces de rede. Uma para o acesso, outra para o '''Cluster''' e outra para o '''CEPH'''. <br />
<br />
== Configurando o Qdevice no Debian ==<br />
Uma vez instalado o Debian, precisamos configurar as 3 interfaces para a comunicação com seu Cluster Proxmox. Por exemplo:<br />
<br />
* ens18 - IP 10.254.254.27/24 GW 10.254.254.1 (essa seria a interface com acesso à Internet para instalar os programas).<br />
* ens19 - IP 192.168.1.3/24 (interface que deve se comunicar com a rede do Cluster, com os IPs dos nodes 192.168.1.1 e 192.168.1.2.<br />
* ens20 - IP 192.168.2.3/24 (interface que se comunica com a rede CEPH, com os IPs 192.168.2.1 e 192.168.2.2.<br />
<br />
Precisamos configurar o serviço SSHD para permitir conexão com root, pois o Proxmox vai precisar acessar o Debian. Para isso altere o arquivo '''/etc/ssh/sshd_config''' o parâmetro abaixo:<br />
PermitRootLogin yes<br />
Reinicie o serviço:<br />
# systemctl restart sshd<br />
No Debian vamos instalar o pacote '''corosync-qnetd''':<br />
# apt install corosync-qnetd<br />
Nos dois servidores Proxmox, no nosso exemplo PVE01 e PVE02 instalaremos o pacote '''corosync-qdevice''':<br />
# apt install corosync-qdevice<br />
Agora vá para o shell do seu '''Proxmox principal''', no meu caso o '''PVE01''' e adicione o Debian ao Cluster com o seguinte comando: <br />
# pvecm qdevice setup 192.168.1.3<br />
Com o comando '''pvecm status''' podemos ver como está o quorum e se tudo ocorreu bem, verá que agora temos 3 votos no lugar de 2 e um '''Qdevice''' no membership:<br />
[[Arquivo:Qdevice.png|nenhum|miniaturadaimagem|748x748px]]<br />
Agora em se tratando de Cluster, você tem o mínimo de votantes para o bom funcionamento e usando uma máquina simples com Debian.<br />
<br />
== Adicionando um CEPH monitor e OSD ==</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Arquivo:Qdevice.png&diff=1122Arquivo:Qdevice.png2026-04-08T22:28:18Z<p>Gondim: </p>
<hr />
<div>qdevice</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Debian_Cluster_CEPH&diff=1121Debian Cluster CEPH2026-04-08T22:21:18Z<p>Gondim: </p>
<hr />
<div>== Introdução ==<br />
Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um terceiro servidor às vezes ainda não está nos planos mas você tem uma máquina parada, onde você pode adicionar 2 SSDs e com 4G de ram você pode adicionar ela no '''Cluster''' para servir de quorum e de disco '''CEPH'''. Dessa maneira você consegue com 2 servidores '''Proxmox''' e uma máquina que chamei de '''Quorum Device''', colocar em produção um Cluster com HA funcional.<br />
<br />
== Diagrama ==<br />
O diagrama abaixo será o ambiente de exemplo mas não falaremos de como construir um Cluster + HA com Proxmox. Nesse caso você precisará ter os 2 servidores já instalados e configurados em '''Cluster''' com '''CEPH'''. Aqui vamos apenas mostrar como adicionar um Debian GNU/Linux nesse Cluster e no CEPH.<br />
[[Arquivo:Diagrama cluster ceph.png|nenhum|miniaturadaimagem|522x522px]]<br />
<br />
== Pré-requisitos ==<br />
<br />
* Debian GNU/Linux 13 (Trixie).<br />
* Uma máquina com 4G ou 8G de ram.<br />
* 1 SSD para instalar o sistema.<br />
* 1 SSD para servir de '''OSD''' no '''CEPH'''.<br />
*3 interfaces de rede. Uma para o acesso, outra para o '''Cluster''' e outra para o '''CEPH'''. <br />
<br />
== Configurando o Qdevice no Debian ==<br />
Uma vez instalado o Debian, precisamos configurar as 3 interfaces para a comunicação com seu Cluster Proxmox. Por exemplo:<br />
<br />
* ens18 - IP 10.254.254.27/24 GW 10.254.254.1 (essa seria a interface com acesso à Internet para instalar os programas).<br />
* ens19 - IP 192.168.1.3/24 (interface que deve se comunicar com a rede do Cluster, com os IPs dos nodes 192.168.1.1 e 192.168.1.2.<br />
* ens20 - IP 192.168.2.3/24 (interface que se comunica com a rede CEPH, com os IPs 192.168.2.1 e 192.168.2.2.<br />
<br />
Precisamos configurar o serviço SSHD para permitir conexão com root, pois o Proxmox vai precisar acessar o Debian. Para isso altere o arquivo '''/etc/ssh/sshd_config''' o parâmetro abaixo:<br />
PermitRootLogin yes<br />
Reinicie o serviço:<br />
# systemctl restart sshd</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Debian_Cluster_CEPH&diff=1120Debian Cluster CEPH2026-04-08T22:06:58Z<p>Gondim: Criou página com '== Introdução == Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um...'</p>
<hr />
<div>== Introdução ==<br />
Este artigo tem como foco explicar como adicionar um Debian GNU/Linux em um Proxmox Cluster + HA com 2 nodes. Como muitos sabem, um '''Cluster''' deve ser composto de no '''mínimo 3 nodes''' para que possa dar segurança, existir '''quorum''' e quando usamos '''CEPH''' também precisamos de pelo menos 3 '''OSDs''' para termos uma estabilidade e segurança no sistema. O problema é quando se quer fazer isso com apenas 2 servidores Proxmox. Comprar um terceiro servidor às vezes ainda não está nos planos mas você tem uma máquina parada, onde você pode adicionar 2 SSDs e com 4G de ram você pode adicionar ela no '''Cluster''' para servir de quorum e de disco '''CEPH'''. Dessa maneira você consegue com 2 servidores '''Proxmox''' e uma máquina que chamei de '''Quorum Device''', colocar em produção um Cluster com HA funcional.<br />
<br />
== Diagrama ==<br />
O diagrama abaixo será o ambiente de exemplo mas não falaremos de como construir um Cluster + HA com Proxmox. Nesse caso você precisará ter os 2 servidores já instalados e configurados em '''Cluster''' com '''CEPH'''. Aqui vamos apenas mostrar como adicionar um Debian GNU/Linux nesse Cluster e no CEPH.<br />
[[Arquivo:Diagrama cluster ceph.png|nenhum|miniaturadaimagem|522x522px]]<br />
<br />
== Pré-requisitos ==<br />
<br />
* Debian GNU/Linux 13 (Trixie).<br />
* Uma máquina com 4G ou 8G de ram.<br />
* 1 SSD para instalar o sistema.<br />
* 1 SSD para servir de OSD no CEPH.<br />
*</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Arquivo:Diagrama_cluster_ceph.png&diff=1119Arquivo:Diagrama cluster ceph.png2026-04-08T21:58:17Z<p>Gondim: </p>
<hr />
<div>diagrama_cluster_ceph</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Sobre_mim&diff=1118Sobre mim2026-04-01T20:15:05Z<p>Gondim: </p>
<hr />
<div>=== Marcelo Gondim da Cunha ===<br />
[[Arquivo:Gondim paisagem.jpg|esquerda|miniaturadaimagem]]<br />
'''Contribuições e trabalhos:'''<br />
<br />
* Administração de Sistemas Unix-Like desde 1996.<br />
* Consultor na Conectiva S/A - Unidade Rio em 2000.<br />
* Autor do projeto TuxFrw - https://github.com/gondimcodes/tuxfrw e https://github.com/gondimcodes/tuxfrw-nft<br />
* Administração de sistemas BSD pela FreeBSD Brasil em 2010.<br />
* Direção do AS53135 - Nettel Telecomunicações entre 2003 e 2021 atingindo a marca de 41.000 assinantes. Gerando qualidade na entrega de serviços e implantando boas práticas como: <br />
<br />
a) IPv6.<br />
<br />
b) MANRS.<br />
<br />
c) RPKI.<br />
<br />
d) CPEs com firmware baseada na BCOP <nowiki>https://www.m3aawg.org/sites/default/files/lac-bcop-1-m3aawg-v1-portuguese-final.pdf</nowiki><br />
<br />
* SOC Specialist na Brasil TecPar (AS262907) de 2022 a 2025. Um milhão de clientes. Responsável pelas estratégias de mitigação anti-DDoS atendendo as Operações de RJ, SP, RS, SC, MT e MS. <br />
<br />
'''Palestras ministradas:'''<br />
<br />
* Semana da Informática UERJ 2002 - TuxFrw.<br />
* CONISLI 2003 - TuxFrw.<br />
* CONISLI 2004 - Fazendo compras com Gentoo Linux - Palestra sobre a distribuição Linux e suas ferramentas fantásticas.<br />
* CONISLI 2004 - OpenVPN - Palestra sobre como criar VPNs seguras com OpenVPN e diferenças entre ele e o IPSec.<br />
* CONISLI 2005 - SPoP (Security Point of Presence) com OpenVPN - Como utilizar túneis encriptados do OpenVPN para acessar a Internet de forma segura, onde quer que esteja.<br />
* SECOMP 2005 UNIFEI - TuxFrw.<br />
<br />
* Debconf19 2019 - [https://debconf19.debconf.org/talks/4-debian-na-vida-de-uma-operadora-de-telecom/ Debian na vida de uma operadora de Telecom], [https://www.youtube.com/watch?v=vQSTslUZy8k&list=PLYUtdmpYPTTJDtwgD8AtxzFJ9t_URhFMK&index=35 vídeo] e [https://salsa.debian.org/debconf-team/public/share/debconf19/raw/master/slides/4-debian-na-vida-de-uma-operadora-de-telecom.pdf?inline=false pdf].<br />
<br />
* [https://www.youtube.com/watch?v=5uOFtkplDts FiqueEmCasaUseDebian - CGNAT com NFTables] e [https://www.youtube.com/watch?v=Wz2IAg6MMlU SysAdmin apps].<br />
<br />
'''Artigos desenvolvidos para a comunidade do Brasil Peering Fórum:'''<br />
<br />
* [https://wiki.brasilpeeringforum.org/w/CGNAT_na_pratica CGNAT na pratica].<br />
* [https://wiki.brasilpeeringforum.org/w/Acesso_via_IPv6_Link-Local Acesso via IPv6 Link-Local].<br />
* [https://wiki.brasilpeeringforum.org/w/MANRS MANRS].<br />
* [https://wiki.brasilpeeringforum.org/w/CGNAT_Bulk_Port_Allocation_com_DPDK CGNAT Bulk Port Allocation com DPDK].<br />
* [https://wiki.brasilpeeringforum.org/w/Servidor_de_Logs Servidor de Logs].<br />
* [https://wiki.brasilpeeringforum.org/w/DNS_Recursivo_Anycast_Hyperlocal DNS Anycast com Hyperlocal].<br />
* [https://wiki.brasilpeeringforum.org/w/Portas_de_Amplifica%C3%A7%C3%A3o_DDoS_e_Botnets Portas de Amplificação DDoS e Botnets]<br />
* [https://wiki.brasilpeeringforum.org/w/Static_Loop_-_um_erro_que_pode_matar_seu_ISP/ITP Static Loop - um erro que pode matar seu ISP/ITP]<br />
* [https://wiki.brasilpeeringforum.org/w/Recomenda%C3%A7%C3%B5es_sobre_Mitiga%C3%A7%C3%A3o_DDoS Recomendações sobre Mitigação DDoS]<br />
* [https://wiki.brasilpeeringforum.org/w/Vazamento_de_prefixos_na_mitiga%C3%A7%C3%A3o_DDoS Vazamento de prefixos na mitigação DDoS]<br />
* [https://wiki.brasilpeeringforum.org/w/Identificando_e_neutralizando_uma_Botnet Identificando e neutralizando uma Botnet]<br />
<br />
'''Tutorial:'''<br />
<br />
* [https://bit.ly/2saumHK Segurança de roteamento: MANRS (Mutually Agreed Norms for Routing Security) - Tutoriais NIC.br em 09/12/2019].<br />
<br />
'''[https://www.manrs.org/about/advisory-group/members/ MANRS Advisory Group Member (2020-2021)]'''.<br />
<br />
[https://www.youtube.com/watch?v=oahQkGx8urY '''Live sobre MANRS com Leonardo Furtado'''].<br />
<br />
Criação da Wiki ISPUP! em 24/12/2022.<br />
<br />
'''Semana de Capacitação 6 do NIC.br 28/04/2023''' - "'''CONCEITOS E IMPLEMENTAÇÃO DE CGNAT"'''. Material [https://semanacap.bcp.nic.br/6-online/ aqui] e vídeo aula [https://www.youtube.com/watch?v=1q7J3NkQVSc aqui].<br />
<br />
'''Semana de Capacitação 10 do NIC.br 01/07/2025''' - "'''Teste para padrões técnicos modernos de Internet e segurança: IPv6, DNSSEC, TLS, HTTPS e HSTS'''"'''.''' Material [https://semanacap.bcp.nic.br/semana-de-capacitacao-online-edicao-10-2025/ aqui] e vídeo aula [https://www.youtube.com/watch?v=55RBnGQhi2o aqui].<br />
<br />
'''IX Fórum Regional Sudeste (Rio de Janeiro) 24/10/2025''' com a palestra "'''Segurança com o pé direito'''" pode ser baixada [https://regional.forum.ix.br/files/apresentacao/arquivo/2307/gondim.pdf aqui].<br />
<br />
'''Fórum BCOP-ICANN Edição Especial DNS 19/12/2025''' com o painel "'''DNS em Ação: Como os provedores estão implantando as Boas Práticas"''' com '''apresentação''' [https://forumbcop.nic.br/files/apresentacao/arquivo/2428/DNS_KINDNS_Reduzido.pdf aqui] e vídeo [https://www.youtube.com/live/GnYK9UOLXr4?t=10257s aqui].<br />
<br />
'''Fórum BCOP Fortaleza''' com a palestra: "'''Recomendações de segurança para provedores"''' com apresentação [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2487/Marcelo_Gondim_Recomendacoes_seguranca_provedores.pdf aqui] e vídeo [https://youtu.be/Qjgb7P3cG8k?t=9237 aqui]'''.''' Os arquivos anexos de configuração: [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2489/Marcelo_Gondim_filtros_edge_huawei.pdf filtros_edge_huawei], [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2490/spoofer.pdf spoofer] e [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2491/filtros_bng_huawei.pdf filtros_bng_huawei]. <br />
<br />
'''Moeda recebida pelo NIC.br por contribuir com conhecimento palestrando na Semana de Infraestrutura da Internet no Brasil em 2025:'''<br />
[[Arquivo:Moeda1.jpg|nenhum|miniaturadaimagem|407x407px]]<br />
'''Moeda comemorativa de 5 anos recebida pelo NIC.br em 2025 por contribuir com conhecimento para a Semana de Capacitação e Camada 8:'''<br />
[[Arquivo:Moeda2.jpg|nenhum|miniaturadaimagem|407x407px]]<br />
<br />
'''Moeda IX Fórum Fortaleza 2026:'''<br />
[[Arquivo:Frum-bcop-fortaleza-2026 55178462504 o.jpg|esquerda|miniaturadaimagem|470x470px]]<br />
[[Arquivo:Frum-bcop-fortaleza-2026 55178206816 o.jpg|nenhum|miniaturadaimagem|447x447px]]<br />
<br />
<br />
<br><br />
'''Webinar:'''<br />
<br />
Proteção e Mitigação de ataques DDoS em 10/09/2024 às 20:00 UTC -3. Site da chamada [https://gdg.community.dev/events/details/google-gdg-sinop-presents-webinar-ao-vivo-protecao-e-mitigacao-de-ataques-ddos/ aqui] e o vídeo da live no Youtube [https://www.youtube.com/live/7VIaoDQaLQE aqui].<br />
<br />
'''Podcast:'''<br />
<br />
[https://www.youtube.com/live/x4fxtma4eyQ Segurança de Rede e Infraestrutura para 2025: Preparando os ISPs para o futuro!] <br />
<br />
'''Contatos:'''<br />
<br />
Telegram: '''@Marcelo_Gondim'''<br />
<br />
WhatsApp: +55 (22) 99743-9060<br />
<br />
E-mail: '''gondim at gmail.com'''<br />
<br />
Linkedin: https://www.linkedin.com/in/marcelo-gondim-sysadmin/<br />
<br />
Meu Github: https://github.com/gondimcodes<br />
==Mini-CV==<br />
'''Marcelo Gondim''' começou sua carreira como desenvolvedor de software em COBOL e Clipper entre 1992 e 1995. Em 1996 foi responsável por desenvolver um sistema concorrente com o RENPAC da Embratel para acesso ao SISCOMEX e implantou a Internet para fins comerciais na empresa DATABRAS. Trabalhou como consultor e instrutor de GNU/Linux na Conectiva S/A em 2000. Em 2003 se tornou consultor de diversos Provedores de Internet na Região dos Lagos - RJ e onde acabou se tornando CTO da Nettel Telecomunicações (AS53135) com 42.000 assinantes. Implantou IPv6 iniciando em 2013 e se tornou participante do MANRS com diversas contribuições com artigos e palestras. Trabalhou como Especialista em Redes e SOC (Security Operations Center) na Brasil TecPar AS262907 entre 2022 e 2025, onde implementou boas práticas, tratamentos de incidentes relacionados ao ASN, desenvolveu as estratégias de Mitigação DDoS e uma Rede de DNS Recursivo Anycast espalhada pelo RS, RJ, SP, SC MT e MS, também certificada KINDNS. Fundador da empresa ISPFocus especializada em Tecnologia da Informação e boas práticas para ISPs.</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Sobre_mim&diff=1117Sobre mim2026-04-01T20:14:29Z<p>Gondim: </p>
<hr />
<div>=== Marcelo Gondim da Cunha ===<br />
[[Arquivo:Gondim paisagem.jpg|esquerda|miniaturadaimagem]]<br />
'''Contribuições e trabalhos:'''<br />
<br />
* Administração de Sistemas Unix-Like desde 1996.<br />
* Consultor na Conectiva S/A - Unidade Rio em 2000.<br />
* Autor do projeto TuxFrw - https://github.com/gondimcodes/tuxfrw e https://github.com/gondimcodes/tuxfrw-nft<br />
* Administração de sistemas BSD pela FreeBSD Brasil em 2010.<br />
* Direção do AS53135 - Nettel Telecomunicações entre 2003 e 2021 atingindo a marca de 41.000 assinantes. Gerando qualidade na entrega de serviços e implantando boas práticas como: <br />
<br />
a) IPv6.<br />
<br />
b) MANRS.<br />
<br />
c) RPKI.<br />
<br />
d) CPEs com firmware baseada na BCOP <nowiki>https://www.m3aawg.org/sites/default/files/lac-bcop-1-m3aawg-v1-portuguese-final.pdf</nowiki><br />
<br />
* SOC Specialist na Brasil TecPar (AS262907) de 2022 a 2025. Um milhão de clientes. Responsável pelas estratégias de mitigação anti-DDoS atendendo as Operações de RJ, SP, RS, SC, MT e MS. <br />
<br />
'''Palestras ministradas:'''<br />
<br />
* Semana da Informática UERJ 2002 - TuxFrw.<br />
* CONISLI 2003 - TuxFrw.<br />
* CONISLI 2004 - Fazendo compras com Gentoo Linux - Palestra sobre a distribuição Linux e suas ferramentas fantásticas.<br />
* CONISLI 2004 - OpenVPN - Palestra sobre como criar VPNs seguras com OpenVPN e diferenças entre ele e o IPSec.<br />
* CONISLI 2005 - SPoP (Security Point of Presence) com OpenVPN - Como utilizar túneis encriptados do OpenVPN para acessar a Internet de forma segura, onde quer que esteja.<br />
* SECOMP 2005 UNIFEI - TuxFrw.<br />
<br />
* Debconf19 2019 - [https://debconf19.debconf.org/talks/4-debian-na-vida-de-uma-operadora-de-telecom/ Debian na vida de uma operadora de Telecom], [https://www.youtube.com/watch?v=vQSTslUZy8k&list=PLYUtdmpYPTTJDtwgD8AtxzFJ9t_URhFMK&index=35 vídeo] e [https://salsa.debian.org/debconf-team/public/share/debconf19/raw/master/slides/4-debian-na-vida-de-uma-operadora-de-telecom.pdf?inline=false pdf].<br />
<br />
* [https://www.youtube.com/watch?v=5uOFtkplDts FiqueEmCasaUseDebian - CGNAT com NFTables] e [https://www.youtube.com/watch?v=Wz2IAg6MMlU SysAdmin apps].<br />
<br />
'''Artigos desenvolvidos para a comunidade do Brasil Peering Fórum:'''<br />
<br />
* [https://wiki.brasilpeeringforum.org/w/CGNAT_na_pratica CGNAT na pratica].<br />
* [https://wiki.brasilpeeringforum.org/w/Acesso_via_IPv6_Link-Local Acesso via IPv6 Link-Local].<br />
* [https://wiki.brasilpeeringforum.org/w/MANRS MANRS].<br />
* [https://wiki.brasilpeeringforum.org/w/CGNAT_Bulk_Port_Allocation_com_DPDK CGNAT Bulk Port Allocation com DPDK].<br />
* [https://wiki.brasilpeeringforum.org/w/Servidor_de_Logs Servidor de Logs].<br />
* [https://wiki.brasilpeeringforum.org/w/DNS_Recursivo_Anycast_Hyperlocal DNS Anycast com Hyperlocal].<br />
* [https://wiki.brasilpeeringforum.org/w/Portas_de_Amplifica%C3%A7%C3%A3o_DDoS_e_Botnets Portas de Amplificação DDoS e Botnets]<br />
* [https://wiki.brasilpeeringforum.org/w/Static_Loop_-_um_erro_que_pode_matar_seu_ISP/ITP Static Loop - um erro que pode matar seu ISP/ITP]<br />
* [https://wiki.brasilpeeringforum.org/w/Recomenda%C3%A7%C3%B5es_sobre_Mitiga%C3%A7%C3%A3o_DDoS Recomendações sobre Mitigação DDoS]<br />
* [https://wiki.brasilpeeringforum.org/w/Vazamento_de_prefixos_na_mitiga%C3%A7%C3%A3o_DDoS Vazamento de prefixos na mitigação DDoS]<br />
* [https://wiki.brasilpeeringforum.org/w/Identificando_e_neutralizando_uma_Botnet Identificando e neutralizando uma Botnet]<br />
<br />
'''Tutorial:'''<br />
<br />
* [https://bit.ly/2saumHK Segurança de roteamento: MANRS (Mutually Agreed Norms for Routing Security) - Tutoriais NIC.br em 09/12/2019].<br />
<br />
'''[https://www.manrs.org/about/advisory-group/members/ MANRS Advisory Group Member (2020-2021)]'''.<br />
<br />
[https://www.youtube.com/watch?v=oahQkGx8urY '''Live sobre MANRS com Leonardo Furtado'''].<br />
<br />
Criação da Wiki ISPUP! em 24/12/2022.<br />
<br />
'''Semana de Capacitação 6 do NIC.br 28/04/2023''' - "'''CONCEITOS E IMPLEMENTAÇÃO DE CGNAT"'''. Material [https://semanacap.bcp.nic.br/6-online/ aqui] e vídeo aula [https://www.youtube.com/watch?v=1q7J3NkQVSc aqui].<br />
<br />
'''Semana de Capacitação 10 do NIC.br 01/07/2025''' - "'''Teste para padrões técnicos modernos de Internet e segurança: IPv6, DNSSEC, TLS, HTTPS e HSTS'''"'''.''' Material [https://semanacap.bcp.nic.br/semana-de-capacitacao-online-edicao-10-2025/ aqui] e vídeo aula [https://www.youtube.com/watch?v=55RBnGQhi2o aqui].<br />
<br />
'''IX Fórum Regional Sudeste (Rio de Janeiro) 24/10/2025''' com a palestra "'''Segurança com o pé direito'''" pode ser baixada [https://regional.forum.ix.br/files/apresentacao/arquivo/2307/gondim.pdf aqui].<br />
<br />
'''Fórum BCOP-ICANN Edição Especial DNS 19/12/2025''' com o painel "'''DNS em Ação: Como os provedores estão implantando as Boas Práticas"''' com '''apresentação''' [https://forumbcop.nic.br/files/apresentacao/arquivo/2428/DNS_KINDNS_Reduzido.pdf aqui] e vídeo [https://www.youtube.com/live/GnYK9UOLXr4?t=10257s aqui].<br />
<br />
'''Fórum BCOP Fortaleza''' com a palestra: "'''Recomendações de segurança para provedores"''' com apresentação [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2487/Marcelo_Gondim_Recomendacoes_seguranca_provedores.pdf aqui] e vídeo [https://youtu.be/Qjgb7P3cG8k?t=9237 aqui]'''.''' Os arquivos anexos de configuração: [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2489/Marcelo_Gondim_filtros_edge_huawei.pdf filtros_edge_huawei], [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2490/spoofer.pdf spoofer] e [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2491/filtros_bng_huawei.pdf filtros_bng_huawei]. <br />
<br />
'''Moeda recebida pelo NIC.br por contribuir com conhecimento palestrando na Semana de Infraestrutura da Internet no Brasil em 2025:'''<br />
[[Arquivo:Moeda1.jpg|nenhum|miniaturadaimagem|407x407px]]<br />
'''Moeda comemorativa de 5 anos recebida pelo NIC.br em 2025 por contribuir com conhecimento para a Semana de Capacitação e Camada 8:'''<br />
[[Arquivo:Moeda2.jpg|nenhum|miniaturadaimagem|407x407px]]<br />
<br />
'''Moeda IX Fórum Fortaleza 2026:'''<br />
[[Arquivo:Frum-bcop-fortaleza-2026 55178462504 o.jpg|esquerda|miniaturadaimagem|470x470px]]<br />
[[Arquivo:Frum-bcop-fortaleza-2026 55178206816 o.jpg|nenhum|miniaturadaimagem|447x447px]]<br />
<br />
<br />
<br />
'''Webinar:'''<br />
<br />
Proteção e Mitigação de ataques DDoS em 10/09/2024 às 20:00 UTC -3. Site da chamada [https://gdg.community.dev/events/details/google-gdg-sinop-presents-webinar-ao-vivo-protecao-e-mitigacao-de-ataques-ddos/ aqui] e o vídeo da live no Youtube [https://www.youtube.com/live/7VIaoDQaLQE aqui].<br />
<br />
'''Podcast:'''<br />
<br />
[https://www.youtube.com/live/x4fxtma4eyQ Segurança de Rede e Infraestrutura para 2025: Preparando os ISPs para o futuro!] <br />
<br />
'''Contatos:'''<br />
<br />
Telegram: '''@Marcelo_Gondim'''<br />
<br />
WhatsApp: +55 (22) 99743-9060<br />
<br />
E-mail: '''gondim at gmail.com'''<br />
<br />
Linkedin: https://www.linkedin.com/in/marcelo-gondim-sysadmin/<br />
<br />
Meu Github: https://github.com/gondimcodes<br />
==Mini-CV==<br />
'''Marcelo Gondim''' começou sua carreira como desenvolvedor de software em COBOL e Clipper entre 1992 e 1995. Em 1996 foi responsável por desenvolver um sistema concorrente com o RENPAC da Embratel para acesso ao SISCOMEX e implantou a Internet para fins comerciais na empresa DATABRAS. Trabalhou como consultor e instrutor de GNU/Linux na Conectiva S/A em 2000. Em 2003 se tornou consultor de diversos Provedores de Internet na Região dos Lagos - RJ e onde acabou se tornando CTO da Nettel Telecomunicações (AS53135) com 42.000 assinantes. Implantou IPv6 iniciando em 2013 e se tornou participante do MANRS com diversas contribuições com artigos e palestras. Trabalhou como Especialista em Redes e SOC (Security Operations Center) na Brasil TecPar AS262907 entre 2022 e 2025, onde implementou boas práticas, tratamentos de incidentes relacionados ao ASN, desenvolveu as estratégias de Mitigação DDoS e uma Rede de DNS Recursivo Anycast espalhada pelo RS, RJ, SP, SC MT e MS, também certificada KINDNS. Fundador da empresa ISPFocus especializada em Tecnologia da Informação e boas práticas para ISPs.</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Sobre_mim&diff=1116Sobre mim2026-04-01T20:11:27Z<p>Gondim: </p>
<hr />
<div>=== Marcelo Gondim da Cunha ===<br />
[[Arquivo:Gondim paisagem.jpg|esquerda|miniaturadaimagem]]<br />
'''Contribuições e trabalhos:'''<br />
<br />
* Administração de Sistemas Unix-Like desde 1996.<br />
* Consultor na Conectiva S/A - Unidade Rio em 2000.<br />
* Autor do projeto TuxFrw - https://github.com/gondimcodes/tuxfrw e https://github.com/gondimcodes/tuxfrw-nft<br />
* Administração de sistemas BSD pela FreeBSD Brasil em 2010.<br />
* Direção do AS53135 - Nettel Telecomunicações entre 2003 e 2021 atingindo a marca de 41.000 assinantes. Gerando qualidade na entrega de serviços e implantando boas práticas como: <br />
<br />
a) IPv6.<br />
<br />
b) MANRS.<br />
<br />
c) RPKI.<br />
<br />
d) CPEs com firmware baseada na BCOP <nowiki>https://www.m3aawg.org/sites/default/files/lac-bcop-1-m3aawg-v1-portuguese-final.pdf</nowiki><br />
<br />
* SOC Specialist na Brasil TecPar (AS262907) de 2022 a 2025. Um milhão de clientes. Responsável pelas estratégias de mitigação anti-DDoS atendendo as Operações de RJ, SP, RS, SC, MT e MS. <br />
<br />
'''Palestras ministradas:'''<br />
<br />
* Semana da Informática UERJ 2002 - TuxFrw.<br />
* CONISLI 2003 - TuxFrw.<br />
* CONISLI 2004 - Fazendo compras com Gentoo Linux - Palestra sobre a distribuição Linux e suas ferramentas fantásticas.<br />
* CONISLI 2004 - OpenVPN - Palestra sobre como criar VPNs seguras com OpenVPN e diferenças entre ele e o IPSec.<br />
* CONISLI 2005 - SPoP (Security Point of Presence) com OpenVPN - Como utilizar túneis encriptados do OpenVPN para acessar a Internet de forma segura, onde quer que esteja.<br />
* SECOMP 2005 UNIFEI - TuxFrw.<br />
<br />
* Debconf19 2019 - [https://debconf19.debconf.org/talks/4-debian-na-vida-de-uma-operadora-de-telecom/ Debian na vida de uma operadora de Telecom], [https://www.youtube.com/watch?v=vQSTslUZy8k&list=PLYUtdmpYPTTJDtwgD8AtxzFJ9t_URhFMK&index=35 vídeo] e [https://salsa.debian.org/debconf-team/public/share/debconf19/raw/master/slides/4-debian-na-vida-de-uma-operadora-de-telecom.pdf?inline=false pdf].<br />
<br />
* [https://www.youtube.com/watch?v=5uOFtkplDts FiqueEmCasaUseDebian - CGNAT com NFTables] e [https://www.youtube.com/watch?v=Wz2IAg6MMlU SysAdmin apps].<br />
<br />
'''Artigos desenvolvidos para a comunidade do Brasil Peering Fórum:'''<br />
<br />
* [https://wiki.brasilpeeringforum.org/w/CGNAT_na_pratica CGNAT na pratica].<br />
* [https://wiki.brasilpeeringforum.org/w/Acesso_via_IPv6_Link-Local Acesso via IPv6 Link-Local].<br />
* [https://wiki.brasilpeeringforum.org/w/MANRS MANRS].<br />
* [https://wiki.brasilpeeringforum.org/w/CGNAT_Bulk_Port_Allocation_com_DPDK CGNAT Bulk Port Allocation com DPDK].<br />
* [https://wiki.brasilpeeringforum.org/w/Servidor_de_Logs Servidor de Logs].<br />
* [https://wiki.brasilpeeringforum.org/w/DNS_Recursivo_Anycast_Hyperlocal DNS Anycast com Hyperlocal].<br />
* [https://wiki.brasilpeeringforum.org/w/Portas_de_Amplifica%C3%A7%C3%A3o_DDoS_e_Botnets Portas de Amplificação DDoS e Botnets]<br />
* [https://wiki.brasilpeeringforum.org/w/Static_Loop_-_um_erro_que_pode_matar_seu_ISP/ITP Static Loop - um erro que pode matar seu ISP/ITP]<br />
* [https://wiki.brasilpeeringforum.org/w/Recomenda%C3%A7%C3%B5es_sobre_Mitiga%C3%A7%C3%A3o_DDoS Recomendações sobre Mitigação DDoS]<br />
* [https://wiki.brasilpeeringforum.org/w/Vazamento_de_prefixos_na_mitiga%C3%A7%C3%A3o_DDoS Vazamento de prefixos na mitigação DDoS]<br />
* [https://wiki.brasilpeeringforum.org/w/Identificando_e_neutralizando_uma_Botnet Identificando e neutralizando uma Botnet]<br />
<br />
'''Tutorial:'''<br />
<br />
* [https://bit.ly/2saumHK Segurança de roteamento: MANRS (Mutually Agreed Norms for Routing Security) - Tutoriais NIC.br em 09/12/2019].<br />
<br />
'''[https://www.manrs.org/about/advisory-group/members/ MANRS Advisory Group Member (2020-2021)]'''.<br />
<br />
[https://www.youtube.com/watch?v=oahQkGx8urY '''Live sobre MANRS com Leonardo Furtado'''].<br />
<br />
Criação da Wiki ISPUP! em 24/12/2022.<br />
<br />
'''Semana de Capacitação 6 do NIC.br 28/04/2023''' - "'''CONCEITOS E IMPLEMENTAÇÃO DE CGNAT"'''. Material [https://semanacap.bcp.nic.br/6-online/ aqui] e vídeo aula [https://www.youtube.com/watch?v=1q7J3NkQVSc aqui].<br />
<br />
'''Semana de Capacitação 10 do NIC.br 01/07/2025''' - "'''Teste para padrões técnicos modernos de Internet e segurança: IPv6, DNSSEC, TLS, HTTPS e HSTS'''"'''.''' Material [https://semanacap.bcp.nic.br/semana-de-capacitacao-online-edicao-10-2025/ aqui] e vídeo aula [https://www.youtube.com/watch?v=55RBnGQhi2o aqui].<br />
<br />
'''IX Fórum Regional Sudeste (Rio de Janeiro) 24/10/2025''' com a palestra "'''Segurança com o pé direito'''" pode ser baixada [https://regional.forum.ix.br/files/apresentacao/arquivo/2307/gondim.pdf aqui].<br />
<br />
'''Fórum BCOP-ICANN Edição Especial DNS 19/12/2025''' com o painel "'''DNS em Ação: Como os provedores estão implantando as Boas Práticas"''' com '''apresentação''' [https://forumbcop.nic.br/files/apresentacao/arquivo/2428/DNS_KINDNS_Reduzido.pdf aqui] e vídeo [https://www.youtube.com/live/GnYK9UOLXr4?t=10257s aqui].<br />
<br />
'''Fórum BCOP Fortaleza''' com a palestra: "'''Recomendações de segurança para provedores"''' com apresentação [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2487/Marcelo_Gondim_Recomendacoes_seguranca_provedores.pdf aqui] e vídeo [https://youtu.be/Qjgb7P3cG8k?t=9237 aqui]'''.''' Os arquivos anexos de configuração: [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2489/Marcelo_Gondim_filtros_edge_huawei.pdf filtros_edge_huawei], [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2490/spoofer.pdf spoofer] e [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2491/filtros_bng_huawei.pdf filtros_bng_huawei]. <br />
<br />
'''Moeda recebida pelo NIC.br por contribuir com conhecimento palestrando na Semana de Infraestrutura da Internet no Brasil em 2025:'''<br />
[[Arquivo:Moeda1.jpg|nenhum|miniaturadaimagem|407x407px]]<br />
'''Moeda comemorativa de 5 anos recebida pelo NIC.br em 2025 por contribuir com conhecimento para a Semana de Capacitação e Camada 8:'''<br />
[[Arquivo:Moeda2.jpg|nenhum|miniaturadaimagem|407x407px]]<br />
<br />
'''Moeda IX Fórum Fortaleza 2026:'''<br />
[[Arquivo:Frum-bcop-fortaleza-2026 55178462504 o.jpg|esquerda|miniaturadaimagem|470x470px]]<br />
[[Arquivo:Frum-bcop-fortaleza-2026 55178206816 o.jpg|nenhum|miniaturadaimagem|447x447px]]<br />
<br />
<br />
'''Webinar:'''<br />
<br />
Proteção e Mitigação de ataques DDoS em 10/09/2024 às 20:00 UTC -3. Site da chamada [https://gdg.community.dev/events/details/google-gdg-sinop-presents-webinar-ao-vivo-protecao-e-mitigacao-de-ataques-ddos/ aqui] e o vídeo da live no Youtube [https://www.youtube.com/live/7VIaoDQaLQE aqui].<br />
<br />
'''Podcast:'''<br />
<br />
[https://www.youtube.com/live/x4fxtma4eyQ Segurança de Rede e Infraestrutura para 2025: Preparando os ISPs para o futuro!] <br />
<br />
'''Contatos:'''<br />
<br />
Telegram: '''@Marcelo_Gondim'''<br />
<br />
WhatsApp: +55 (22) 99743-9060<br />
<br />
E-mail: '''gondim at gmail.com'''<br />
<br />
Linkedin: https://www.linkedin.com/in/marcelo-gondim-sysadmin/<br />
<br />
Meu Github: https://github.com/gondimcodes<br />
==Mini-CV==<br />
'''Marcelo Gondim''' começou sua carreira como desenvolvedor de software em COBOL e Clipper entre 1992 e 1995. Em 1996 foi responsável por desenvolver um sistema concorrente com o RENPAC da Embratel para acesso ao SISCOMEX e implantou a Internet para fins comerciais na empresa DATABRAS. Trabalhou como consultor e instrutor de GNU/Linux na Conectiva S/A em 2000. Em 2003 se tornou consultor de diversos Provedores de Internet na Região dos Lagos - RJ e onde acabou se tornando CTO da Nettel Telecomunicações (AS53135) com 42.000 assinantes. Implantou IPv6 iniciando em 2013 e se tornou participante do MANRS com diversas contribuições com artigos e palestras. Trabalhou como Especialista em Redes e SOC (Security Operations Center) na Brasil TecPar AS262907 entre 2022 e 2025, onde implementou boas práticas, tratamentos de incidentes relacionados ao ASN, desenvolveu as estratégias de Mitigação DDoS e uma Rede de DNS Recursivo Anycast espalhada pelo RS, RJ, SP, SC MT e MS, também certificada KINDNS. Fundador da empresa ISPFocus especializada em Tecnologia da Informação e boas práticas para ISPs.</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Sobre_mim&diff=1115Sobre mim2026-04-01T20:05:11Z<p>Gondim: </p>
<hr />
<div>=== Marcelo Gondim da Cunha ===<br />
[[Arquivo:Gondim paisagem.jpg|esquerda|miniaturadaimagem]]<br />
'''Contribuições e trabalhos:'''<br />
<br />
* Administração de Sistemas Unix-Like desde 1996.<br />
* Consultor na Conectiva S/A - Unidade Rio em 2000.<br />
* Autor do projeto TuxFrw - https://github.com/gondimcodes/tuxfrw e https://github.com/gondimcodes/tuxfrw-nft<br />
* Administração de sistemas BSD pela FreeBSD Brasil em 2010.<br />
* Direção do AS53135 - Nettel Telecomunicações entre 2003 e 2021 atingindo a marca de 41.000 assinantes. Gerando qualidade na entrega de serviços e implantando boas práticas como: <br />
<br />
a) IPv6.<br />
<br />
b) MANRS.<br />
<br />
c) RPKI.<br />
<br />
d) CPEs com firmware baseada na BCOP <nowiki>https://www.m3aawg.org/sites/default/files/lac-bcop-1-m3aawg-v1-portuguese-final.pdf</nowiki><br />
<br />
* SOC Specialist na Brasil TecPar (AS262907) de 2022 a 2025. Um milhão de clientes. Responsável pelas estratégias de mitigação anti-DDoS atendendo as Operações de RJ, SP, RS, SC, MT e MS. <br />
<br />
'''Palestras ministradas:'''<br />
<br />
* Semana da Informática UERJ 2002 - TuxFrw.<br />
* CONISLI 2003 - TuxFrw.<br />
* CONISLI 2004 - Fazendo compras com Gentoo Linux - Palestra sobre a distribuição Linux e suas ferramentas fantásticas.<br />
* CONISLI 2004 - OpenVPN - Palestra sobre como criar VPNs seguras com OpenVPN e diferenças entre ele e o IPSec.<br />
* CONISLI 2005 - SPoP (Security Point of Presence) com OpenVPN - Como utilizar túneis encriptados do OpenVPN para acessar a Internet de forma segura, onde quer que esteja.<br />
* SECOMP 2005 UNIFEI - TuxFrw.<br />
<br />
* Debconf19 2019 - [https://debconf19.debconf.org/talks/4-debian-na-vida-de-uma-operadora-de-telecom/ Debian na vida de uma operadora de Telecom], [https://www.youtube.com/watch?v=vQSTslUZy8k&list=PLYUtdmpYPTTJDtwgD8AtxzFJ9t_URhFMK&index=35 vídeo] e [https://salsa.debian.org/debconf-team/public/share/debconf19/raw/master/slides/4-debian-na-vida-de-uma-operadora-de-telecom.pdf?inline=false pdf].<br />
<br />
* [https://www.youtube.com/watch?v=5uOFtkplDts FiqueEmCasaUseDebian - CGNAT com NFTables] e [https://www.youtube.com/watch?v=Wz2IAg6MMlU SysAdmin apps].<br />
<br />
'''Artigos desenvolvidos para a comunidade do Brasil Peering Fórum:'''<br />
<br />
* [https://wiki.brasilpeeringforum.org/w/CGNAT_na_pratica CGNAT na pratica].<br />
* [https://wiki.brasilpeeringforum.org/w/Acesso_via_IPv6_Link-Local Acesso via IPv6 Link-Local].<br />
* [https://wiki.brasilpeeringforum.org/w/MANRS MANRS].<br />
* [https://wiki.brasilpeeringforum.org/w/CGNAT_Bulk_Port_Allocation_com_DPDK CGNAT Bulk Port Allocation com DPDK].<br />
* [https://wiki.brasilpeeringforum.org/w/Servidor_de_Logs Servidor de Logs].<br />
* [https://wiki.brasilpeeringforum.org/w/DNS_Recursivo_Anycast_Hyperlocal DNS Anycast com Hyperlocal].<br />
* [https://wiki.brasilpeeringforum.org/w/Portas_de_Amplifica%C3%A7%C3%A3o_DDoS_e_Botnets Portas de Amplificação DDoS e Botnets]<br />
* [https://wiki.brasilpeeringforum.org/w/Static_Loop_-_um_erro_que_pode_matar_seu_ISP/ITP Static Loop - um erro que pode matar seu ISP/ITP]<br />
* [https://wiki.brasilpeeringforum.org/w/Recomenda%C3%A7%C3%B5es_sobre_Mitiga%C3%A7%C3%A3o_DDoS Recomendações sobre Mitigação DDoS]<br />
* [https://wiki.brasilpeeringforum.org/w/Vazamento_de_prefixos_na_mitiga%C3%A7%C3%A3o_DDoS Vazamento de prefixos na mitigação DDoS]<br />
* [https://wiki.brasilpeeringforum.org/w/Identificando_e_neutralizando_uma_Botnet Identificando e neutralizando uma Botnet]<br />
<br />
'''Tutorial:'''<br />
<br />
* [https://bit.ly/2saumHK Segurança de roteamento: MANRS (Mutually Agreed Norms for Routing Security) - Tutoriais NIC.br em 09/12/2019].<br />
<br />
'''[https://www.manrs.org/about/advisory-group/members/ MANRS Advisory Group Member (2020-2021)]'''.<br />
<br />
[https://www.youtube.com/watch?v=oahQkGx8urY '''Live sobre MANRS com Leonardo Furtado'''].<br />
<br />
Criação da Wiki ISPUP! em 24/12/2022.<br />
<br />
'''Semana de Capacitação 6 do NIC.br 28/04/2023''' - "'''CONCEITOS E IMPLEMENTAÇÃO DE CGNAT"'''. Material [https://semanacap.bcp.nic.br/6-online/ aqui] e vídeo aula [https://www.youtube.com/watch?v=1q7J3NkQVSc aqui].<br />
<br />
'''Semana de Capacitação 10 do NIC.br 01/07/2025''' - "'''Teste para padrões técnicos modernos de Internet e segurança: IPv6, DNSSEC, TLS, HTTPS e HSTS'''"'''.''' Material [https://semanacap.bcp.nic.br/semana-de-capacitacao-online-edicao-10-2025/ aqui] e vídeo aula [https://www.youtube.com/watch?v=55RBnGQhi2o aqui].<br />
<br />
'''IX Fórum Regional Sudeste (Rio de Janeiro) 24/10/2025''' com a palestra "'''Segurança com o pé direito'''" pode ser baixada [https://regional.forum.ix.br/files/apresentacao/arquivo/2307/gondim.pdf aqui].<br />
<br />
'''Fórum BCOP-ICANN Edição Especial DNS 19/12/2025''' com o painel "'''DNS em Ação: Como os provedores estão implantando as Boas Práticas"''' com '''apresentação''' [https://forumbcop.nic.br/files/apresentacao/arquivo/2428/DNS_KINDNS_Reduzido.pdf aqui] e vídeo [https://www.youtube.com/live/GnYK9UOLXr4?t=10257s aqui].<br />
<br />
'''Fórum BCOP Fortaleza''' com a palestra: "'''Recomendações de segurança para provedores"''' com apresentação [https://fortaleza.forumbcop.nic.br/files/apresentacao/arquivo/2487/Marcelo_Gondim_Recomendacoes_seguranca_provedores.pdf aqui] e vídeo [https://youtu.be/Qjgb7P3cG8k?t=9237 aqui]'''.''' Os arquivos anexos de configuração: <br />
<br />
'''Moeda recebida pelo NIC.br por contribuir com conhecimento palestrando na Semana de Infraestrutura da Internet no Brasil em 2025:'''<br />
[[Arquivo:Moeda1.jpg|nenhum|miniaturadaimagem|407x407px]]<br />
'''Moeda comemorativa de 5 anos recebida pelo NIC.br em 2025 por contribuir com conhecimento para a Semana de Capacitação e Camada 8:'''<br />
[[Arquivo:Moeda2.jpg|nenhum|miniaturadaimagem|407x407px]]<br />
<br />
'''Moeda IX Fórum Fortaleza 2026:'''<br />
[[Arquivo:Frum-bcop-fortaleza-2026 55178462504 o.jpg|esquerda|miniaturadaimagem|470x470px]]<br />
[[Arquivo:Frum-bcop-fortaleza-2026 55178206816 o.jpg|nenhum|miniaturadaimagem|447x447px]]<br />
<br />
<br />
'''Webinar:'''<br />
<br />
Proteção e Mitigação de ataques DDoS em 10/09/2024 às 20:00 UTC -3. Site da chamada [https://gdg.community.dev/events/details/google-gdg-sinop-presents-webinar-ao-vivo-protecao-e-mitigacao-de-ataques-ddos/ aqui] e o vídeo da live no Youtube [https://www.youtube.com/live/7VIaoDQaLQE aqui].<br />
<br />
'''Podcast:'''<br />
<br />
[https://www.youtube.com/live/x4fxtma4eyQ Segurança de Rede e Infraestrutura para 2025: Preparando os ISPs para o futuro!] <br />
<br />
'''Contatos:'''<br />
<br />
Telegram: '''@Marcelo_Gondim'''<br />
<br />
WhatsApp: +55 (22) 99743-9060<br />
<br />
E-mail: '''gondim at gmail.com'''<br />
<br />
Linkedin: https://www.linkedin.com/in/marcelo-gondim-sysadmin/<br />
<br />
Meu Github: https://github.com/gondimcodes<br />
==Mini-CV==<br />
'''Marcelo Gondim''' começou sua carreira como desenvolvedor de software em COBOL e Clipper entre 1992 e 1995. Em 1996 foi responsável por desenvolver um sistema concorrente com o RENPAC da Embratel para acesso ao SISCOMEX e implantou a Internet para fins comerciais na empresa DATABRAS. Trabalhou como consultor e instrutor de GNU/Linux na Conectiva S/A em 2000. Em 2003 se tornou consultor de diversos Provedores de Internet na Região dos Lagos - RJ e onde acabou se tornando CTO da Nettel Telecomunicações (AS53135) com 42.000 assinantes. Implantou IPv6 iniciando em 2013 e se tornou participante do MANRS com diversas contribuições com artigos e palestras. Trabalhou como Especialista em Redes e SOC (Security Operations Center) na Brasil TecPar AS262907 entre 2022 e 2025, onde implementou boas práticas, tratamentos de incidentes relacionados ao ASN, desenvolveu as estratégias de Mitigação DDoS e uma Rede de DNS Recursivo Anycast espalhada pelo RS, RJ, SP, SC MT e MS, também certificada KINDNS. Fundador da empresa ISPFocus especializada em Tecnologia da Informação e boas práticas para ISPs.</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Arquivo:Frum-bcop-fortaleza-2026_55178206816_o.jpg&diff=1114Arquivo:Frum-bcop-fortaleza-2026 55178206816 o.jpg2026-04-01T19:21:32Z<p>Gondim: </p>
<hr />
<div>Frum-bcop-fortaleza-2026 55178206816 o</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Arquivo:Frum-bcop-fortaleza-2026_55178462504_o.jpg&diff=1113Arquivo:Frum-bcop-fortaleza-2026 55178462504 o.jpg2026-04-01T19:20:49Z<p>Gondim: </p>
<hr />
<div>Frum-bcop-fortaleza-2026 55178462504 o</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1112Autenticacao TOTP Radius Tacacs Debian2026-02-07T23:23:51Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Banner no SSH ==<br />
Primeiramente é interessante comentar que ter um banner informando que o acesso só é permitido para pessoas autorizadas, é uma boa prática. Então aqui vai um exemplo de banner, basta criar o arquivo '''/etc/ssh/banner''' com o conteúdo abaixo e alterado para o nome da sua Organização e adicionar em '''/etc/ssh/sshd_config''' com o parâmetro: '''Banner''' '''/etc/ssh/banner'''. Na sequência só reiniciar o serviço sshd com: '''systemctl restart sshd'''. <br />
*******************************************************************************<br />
* ISPFocus *<br />
* Este acesso e unica e exclusivamente para pessoas autorizadas. *<br />
* Voce esta prestes a acessar uma area Restrita/Privada, podendo conter *<br />
* informacao confidencial e/ou privilegiada. Este acesso sera monitorado. *<br />
* *<br />
* Se voce nao foi autorizado, desde ja fica notificado de abster-se a *<br />
* divulgar, copiar, distribuir, examinar, de qualquer forma, utilizar a *<br />
* informacao contida neste servidor, por ser ilegal, sujeitando o infrator as *<br />
* penas da lei. *<br />
* *<br />
* Precione <Ctrl-D> se voce NAO foi autorizado. *<br />
*******************************************************************************<br />
*******************************************************************************<br />
* ISPFocus *<br />
* This access is solely and exclusively for authorized personnel. *<br />
* You are about to access a Restricted/Private area, which may contain *<br />
* confidential and/or privileged information. This access will be monitored. *<br />
* *<br />
* If you are not authorized, you are hereby notified to refrain from *<br />
* disclosing, copying, distributing, reviewing, or otherwise using the *<br />
* information contained on this server, as it is illegal and will subject *<br />
* the violator to penalties under the law. *<br />
* *<br />
* Press <Ctrl-D> if you are NOT authorized. *<br />
*******************************************************************************<br />
<br />
== Instalando o Google Authenticator no servidor Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Altere em '''/etc/ssh/sshd''' para que esses parâmetros fiquem assim:<br />
KbdInteractiveAuthentication yes<br />
UsePAM yes<br />
PasswordAuthentication yes<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==<br />
Para essa configuração precisaremos do módulo '''pam_tacplus''' só que ele não está mais presente nos pacotes do Debian. Nesse caso baixaremos o código fonte do '''Github''', compilaremos e instalaremos no '''Debian'''.<br />
<br />
Instalando os pacotes que precisaremos:<br />
# apt install git autoconf build-essential libtool automake libpam-dev libssl-dev gnulib<br />
Baixando do repositório do '''Github''':<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/kravietz/pam_tacplus.git</nowiki><br />
Compilando e instalando o '''pam_tacplus''':<br />
# cd pam-tacplus<br />
# gnulib-tool --makefile-name=Makefile.gnulib --libtool --import fcntl crypto/md5 array-list list xlist getrandom realloc-posix explicit_bzero xalloc getopt-gnu<br />
# autoreconf -f -v -i<br />
# ./configure --libdir=/usr/lib/x86_64-linux-gnu<br />
# make<br />
# make install<br />
O módulo usa o serviço PAP no Tacacs+ para autenticação e por isso precisa configurar no seu servidor Tacacs+. Caso esteja usando um servidor Tacacs+ em um GNU/Linux, precisará definir no arquivo de configuração '''tac_plus.conf''' se o '''pap''' usará usuários criados localmente no servidor pelo '''useradd''' ou se usará usuários no próprio arquivo '''tac_plus.conf'''. Abaixo mostro os 2 exemplos:<br />
user = gondim {<br />
member = cgr<br />
pap = file /etc/passwd<br />
}<br />
Neste exemplo acima o usuário foi criado no servidor Tacacs+ com o comando: '''useradd -s /bin/false <user>''' e depois setada a senha com: '''passwd <user>'''.<br />
<br />
OU<br />
user = gondim {<br />
member = cgr<br />
pap = cleartext <senha_forte><br />
}<br />
Nesse último exemplo você precisará definir a senha do usuário no lugar de '''<senha_forte>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Radius Server ==<br />
Em '''/etc/pam.d/sshd''', comente a linha com '''@include common-auth''' e adicione antes:<br />
auth required pam_radius_auth.so<br />
auth required pam_google_authenticator.so<br />
Nesse momento você poderá testar o '''SSH''' para o seu servidor e verá algo assim:<br />
[[Arquivo:Tela autenticacao2.png|nenhum|miniaturadaimagem|740x740px]]<br />
Primeiro o sistema irá pedir a sua '''senha cadastrada no seu Radius Server''' e depois o seu '''token''' do '''Google Authenticator''' e somente se passar o correto em ambas é que será liberado o acesso.<br />
<br />
Caso necessite que o usuário se torne root utilizando '''sudo''', faça a mesma configuração em '''/etc/pam.d/sudo-i''' e adicione o usuário no '''grupo sudo''' com o comando: '''usermod -aG sudo <user>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Tacacs+ Server ==<br />
Para configurarmos a autenticação usando '''Tacacs+''' e '''Google Authenticator''', faremos a mesma configuração em '''/etc/pam.d/sshd''' e '''/etc/pam.d/sudo-i''' só que um pouco diferente e não esquecer de comentar a linha '''@include common-auth'''.<br />
auth required pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
account required pam_tacplus.so server=10.254.254.6 secret=<senha_forte> service=shell<br />
session required pam_tacplus.so server=10.254.254.6 secret=<senha_forte> service=shell<br />
auth required pam_google_authenticator.so<br />
Acima o parâmetro '''server=''' é o IP do seu servidor '''Tacacs+''' e '''secret=''' é a '''secret key''' utilizada no seu servidor '''Tacacs+'''.<br />
<br />
Gostou deste artigo? Se lhe foi útil compartilhe também com seus colegas este conteúdo. Precisa de configurar um servidor Radius/Tacacs+ para autenticar usuários em seus sistemas e equipamentos? Nos procure em https://ispfocus.net.br ou através do QR Code abaixo.<br />
[[Arquivo:Qrcode ispfocus.png|nenhum|miniaturadaimagem|283x283px]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1111Autenticacao TOTP Radius Tacacs Debian2026-02-07T16:57:43Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Banner no SSH ==<br />
Primeiramente é interessante comentar que ter um banner informando que o acesso só é permitido para pessoas autorizadas, é uma boa prática. Então aqui vai um exemplo de banner, basta criar o arquivo '''/etc/ssh/banner''' com o conteúdo abaixo e alterado para o nome da sua Organização e adicionar em '''/etc/ssh/sshd_config''' com o parâmetro: '''Banner''' '''/etc/ssh/banner'''. Na sequência só reiniciar o serviço sshd com: '''systemctl restart sshd'''. <br />
*******************************************************************************<br />
* ISPFocus *<br />
* Este acesso e unica e exclusivamente para pessoas autorizadas. *<br />
* Voce esta prestes a acessar uma area Restrita/Privada, podendo conter *<br />
* informacao confidencial e/ou privilegiada. Este acesso sera monitorado. *<br />
* *<br />
* Se voce nao foi autorizado, desde ja fica notificado de abster-se a *<br />
* divulgar, copiar, distribuir, examinar, de qualquer forma, utilizar a *<br />
* informacao contida neste servidor, por ser ilegal, sujeitando o infrator as *<br />
* penas da lei. *<br />
* *<br />
* Precione <Ctrl-D> se voce NAO foi autorizado. *<br />
*******************************************************************************<br />
*******************************************************************************<br />
* ISPFocus *<br />
* This access is solely and exclusively for authorized personnel. *<br />
* You are about to access a Restricted/Private area, which may contain *<br />
* confidential and/or privileged information. This access will be monitored. *<br />
* *<br />
* If you are not authorized, you are hereby notified to refrain from *<br />
* disclosing, copying, distributing, reviewing, or otherwise using the *<br />
* information contained on this server, as it is illegal and will subject *<br />
* the violator to penalties under the law. *<br />
* *<br />
* Press <Ctrl-D> if you are NOT authorized. *<br />
*******************************************************************************<br />
<br />
== Instalando o Google Authenticator no servidor Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Altere em '''/etc/ssh/sshd''' para que esses parâmetros fiquem assim:<br />
KbdInteractiveAuthentication yes<br />
UsePAM yes<br />
PasswordAuthentication yes<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==<br />
Para essa configuração precisaremos do módulo '''pam_tacplus''' só que ele não está mais presente nos pacotes do Debian. Nesse caso baixaremos o código fonte do '''Github''', compilaremos e instalaremos no '''Debian'''.<br />
<br />
Instalando os pacotes que precisaremos:<br />
# apt install git autoconf build-essential libtool automake libpam-dev libssl-dev gnulib<br />
Baixando do repositório do '''Github''':<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/kravietz/pam_tacplus.git</nowiki><br />
Compilando e instalando o '''pam_tacplus''':<br />
# cd pam-tacplus<br />
# gnulib-tool --makefile-name=Makefile.gnulib --libtool --import fcntl crypto/md5 array-list list xlist getrandom realloc-posix explicit_bzero xalloc getopt-gnu<br />
# autoreconf -f -v -i<br />
# ./configure --libdir=/usr/lib/x86_64-linux-gnu<br />
# make<br />
# make install<br />
O módulo usa o serviço PAP no Tacacs+ para autenticação e por isso precisa configurar no seu servidor Tacacs+. Caso esteja usando um servidor Tacacs+ em um GNU/Linux, precisará definir no arquivo de configuração '''tac_plus.conf''' se o '''pap''' usará usuários criados localmente no servidor pelo '''useradd''' ou se usará usuários no próprio arquivo '''tac_plus.conf'''. Abaixo mostro os 2 exemplos:<br />
user = gondim {<br />
member = cgr<br />
pap = file /etc/passwd<br />
}<br />
Neste exemplo acima o usuário foi criado no servidor Tacacs+ com o comando: '''useradd -s /bin/false <user>''' e depois setada a senha com: '''passwd <user>'''.<br />
<br />
OU<br />
user = gondim {<br />
member = cgr<br />
pap = cleartext <senha_forte><br />
}<br />
Nesse último exemplo você precisará definir a senha do usuário no lugar de '''<senha_forte>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Radius Server ==<br />
Em '''/etc/pam.d/sshd''', comente a linha com '''@include common-auth''' e adicione antes:<br />
auth required pam_radius_auth.so<br />
auth required pam_google_authenticator.so<br />
Nesse momento você poderá testar o '''SSH''' para o seu servidor e verá algo assim:<br />
[[Arquivo:Tela autenticacao2.png|nenhum|miniaturadaimagem|740x740px]]<br />
Primeiro o sistema irá pedir a sua '''senha cadastrada no seu Radius Server''' e depois o seu '''token''' do '''Google Authenticator''' e somente se passar o correto em ambas é que será liberado o acesso.<br />
<br />
Caso necessite que o usuário se torne root utilizando '''sudo''', faça a mesma configuração em '''/etc/pam.d/sudo-i''' e adicione o usuário no '''grupo sudo''' com o comando: '''usermod -aG sudo <user>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Tacacs+ Server ==<br />
Para configurarmos a autenticação usando '''Tacacs+''' e '''Google Authenticator''', faremos a mesma configuração em '''/etc/pam.d/sshd''' e '''/etc/pam.d/sudo-i''' só que um pouco diferente e não esquecer de comentar a linha '''@include common-auth'''.<br />
auth required pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
account sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte> service=shell<br />
session sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte> service=shell<br />
auth required pam_google_authenticator.so<br />
Acima o parâmetro '''server=''' é o IP do seu servidor '''Tacacs+''' e '''secret=''' é a '''secret key''' utilizada no seu servidor '''Tacacs+'''.<br />
<br />
Gostou deste artigo? Se lhe foi útil compartilhe também com seus colegas este conteúdo. Precisa de configurar um servidor Radius/Tacacs+ para autenticar usuários em seus sistemas e equipamentos? Nos procure em https://ispfocus.net.br ou através do QR Code abaixo.<br />
[[Arquivo:Qrcode ispfocus.png|nenhum|miniaturadaimagem|283x283px]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1110Autenticacao TOTP Radius Tacacs Debian2026-02-07T16:53:21Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Banner no SSH ==<br />
Primeiramente é interessante comentar que ter um banner informando que o acesso só é permitido para pessoas autorizadas, é uma boa prática. Então aqui vai um exemplo de banner, basta criar o arquivo '''/etc/ssh/banner''' com o conteúdo abaixo e alterado para o nome da sua Organização e adicionar em '''/etc/ssh/sshd_config''' com o parâmetro: '''Banner''' '''/etc/ssh/banner'''. Na sequência só reiniciar o serviço sshd com: '''systemctl restart sshd'''. <br />
*******************************************************************************<br />
* ISPFocus *<br />
* Este acesso e unica e exclusivamente para pessoas autorizadas. *<br />
* Voce esta prestes a acessar uma area Restrita/Privada, podendo conter *<br />
* informacao confidencial e/ou privilegiada. Este acesso sera monitorado. *<br />
* *<br />
* Se voce nao foi autorizado, desde ja fica notificado de abster-se a *<br />
* divulgar, copiar, distribuir, examinar, de qualquer forma, utilizar a *<br />
* informacao contida neste servidor, por ser ilegal, sujeitando o infrator as *<br />
* penas da lei. *<br />
* *<br />
* Precione <Ctrl-D> se voce NAO foi autorizado. *<br />
*******************************************************************************<br />
*******************************************************************************<br />
* ISPFocus *<br />
* This access is solely and exclusively for authorized personnel. *<br />
* You are about to access a Restricted/Private area, which may contain *<br />
* confidential and/or privileged information. This access will be monitored. *<br />
* *<br />
* If you are not authorized, you are hereby notified to refrain from *<br />
* disclosing, copying, distributing, reviewing, or otherwise using the *<br />
* information contained on this server, as it is illegal and will subject *<br />
* the violator to penalties under the law. *<br />
* *<br />
* Press <Ctrl-D> if you are NOT authorized. *<br />
*******************************************************************************<br />
<br />
== Instalando o Google Authenticator no servidor Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Altere em '''/etc/ssh/sshd''' para que esses parâmetros fiquem assim:<br />
KbdInteractiveAuthentication yes<br />
UsePAM yes<br />
PasswordAuthentication yes<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==<br />
Para essa configuração precisaremos do módulo '''pam_tacplus''' só que ele não está mais presente nos pacotes do Debian. Nesse caso baixaremos o código fonte do '''Github''', compilaremos e instalaremos no '''Debian'''.<br />
<br />
Instalando os pacotes que precisaremos:<br />
# apt install git autoconf build-essential libtool automake libpam-dev libssl-dev gnulib<br />
Baixando do repositório do '''Github''':<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/kravietz/pam_tacplus.git</nowiki><br />
Compilando e instalando o '''pam_tacplus''':<br />
# cd pam-tacplus<br />
# gnulib-tool --makefile-name=Makefile.gnulib --libtool --import fcntl crypto/md5 array-list list xlist getrandom realloc-posix explicit_bzero xalloc getopt-gnu<br />
# autoreconf -f -v -i<br />
# ./configure --libdir=/usr/lib/x86_64-linux-gnu<br />
# make<br />
# make install<br />
O módulo usa o serviço PAP no Tacacs+ para autenticação e por isso precisa configurar no seu servidor Tacacs+. Caso esteja usando um servidor Tacacs+ em um GNU/Linux, precisará definir no arquivo de configuração '''tac_plus.conf''' se o '''pap''' usará usuários criados localmente no servidor pelo '''useradd''' ou se usará usuários no próprio arquivo '''tac_plus.conf'''. Abaixo mostro os 2 exemplos:<br />
user = gondim {<br />
member = cgr<br />
pap = file /etc/passwd<br />
}<br />
Neste exemplo acima o usuário foi criado no servidor Tacacs+ com o comando: '''useradd -s /bin/false <user>''' e depois setada a senha com: '''passwd <user>'''.<br />
<br />
OU<br />
user = gondim {<br />
member = cgr<br />
pap = cleartext <senha_forte><br />
}<br />
Nesse último exemplo você precisará definir a senha do usuário no lugar de '''<senha_forte>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Radius Server ==<br />
Em '''/etc/pam.d/sshd''', comente a linha com '''@include common-auth''' e adicione antes:<br />
auth required pam_radius_auth.so<br />
auth required pam_google_authenticator.so<br />
Nesse momento você poderá testar o '''SSH''' para o seu servidor e verá algo assim:<br />
[[Arquivo:Tela autenticacao2.png|nenhum|miniaturadaimagem|740x740px]]<br />
Primeiro o sistema irá pedir a sua '''senha cadastrada no seu Radius Server''' e depois o seu '''token''' do '''Google Authenticator''' e somente se passar o correto em ambas é que será liberado o acesso.<br />
<br />
Caso necessite que o usuário se torne root utilizando '''sudo''', faça a mesma configuração em '''/etc/pam.d/sudo-i''' e adicione o usuário no '''grupo sudo''' com o comando: '''usermod -aG sudo <user>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Tacacs+ Server ==<br />
Para configurarmos a autenticação usando '''Tacacs+''' e '''Google Authenticator''', faremos a mesma configuração em '''/etc/pam.d/sshd''' e '''/etc/pam.d/sudo-i''' só que um pouco diferente e não esquecer de comentar a linha '''@include common-auth'''.<br />
auth required pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
auth required pam_google_authenticator.so<br />
account sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte> service=shell<br />
session sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte> service=shell<br />
Acima o parâmetro '''server=''' é o IP do seu servidor '''Tacacs+''' e '''secret=''' é a '''secret key''' utilizada no seu servidor '''Tacacs+'''.<br />
<br />
Gostou deste artigo? Se lhe foi útil compartilhe também com seus colegas este conteúdo. Precisa de configurar um servidor Radius/Tacacs+ para autenticar usuários em seus sistemas e equipamentos? Nos procure em https://ispfocus.net.br ou através do QR Code abaixo.<br />
[[Arquivo:Qrcode ispfocus.png|nenhum|miniaturadaimagem|283x283px]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1109Autenticacao TOTP Radius Tacacs Debian2026-02-06T16:14:30Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Banner no SSH ==<br />
Primeiramente é interessante comentar que ter um banner informando que o acesso só é permitido para pessoas autorizadas, é uma boa prática. Então aqui vai um exemplo de banner, basta criar o arquivo '''/etc/ssh/banner''' com o conteúdo abaixo e alterado para o nome da sua Organização e adicionar em '''/etc/ssh/sshd_config''' com o parâmetro: '''Banner''' '''/etc/ssh/banner'''. Na sequência só reiniciar o serviço sshd com: '''systemctl restart sshd'''. <br />
*******************************************************************************<br />
* ISPFocus *<br />
* Este acesso e unica e exclusivamente para pessoas autorizadas. *<br />
* Voce esta prestes a acessar uma area Restrita/Privada, podendo conter *<br />
* informacao confidencial e/ou privilegiada. Este acesso sera monitorado. *<br />
* *<br />
* Se voce nao foi autorizado, desde ja fica notificado de abster-se a *<br />
* divulgar, copiar, distribuir, examinar, de qualquer forma, utilizar a *<br />
* informacao contida neste servidor, por ser ilegal, sujeitando o infrator as *<br />
* penas da lei. *<br />
* *<br />
* Precione <Ctrl-D> se voce NAO foi autorizado. *<br />
*******************************************************************************<br />
*******************************************************************************<br />
* ISPFocus *<br />
* This access is solely and exclusively for authorized personnel. *<br />
* You are about to access a Restricted/Private area, which may contain *<br />
* confidential and/or privileged information. This access will be monitored. *<br />
* *<br />
* If you are not authorized, you are hereby notified to refrain from *<br />
* disclosing, copying, distributing, reviewing, or otherwise using the *<br />
* information contained on this server, as it is illegal and will subject *<br />
* the violator to penalties under the law. *<br />
* *<br />
* Press <Ctrl-D> if you are NOT authorized. *<br />
*******************************************************************************<br />
<br />
== Instalando o Google Authenticator no servidor Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Altere em '''/etc/ssh/sshd''' para que esses parâmetros fiquem assim:<br />
KbdInteractiveAuthentication yes<br />
UsePAM yes<br />
PasswordAuthentication yes<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==<br />
Para essa configuração precisaremos do módulo '''pam_tacplus''' só que ele não está mais presente nos pacotes do Debian. Nesse caso baixaremos o código fonte do '''Github''', compilaremos e instalaremos no '''Debian'''.<br />
<br />
Instalando os pacotes que precisaremos:<br />
# apt install git autoconf build-essential libtool automake libpam-dev libssl-dev gnulib<br />
Baixando do repositório do '''Github''':<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/kravietz/pam_tacplus.git</nowiki><br />
Compilando e instalando o '''pam_tacplus''':<br />
# cd pam-tacplus<br />
# gnulib-tool --makefile-name=Makefile.gnulib --libtool --import fcntl crypto/md5 array-list list xlist getrandom realloc-posix explicit_bzero xalloc getopt-gnu<br />
# autoreconf -f -v -i<br />
# ./configure --libdir=/usr/lib/x86_64-linux-gnu<br />
# make<br />
# make install<br />
O módulo usa o serviço PAP no Tacacs+ para autenticação e por isso precisa configurar no seu servidor Tacacs+. Caso esteja usando um servidor Tacacs+ em um GNU/Linux, precisará definir no arquivo de configuração '''tac_plus.conf''' se o '''pap''' usará usuários criados localmente no servidor pelo '''useradd''' ou se usará usuários no próprio arquivo '''tac_plus.conf'''. Abaixo mostro os 2 exemplos:<br />
user = gondim {<br />
member = cgr<br />
pap = file /etc/passwd<br />
}<br />
Neste exemplo acima o usuário foi criado no servidor Tacacs+ com o comando: '''useradd -s /bin/false <user>''' e depois setada a senha com: '''passwd <user>'''.<br />
<br />
OU<br />
user = gondim {<br />
member = cgr<br />
pap = cleartext <senha_forte><br />
}<br />
Nesse último exemplo você precisará definir a senha do usuário no lugar de '''<senha_forte>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Radius Server ==<br />
Em '''/etc/pam.d/sshd''', comente a linha com '''@include common-auth''' e adicione antes:<br />
auth required pam_radius_auth.so<br />
auth required pam_google_authenticator.so<br />
Nesse momento você poderá testar o '''SSH''' para o seu servidor e verá algo assim:<br />
[[Arquivo:Tela autenticacao2.png|nenhum|miniaturadaimagem|740x740px]]<br />
Primeiro o sistema irá pedir a sua '''senha cadastrada no seu Radius Server''' e depois o seu '''token''' do '''Google Authenticator''' e somente se passar o correto em ambas é que será liberado o acesso.<br />
<br />
Caso necessite que o usuário se torne root utilizando '''sudo''', faça a mesma configuração em '''/etc/pam.d/sudo-i''' e adicione o usuário no '''grupo sudo''' com o comando: '''usermod -aG sudo <user>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Tacacs+ Server ==<br />
Para configurarmos a autenticação usando '''Tacacs+''' e '''Google Authenticator''', faremos a mesma configuração em '''/etc/pam.d/sshd''' e '''/etc/pam.d/sudo-i''' só que um pouco diferente e não esquecer de comentar a linha '''@include common-auth'''.<br />
auth required pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
auth required pam_google_authenticator.so<br />
Acima o parâmetro '''server=''' é o IP do seu servidor '''Tacacs+''' e '''secret=''' é a '''secret key''' utilizada no seu servidor '''Tacacs+'''.<br />
<br />
Gostou deste artigo? Se lhe foi útil compartilhe também com seus colegas este conteúdo. Precisa de configurar um servidor Radius/Tacacs+ para autenticar usuários em seus sistemas e equipamentos? Nos procure em https://ispfocus.net.br ou através do QR Code abaixo.<br />
[[Arquivo:Qrcode ispfocus.png|nenhum|miniaturadaimagem|283x283px]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1108Autenticacao TOTP Radius Tacacs Debian2026-02-06T16:13:00Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Banner no SSH ==<br />
Primeiramente é interessante comentar que ter um banner informando que o acesso só é permitido para pessoas autorizadas, é uma boa prática. Então aqui vai um exemplo de banner, basta criar o arquivo '''/etc/ssh/banner''' com o conteúdo abaixo e alterado para o nome da sua Organização e adicionar em '''/etc/ssh/sshd_config''' com o parâmetro: '''Banner''' '''/etc/ssh/banner'''. Na sequência só reiniciar o serviço sshd com: '''systemctl restart sshd'''. <br />
*******************************************************************************<br />
* ISPFocus *<br />
* Este acesso e unica e exclusivamente para pessoas autorizadas. *<br />
* Voce esta prestes a acessar uma area Restrita/Privada, podendo conter *<br />
* informacao confidencial e/ou privilegiada. Este acesso sera monitorado. *<br />
* *<br />
* Se voce nao foi autorizado, desde ja fica notificado de abster-se a *<br />
* divulgar, copiar, distribuir, examinar, de qualquer forma, utilizar a *<br />
* informacao contida neste servidor, por ser ilegal, sujeitando o infrator as *<br />
* penas da lei. *<br />
* *<br />
* Precione <Ctrl-D> se voce NAO foi autorizado. *<br />
*******************************************************************************<br />
*******************************************************************************<br />
* ISPFocus *<br />
* This access is solely and exclusively for authorized personnel. *<br />
* You are about to access a Restricted/Private area, which may contain *<br />
* confidential and/or privileged information. This access will be monitored. *<br />
* *<br />
* If you are not authorized, you are hereby notified to refrain from *<br />
* disclosing, copying, distributing, reviewing, or otherwise using the *<br />
* information contained on this server, as it is illegal and will subject *<br />
* the violator to penalties under the law. *<br />
* *<br />
* Press <Ctrl-D> if you are NOT authorized. *<br />
*******************************************************************************<br />
<br />
== Instalando o Google Authenticator no servidor Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Altere em '''/etc/ssh/sshd''' para que esses parâmetros fiquem assim:<br />
KbdInteractiveAuthentication yes<br />
UsePAM yes<br />
PasswordAuthentication yes<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==<br />
Para essa configuração precisaremos do módulo '''pam_tacplus''' só que ele não está mais presente nos pacotes do Debian. Nesse caso baixaremos o código fonte do '''Github''', compilaremos e instalaremos no '''Debian'''.<br />
<br />
Instalando os pacotes que precisaremos:<br />
# apt install git autoconf build-essential libtool automake libpam-dev libssl-dev gnulib<br />
Baixando do repositório do '''Github''':<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/kravietz/pam_tacplus.git</nowiki><br />
Compilando e instalando o '''pam_tacplus''':<br />
# cd pam-tacplus<br />
# gnulib-tool --makefile-name=Makefile.gnulib --libtool --import fcntl crypto/md5 array-list list xlist getrandom realloc-posix explicit_bzero xalloc getopt-gnu<br />
# autoreconf -f -v -i<br />
# ./configure --libdir=/usr/lib/x86_64-linux-gnu<br />
# make<br />
# make install<br />
O módulo usa o serviço PAP no Tacacs+ para autenticação e por isso precisa configurar no seu servidor Tacacs+. Caso esteja usando um servidor Tacacs+ em um GNU/Linux, precisará definir no arquivo de configuração '''tac_plus.conf''' se o '''pap''' usará usuários criados localmente no servidor pelo '''useradd''' ou se usará usuários no próprio arquivo '''tac_plus.conf'''. Abaixo mostro os 2 exemplos:<br />
user = gondim {<br />
member = cgr<br />
pap = file /etc/passwd<br />
}<br />
Neste exemplo acima o usuário foi criado no servidor Tacacs+ com o comando: '''useradd -s /bin/false <user>''' e depois setada a senha com: '''passwd <user>'''.<br />
<br />
OU<br />
user = gondim {<br />
member = cgr<br />
pap = cleartext <senha_forte><br />
}<br />
Nesse último exemplo você precisará definir a senha do usuário no lugar de '''<senha_forte>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Radius Server ==<br />
Em '''/etc/pam.d/sshd''', comente a linha com '''@include common-auth''' e adicione antes:<br />
auth required pam_radius_auth.so<br />
auth required pam_google_authenticator.so<br />
Nesse momento você poderá testar o '''SSH''' para o seu servidor e verá algo assim:<br />
[[Arquivo:Tela autenticacao2.png|nenhum|miniaturadaimagem|740x740px]]<br />
Primeiro o sistema irá pedir seu '''token''' do '''Google Authenticator''' e somente se passar o correto é que será solicitada a '''senha cadastrada no seu Radius Server'''.<br />
<br />
Caso necessite que o usuário se torne root utilizando '''sudo''', faça a mesma configuração em '''/etc/pam.d/sudo-i''' e adicione o usuário no '''grupo sudo''' com o comando: '''usermod -aG sudo <user>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Tacacs+ Server ==<br />
Para configurarmos a autenticação usando '''Tacacs+''' e '''Google Authenticator''', faremos a mesma configuração em '''/etc/pam.d/sshd''' e '''/etc/pam.d/sudo-i''' só que um pouco diferente e não esquecer de comentar a linha '''@include common-auth'''.<br />
auth required pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
auth required pam_google_authenticator.so<br />
Acima o parâmetro '''server=''' é o IP do seu servidor '''Tacacs+''' e '''secret=''' é a '''secret key''' utilizada no seu servidor '''Tacacs+'''.<br />
<br />
Gostou deste artigo? Se lhe foi útil compartilhe também com seus colegas este conteúdo. Precisa de configurar um servidor Radius/Tacacs+ para autenticar usuários em seus sistemas e equipamentos? Nos procure em https://ispfocus.net.br ou através do QR Code abaixo.<br />
[[Arquivo:Qrcode ispfocus.png|nenhum|miniaturadaimagem|283x283px]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Arquivo:Tela_autenticacao2.png&diff=1107Arquivo:Tela autenticacao2.png2026-02-06T16:11:55Z<p>Gondim: </p>
<hr />
<div></div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1104Autenticacao TOTP Radius Tacacs Debian2026-02-06T15:58:52Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Banner no SSH ==<br />
Primeiramente é interessante comentar que ter um banner informando que o acesso só é permitido para pessoas autorizadas, é uma boa prática. Então aqui vai um exemplo de banner, basta criar o arquivo '''/etc/ssh/banner''' com o conteúdo abaixo e alterado para o nome da sua Organização e adicionar em '''/etc/ssh/sshd_config''' com o parâmetro: '''Banner''' '''/etc/ssh/banner'''. Na sequência só reiniciar o serviço sshd com: '''systemctl restart sshd'''. <br />
*******************************************************************************<br />
* ISPFocus *<br />
* Este acesso e unica e exclusivamente para pessoas autorizadas. *<br />
* Voce esta prestes a acessar uma area Restrita/Privada, podendo conter *<br />
* informacao confidencial e/ou privilegiada. Este acesso sera monitorado. *<br />
* *<br />
* Se voce nao foi autorizado, desde ja fica notificado de abster-se a *<br />
* divulgar, copiar, distribuir, examinar, de qualquer forma, utilizar a *<br />
* informacao contida neste servidor, por ser ilegal, sujeitando o infrator as *<br />
* penas da lei. *<br />
* *<br />
* Precione <Ctrl-D> se voce NAO foi autorizado. *<br />
*******************************************************************************<br />
*******************************************************************************<br />
* ISPFocus *<br />
* This access is solely and exclusively for authorized personnel. *<br />
* You are about to access a Restricted/Private area, which may contain *<br />
* confidential and/or privileged information. This access will be monitored. *<br />
* *<br />
* If you are not authorized, you are hereby notified to refrain from *<br />
* disclosing, copying, distributing, reviewing, or otherwise using the *<br />
* information contained on this server, as it is illegal and will subject *<br />
* the violator to penalties under the law. *<br />
* *<br />
* Press <Ctrl-D> if you are NOT authorized. *<br />
*******************************************************************************<br />
<br />
== Instalando o Google Authenticator no servidor Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Altere em '''/etc/ssh/sshd''' para que esses parâmetros fiquem assim:<br />
KbdInteractiveAuthentication yes<br />
UsePAM yes<br />
PasswordAuthentication yes<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==<br />
Para essa configuração precisaremos do módulo '''pam_tacplus''' só que ele não está mais presente nos pacotes do Debian. Nesse caso baixaremos o código fonte do '''Github''', compilaremos e instalaremos no '''Debian'''.<br />
<br />
Instalando os pacotes que precisaremos:<br />
# apt install git autoconf build-essential libtool automake libpam-dev libssl-dev gnulib<br />
Baixando do repositório do '''Github''':<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/kravietz/pam_tacplus.git</nowiki><br />
Compilando e instalando o '''pam_tacplus''':<br />
# cd pam-tacplus<br />
# gnulib-tool --makefile-name=Makefile.gnulib --libtool --import fcntl crypto/md5 array-list list xlist getrandom realloc-posix explicit_bzero xalloc getopt-gnu<br />
# autoreconf -f -v -i<br />
# ./configure --libdir=/usr/lib/x86_64-linux-gnu<br />
# make<br />
# make install<br />
O módulo usa o serviço PAP no Tacacs+ para autenticação e por isso precisa configurar no seu servidor Tacacs+. Caso esteja usando um servidor Tacacs+ em um GNU/Linux, precisará definir no arquivo de configuração '''tac_plus.conf''' se o '''pap''' usará usuários criados localmente no servidor pelo '''useradd''' ou se usará usuários no próprio arquivo '''tac_plus.conf'''. Abaixo mostro os 2 exemplos:<br />
user = gondim {<br />
member = cgr<br />
pap = file /etc/passwd<br />
}<br />
Neste exemplo acima o usuário foi criado no servidor Tacacs+ com o comando: '''useradd -s /bin/false <user>''' e depois setada a senha com: '''passwd <user>'''.<br />
<br />
OU<br />
user = gondim {<br />
member = cgr<br />
pap = cleartext <senha_forte><br />
}<br />
Nesse último exemplo você precisará definir a senha do usuário no lugar de '''<senha_forte>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Radius Server ==<br />
Em '''/etc/pam.d/sshd''', comente a linha com '''@include common-auth''' e adicione antes:<br />
auth required pam_radius_auth.so<br />
auth required pam_google_authenticator.so<br />
Nesse momento você poderá testar o '''SSH''' para o seu servidor e verá algo assim:<br />
[[Arquivo:Tela autenticacao.png|nenhum|miniaturadaimagem|740x740px]]<br />
Primeiro o sistema irá pedir seu '''token''' do '''Google Authenticator''' e somente se passar o correto é que será solicitada a '''senha cadastrada no seu Radius Server'''.<br />
<br />
Caso necessite que o usuário se torne root utilizando '''sudo''', faça a mesma configuração em '''/etc/pam.d/sudo-i''' e adicione o usuário no '''grupo sudo''' com o comando: '''usermod -aG sudo <user>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Tacacs+ Server ==<br />
Para configurarmos a autenticação usando '''Tacacs+''' e '''Google Authenticator''', faremos a mesma configuração em '''/etc/pam.d/sshd''' e '''/etc/pam.d/sudo-i''' só que um pouco diferente e não esquecer de comentar a linha '''@include common-auth'''.<br />
auth required pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
auth required pam_google_authenticator.so<br />
Acima o parâmetro '''server=''' é o IP do seu servidor '''Tacacs+''' e '''secret=''' é a '''secret key''' utilizada no seu servidor '''Tacacs+'''.<br />
<br />
Gostou deste artigo? Se lhe foi útil compartilhe também com seus colegas este conteúdo. Precisa de configurar um servidor Radius/Tacacs+ para autenticar usuários em seus sistemas e equipamentos? Nos procure em https://ispfocus.net.br ou através do QR Code abaixo.<br />
[[Arquivo:Qrcode ispfocus.png|nenhum|miniaturadaimagem|283x283px]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1103Autenticacao TOTP Radius Tacacs Debian2026-02-06T15:31:23Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Banner no SSH ==<br />
Primeiramente é interessante comentar que ter um banner informando que o acesso só é permitido para pessoas autorizadas, é uma boa prática. Então aqui vai um exemplo de banner, basta criar o arquivo '''/etc/ssh/banner''' com o conteúdo abaixo e alterado para o nome da sua Organização e adicionar em '''/etc/ssh/sshd_config''' com o parâmetro: '''Banner''' '''/etc/ssh/banner'''. Na sequência só reiniciar o serviço sshd com: '''systemctl restart sshd'''. <br />
*******************************************************************************<br />
* ISPFocus *<br />
* Este acesso e unica e exclusivamente para pessoas autorizadas. *<br />
* Voce esta prestes a acessar uma area Restrita/Privada, podendo conter *<br />
* informacao confidencial e/ou privilegiada. Este acesso sera monitorado. *<br />
* *<br />
* Se voce nao foi autorizado, desde ja fica notificado de abster-se a *<br />
* divulgar, copiar, distribuir, examinar, de qualquer forma, utilizar a *<br />
* informacao contida neste servidor, por ser ilegal, sujeitando o infrator as *<br />
* penas da lei. *<br />
* *<br />
* Precione <Ctrl-D> se voce NAO foi autorizado. *<br />
*******************************************************************************<br />
*******************************************************************************<br />
* ISPFocus *<br />
* This access is solely and exclusively for authorized personnel. *<br />
* You are about to access a Restricted/Private area, which may contain *<br />
* confidential and/or privileged information. This access will be monitored. *<br />
* *<br />
* If you are not authorized, you are hereby notified to refrain from *<br />
* disclosing, copying, distributing, reviewing, or otherwise using the *<br />
* information contained on this server, as it is illegal and will subject *<br />
* the violator to penalties under the law. *<br />
* *<br />
* Press <Ctrl-D> if you are NOT authorized. *<br />
*******************************************************************************<br />
<br />
== Instalando o Google Authenticator no servidor Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Altere em '''/etc/ssh/sshd''' para que esses parâmetros fiquem assim:<br />
KbdInteractiveAuthentication yes<br />
UsePAM yes<br />
PasswordAuthentication yes<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==<br />
Para essa configuração precisaremos do módulo '''pam_tacplus''' só que ele não está mais presente nos pacotes do Debian. Nesse caso baixaremos o código fonte do '''Github''', compilaremos e instalaremos no '''Debian'''.<br />
<br />
Instalando os pacotes que precisaremos:<br />
# apt install git autoconf build-essential libtool automake libpam-dev libssl-dev gnulib<br />
Baixando do repositório do '''Github''':<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/kravietz/pam_tacplus.git</nowiki><br />
Compilando e instalando o '''pam_tacplus''':<br />
# cd pam-tacplus<br />
# gnulib-tool --makefile-name=Makefile.gnulib --libtool --import fcntl crypto/md5 array-list list xlist getrandom realloc-posix explicit_bzero xalloc getopt-gnu<br />
# autoreconf -f -v -i<br />
# ./configure --libdir=/usr/lib/x86_64-linux-gnu<br />
# make<br />
# make install<br />
O módulo usa o serviço PAP no Tacacs+ para autenticação e por isso precisa configurar no seu servidor Tacacs+. Caso esteja usando um servidor Tacacs+ em um GNU/Linux, precisará definir no arquivo de configuração '''tac_plus.conf''' se o '''pap''' usará usuários criados localmente no servidor pelo '''useradd''' ou se usará usuários no próprio arquivo '''tac_plus.conf'''. Abaixo mostro os 2 exemplos:<br />
user = gondim {<br />
member = cgr<br />
pap = file /etc/passwd<br />
}<br />
Neste exemplo acima o usuário foi criado no servidor Tacacs+ com o comando: '''useradd -s /bin/false <user>''' e depois setada a senha com: '''passwd <user>'''.<br />
<br />
OU<br />
user = gondim {<br />
member = cgr<br />
pap = cleartext <senha_forte><br />
}<br />
Nesse último exemplo você precisará definir a senha do usuário no lugar de '''<senha_forte>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Radius Server ==<br />
Em '''/etc/pam.d/sshd''', comente a linha com '''@include common-auth''' e adicione antes:<br />
auth required pam_radius_auth.so<br />
auth required pam_google_authenticator.so<br />
Nesse momento você poderá testar o '''SSH''' para o seu servidor e verá algo assim:<br />
[[Arquivo:Tela autenticacao.png|nenhum|miniaturadaimagem|740x740px]]<br />
Primeiro o sistema irá pedir seu '''token''' do '''Google Authenticator''' e somente se passar o correto é que será solicitada a '''senha cadastrada no seu Radius Server'''.<br />
<br />
Caso necessite que o usuário se torne root utilizando '''sudo''', faça a mesma configuração em '''/etc/pam.d/sudo-i''' e adicione o usuário no '''grupo sudo''' com o comando: '''usermod -aG sudo <user>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Tacacs+ Server ==<br />
Para configurarmos a autenticação usando '''Tacacs+''' e '''Google Authenticator''', faremos a mesma configuração em '''/etc/pam.d/sshd''' e '''/etc/pam.d/sudo-i''' só que um pouco diferente.<br />
auth requisite pam_google_authenticator.so<br />
auth sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
account sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
session sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
Acima o parâmetro '''server=''' é o IP do seu servidor '''Tacacs+''' e '''secret=''' é a '''secret key''' utilizada no seu servidor '''Tacacs+'''.<br />
<br />
Gostou deste artigo? Se lhe foi útil compartilhe também com seus colegas este conteúdo. Precisa de configurar um servidor Radius/Tacacs+ para autenticar usuários em seus sistemas e equipamentos? Nos procure em https://ispfocus.net.br ou através do QR Code abaixo.<br />
[[Arquivo:Qrcode ispfocus.png|nenhum|miniaturadaimagem|283x283px]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=P%C3%A1gina_principal&diff=1102Página principal2026-02-06T03:38:49Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Pascal.png|esquerda|semmoldura|554x554px]]<br />
<br />
= Bem vindo à Wiki ISPUP! =<br />
Durante 29 anos trabalhando como '''sysadmin''' em ambientes '''Unix Like''' e com Redes em Provedores de Internet, acabei guardando algum conhecimento e essa Wiki é uma forma de disponibilizar para a comunidade, uma fonte de consulta de soluções para diversos problemas que encontrei ao longo da minha vida como profissional. Espero que te ajude assim como sempre me ajudou. Tenho muita documentação para postar aqui e por isso irei revisar e disponibilizar aos poucos. Vamos dar um UP! no seu ISP?<br />
<br />
Aqui veremos assuntos relacionados a '''Servidores GNU/Linux''', '''Telecom''', '''Serviços de Redes''', '''Segurança da Informação''' e '''Boas Práticas'''. Os artigos e documentações serão voltados paras as comunidades '''ISP (Internet Service Provider)''', '''ITP (Internet Transit Provider)''' e '''Debian'''. <br />
<br><br><br />
Enquanto for "'''pequeno'''", precisa pensar como um "'''grande'''": precisa pensar nas boas práticas, se estruturar para o futuro e aí quando crescer e ficar "'''grande'''", precisará pensar como um "'''pequeno'''", para continuar melhorando a sua agilidade nos processos, na qualidade do atendimento e nos serviços entregues aos seus clientes. <br />
<br />
As boas práticas trazem: '''segurança''', '''credibilidade''', '''estabilidade''' e '''qualidade'''.<br />
<br />
'''"UNIX is very simple, it just needs a genius to understand its simplicity."''' Dennis Ritchie.<br><br />
<br><br />
<br><br />
<br><br />
<br><br />
<br />
== Índice ==<br />
* [[Artigos Tecnicos|Artigos Técnicos]]<br />
* [[Servicos de Redes e Servidores|Serviços de Redes e Servidores]]<br />
* [[Dicas Tecnicas|Dicas Técnicas]]<br />
* [[Links Uteis|Links úteis]]<br />
* [[Sobre mim]]<br />
<br />
== Destaques ==<br />
[[Autenticacao TOTP Radius Tacacs Debian|Autenticação TOTP + Radius/Tacacs no Debian]]<br />
<br />
[[SSH SERVER 2FA|SSH Server com Autenticação 2FA]]<br />
<br />
[[Certificado TLS com ACME-DNS e DNS-01]]<br />
<br />
[[RPKI|RPKI (Resource Public Key Infrastructure)]]<br />
<br />
[[Recomendacao Mitigacao DDoS|Recomendações sobre Mitigação DDoS]]<br />
<br />
[[DNS Recursivo Anycast HyperLocal|DNS Recursivo Anycast com Hyperlocal]]<br />
<br />
[[Static Loop|Static Loop - um erro que pode matar seu ISP/ITP]]<br />
<br />
[[Portas Amplificacao DDoS|Portas de Amplificação DDoS e Botnets]]<br />
<br />
[[Servidor Logs CGNAT|Servidor de logs CGNAT]]<br />
<br />
[[Template Servidor Debian|Template de Servidor Debian GNU/Linux]]<br />
<br />
[[Policy Based Routing|Policy Based Routing (PBR)]]<br />
<br />
[[Compilando Bash|Compilando Shell Scripts com o SHC]]<br />
<br />
[[PHPIPAM|DCIM/IPAM com phpIPAM]]<br />
<br />
[[MSMTP com OAuth2|MSMTP com OAuth2 no Debian 12]]<br />
<br />
[[Geolocalizacao|Geolocalização e a Internet]]<br />
<br />
[[Arquivo:Debian powered.png|miniaturadaimagem|83x83px]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1101Autenticacao TOTP Radius Tacacs Debian2026-02-06T03:33:44Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Banner no SSH ==<br />
Primeiramente é interessante comentar que ter um banner informando que o acesso só é permitido para pessoas autorizadas, é uma boa prática. Então aqui vai um exemplo de banner, basta criar o arquivo '''/etc/ssh/banner''' com o conteúdo abaixo e alterado para o nome da sua Organização e adicionar em '''/etc/ssh/sshd_config''' com o parâmetro: '''Banner''' '''/etc/ssh/banner'''. Na sequência só reiniciar o serviço sshd com: '''systemctl restart sshd'''. <br />
*******************************************************************************<br />
* ISPFocus *<br />
* Este acesso e unica e exclusivamente para pessoas autorizadas. *<br />
* Voce esta prestes a acessar uma area Restrita/Privada, podendo conter *<br />
* informacao confidencial e/ou privilegiada. Este acesso sera monitorado. *<br />
* *<br />
* Se voce nao foi autorizado, desde ja fica notificado de abster-se a *<br />
* divulgar, copiar, distribuir, examinar, de qualquer forma, utilizar a *<br />
* informacao contida neste servidor, por ser ilegal, sujeitando o infrator as *<br />
* penas da lei. *<br />
* *<br />
* Precione <Ctrl-D> se voce NAO foi autorizado. *<br />
*******************************************************************************<br />
*******************************************************************************<br />
* ISPFocus *<br />
* This access is solely and exclusively for authorized personnel. *<br />
* You are about to access a Restricted/Private area, which may contain *<br />
* confidential and/or privileged information. This access will be monitored. *<br />
* *<br />
* If you are not authorized, you are hereby notified to refrain from *<br />
* disclosing, copying, distributing, reviewing, or otherwise using the *<br />
* information contained on this server, as it is illegal and will subject *<br />
* the violator to penalties under the law. *<br />
* *<br />
* Press <Ctrl-D> if you are NOT authorized. *<br />
*******************************************************************************<br />
<br />
== Instalando o Google Authenticator no servidor Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Altere em '''/etc/ssh/sshd''' para que esses parâmetros fiquem assim:<br />
KbdInteractiveAuthentication yes<br />
UsePAM yes<br />
PasswordAuthentication yes<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==<br />
Para essa configuração precisaremos do módulo '''pam_tacplus''' só que ele não está mais presente nos pacotes do Debian. Nesse caso baixaremos o código fonte do '''Github''', compilaremos e instalaremos no '''Debian'''.<br />
<br />
Instalando os pacotes que precisaremos:<br />
# apt install git autoconf build-essential libtool automake libpam-dev libssl-dev gnulib<br />
Baixando do repositório do '''Github''':<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/kravietz/pam_tacplus.git</nowiki><br />
Compilando e instalando o '''pam_tacplus''':<br />
# cd pam-tacplus<br />
# gnulib-tool --makefile-name=Makefile.gnulib --libtool --import fcntl crypto/md5 array-list list xlist getrandom realloc-posix explicit_bzero xalloc getopt-gnu<br />
# autoreconf -f -v -i<br />
# ./configure --libdir=/usr/lib/x86_64-linux-gnu<br />
# make<br />
# make install<br />
O módulo usa o serviço PAP no Tacacs+ para autenticação e por isso precisa configurar no seu servidor Tacacs+. Caso esteja usando um servidor Tacacs+ em um GNU/Linux, precisará definir no arquivo de configuração '''tac_plus.conf''' se o '''pap''' usará usuários criados localmente no servidor pelo '''useradd''' ou se usará usuários no próprio arquivo '''tac_plus.conf'''. Abaixo mostro os 2 exemplos:<br />
user = gondim {<br />
member = cgr<br />
pap = file /etc/passwd<br />
}<br />
Neste exemplo acima o usuário foi criado no servidor Tacacs+ com o comando: '''useradd -s /bin/false <user>''' e depois setada a senha com: '''passwd <user>'''.<br />
<br />
OU<br />
user = gondim {<br />
member = cgr<br />
pap = cleartext <senha_forte><br />
}<br />
Nesse último exemplo você precisará definir a senha do usuário no lugar de '''<senha_forte>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Radius Server ==<br />
Em '''/etc/pam.d/sshd''', antes da linha com '''@include common-auth''', adicione:<br />
auth requisite pam_google_authenticator.so<br />
auth sufficient pam_radius_auth.so<br />
Nesse momento você poderá testar o '''SSH''' para o seu servidor e verá algo assim:<br />
[[Arquivo:Tela autenticacao.png|nenhum|miniaturadaimagem|740x740px]]<br />
Primeiro o sistema irá pedir seu '''token''' do '''Google Authenticator''' e somente se passar o correto é que será solicitada a '''senha cadastrada no seu Radius Server'''.<br />
<br />
Caso necessite que o usuário se torne root utilizando '''sudo''', faça a mesma configuração em '''/etc/pam.d/sudo-i''' e adicione o usuário no '''grupo sudo''' com o comando: '''usermod -aG sudo <user>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Tacacs+ Server ==<br />
Para configurarmos a autenticação usando '''Tacacs+''' e '''Google Authenticator''', faremos a mesma configuração em '''/etc/pam.d/sshd''' e '''/etc/pam.d/sudo-i''' só que um pouco diferente.<br />
auth requisite pam_google_authenticator.so<br />
auth sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
account sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
session sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
Acima o parâmetro '''server=''' é o IP do seu servidor '''Tacacs+''' e '''secret=''' é a '''secret key''' utilizada no seu servidor '''Tacacs+'''.<br />
<br />
Gostou deste artigo? Se lhe foi útil compartilhe também com seus colegas este conteúdo. Precisa de configurar um servidor Radius/Tacacs+ para autenticar usuários em seus sistemas e equipamentos? Nos procure em https://ispfocus.net.br ou através do QR Code abaixo.<br />
[[Arquivo:Qrcode ispfocus.png|nenhum|miniaturadaimagem|283x283px]]<br />
[[Categoria:Artigos Técnicos]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Arquivo:Qrcode_ispfocus.png&diff=1100Arquivo:Qrcode ispfocus.png2026-02-06T03:33:06Z<p>Gondim: </p>
<hr />
<div>Qrcode ispfocus</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1099Autenticacao TOTP Radius Tacacs Debian2026-02-06T03:29:05Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Banner no SSH ==<br />
Primeiramente é interessante comentar que ter um banner informando que o acesso só é permitido para pessoas autorizadas, é uma boa prática. Então aqui vai um exemplo de banner, basta criar o arquivo '''/etc/ssh/banner''' com o conteúdo abaixo e alterado para o nome da sua Organização e adicionar em '''/etc/ssh/sshd_config''' com o parâmetro: '''Banner''' '''/etc/ssh/banner'''. Na sequência só reiniciar o serviço sshd com: '''systemctl restart sshd'''. <br />
*******************************************************************************<br />
* ISPFocus *<br />
* Este acesso e unica e exclusivamente para pessoas autorizadas. *<br />
* Voce esta prestes a acessar uma area Restrita/Privada, podendo conter *<br />
* informacao confidencial e/ou privilegiada. Este acesso sera monitorado. *<br />
* *<br />
* Se voce nao foi autorizado, desde ja fica notificado de abster-se a *<br />
* divulgar, copiar, distribuir, examinar, de qualquer forma, utilizar a *<br />
* informacao contida neste servidor, por ser ilegal, sujeitando o infrator as *<br />
* penas da lei. *<br />
* *<br />
* Precione <Ctrl-D> se voce NAO foi autorizado. *<br />
*******************************************************************************<br />
*******************************************************************************<br />
* ISPFocus *<br />
* This access is solely and exclusively for authorized personnel. *<br />
* You are about to access a Restricted/Private area, which may contain *<br />
* confidential and/or privileged information. This access will be monitored. *<br />
* *<br />
* If you are not authorized, you are hereby notified to refrain from *<br />
* disclosing, copying, distributing, reviewing, or otherwise using the *<br />
* information contained on this server, as it is illegal and will subject *<br />
* the violator to penalties under the law. *<br />
* *<br />
* Press <Ctrl-D> if you are NOT authorized. *<br />
*******************************************************************************<br />
<br />
== Instalando o Google Authenticator no servidor Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Altere em '''/etc/ssh/sshd''' para que esses parâmetros fiquem assim:<br />
KbdInteractiveAuthentication yes<br />
UsePAM yes<br />
PasswordAuthentication yes<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==<br />
Para essa configuração precisaremos do módulo '''pam_tacplus''' só que ele não está mais presente nos pacotes do Debian. Nesse caso baixaremos o código fonte do '''Github''', compilaremos e instalaremos no '''Debian'''.<br />
<br />
Instalando os pacotes que precisaremos:<br />
# apt install git autoconf build-essential libtool automake libpam-dev libssl-dev gnulib<br />
Baixando do repositório do '''Github''':<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/kravietz/pam_tacplus.git</nowiki><br />
Compilando e instalando o '''pam_tacplus''':<br />
# cd pam-tacplus<br />
# gnulib-tool --makefile-name=Makefile.gnulib --libtool --import fcntl crypto/md5 array-list list xlist getrandom realloc-posix explicit_bzero xalloc getopt-gnu<br />
# autoreconf -f -v -i<br />
# ./configure --libdir=/usr/lib/x86_64-linux-gnu<br />
# make<br />
# make install<br />
O módulo usa o serviço PAP no Tacacs+ para autenticação e por isso precisa configurar no seu servidor Tacacs+. Caso esteja usando um servidor Tacacs+ em um GNU/Linux, precisará definir no arquivo de configuração '''tac_plus.conf''' se o '''pap''' usará usuários criados localmente no servidor pelo '''useradd''' ou se usará usuários no próprio arquivo '''tac_plus.conf'''. Abaixo mostro os 2 exemplos:<br />
user = gondim {<br />
member = cgr<br />
pap = file /etc/passwd<br />
}<br />
Neste exemplo acima o usuário foi criado no servidor Tacacs+ com o comando: '''useradd -s /bin/false <user>''' e depois setada a senha com: '''passwd <user>'''.<br />
<br />
OU<br />
user = gondim {<br />
member = cgr<br />
pap = cleartext <senha_forte><br />
}<br />
Nesse último exemplo você precisará definir a senha do usuário no lugar de '''<senha_forte>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Radius Server ==<br />
Em '''/etc/pam.d/sshd''', antes da linha com '''@include common-auth''', adicione:<br />
auth requisite pam_google_authenticator.so<br />
auth sufficient pam_radius_auth.so<br />
Nesse momento você poderá testar o '''SSH''' para o seu servidor e verá algo assim:<br />
[[Arquivo:Tela autenticacao.png|nenhum|miniaturadaimagem|740x740px]]<br />
Primeiro o sistema irá pedir seu '''token''' do '''Google Authenticator''' e somente se passar o correto é que será solicitada a '''senha cadastrada no seu Radius Server'''.<br />
<br />
Caso necessite que o usuário se torne root utilizando '''sudo''', faça a mesma configuração em '''/etc/pam.d/sudo-i''' e adicione o usuário no '''grupo sudo''' com o comando: '''usermod -aG sudo <user>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Tacacs+ Server ==<br />
Para configurarmos a autenticação usando '''Tacacs+''' e '''Google Authenticator''', faremos a mesma configuração em '''/etc/pam.d/sshd''' e '''/etc/pam.d/sudo-i''' só que um pouco diferente.<br />
auth requisite pam_google_authenticator.so<br />
auth sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
account sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
session sufficient pam_tacplus.so server=10.254.254.6 secret=<senha_forte><br />
Acima o parâmetro '''server=''' é o IP do seu servidor '''Tacacs+''' e '''secret=''' é a '''secret key''' utilizada no seu servidor '''Tacacs+'''.</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1098Autenticacao TOTP Radius Tacacs Debian2026-02-06T03:25:43Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Banner no SSH ==<br />
Primeiramente é interessante comentar que ter um banner informando que o acesso só é permitido para pessoas autorizadas, é uma boa prática. Então aqui vai um exemplo de banner, basta criar o arquivo '''/etc/ssh/banner''' com o conteúdo abaixo e alterado para o nome da sua Organização e adicionar em '''/etc/ssh/sshd_config''' com o parâmetro: '''Banner''' '''/etc/ssh/banner'''. Na sequência só reiniciar o serviço sshd com: '''systemctl restart sshd'''. <br />
*******************************************************************************<br />
* ISPFocus *<br />
* Este acesso e unica e exclusivamente para pessoas autorizadas. *<br />
* Voce esta prestes a acessar uma area Restrita/Privada, podendo conter *<br />
* informacao confidencial e/ou privilegiada. Este acesso sera monitorado. *<br />
* *<br />
* Se voce nao foi autorizado, desde ja fica notificado de abster-se a *<br />
* divulgar, copiar, distribuir, examinar, de qualquer forma, utilizar a *<br />
* informacao contida neste servidor, por ser ilegal, sujeitando o infrator as *<br />
* penas da lei. *<br />
* *<br />
* Precione <Ctrl-D> se voce NAO foi autorizado. *<br />
*******************************************************************************<br />
*******************************************************************************<br />
* ISPFocus *<br />
* This access is solely and exclusively for authorized personnel. *<br />
* You are about to access a Restricted/Private area, which may contain *<br />
* confidential and/or privileged information. This access will be monitored. *<br />
* *<br />
* If you are not authorized, you are hereby notified to refrain from *<br />
* disclosing, copying, distributing, reviewing, or otherwise using the *<br />
* information contained on this server, as it is illegal and will subject *<br />
* the violator to penalties under the law. *<br />
* *<br />
* Press <Ctrl-D> if you are NOT authorized. *<br />
*******************************************************************************<br />
<br />
== Instalando o Google Authenticator no servidor Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Altere em '''/etc/ssh/sshd''' para que esses parâmetros fiquem assim:<br />
KbdInteractiveAuthentication yes<br />
UsePAM yes<br />
PasswordAuthentication yes<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==<br />
Para essa configuração precisaremos do módulo '''pam_tacplus''' só que ele não está mais presente nos pacotes do Debian. Nesse caso baixaremos o código fonte do '''Github''', compilaremos e instalaremos no '''Debian'''.<br />
<br />
Instalando os pacotes que precisaremos:<br />
# apt install git autoconf build-essential libtool automake libpam-dev libssl-dev gnulib<br />
Baixando do repositório do '''Github''':<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/kravietz/pam_tacplus.git</nowiki><br />
Compilando e instalando o '''pam_tacplus''':<br />
# cd pam-tacplus<br />
# gnulib-tool --makefile-name=Makefile.gnulib --libtool --import fcntl crypto/md5 array-list list xlist getrandom realloc-posix explicit_bzero xalloc getopt-gnu<br />
# autoreconf -f -v -i<br />
# ./configure --libdir=/usr/lib/x86_64-linux-gnu<br />
# make<br />
# make install<br />
O módulo usa o serviço PAP no Tacacs+ para autenticação e por isso precisa configurar no seu servidor Tacacs+. Caso esteja usando um servidor Tacacs+ em um GNU/Linux, precisará definir no arquivo de configuração '''tac_plus.conf''' se o '''pap''' usará usuários criados localmente no servidor pelo '''useradd''' ou se usará usuários no próprio arquivo '''tac_plus.conf'''. Abaixo mostro os 2 exemplos:<br />
user = gondim {<br />
member = cgr<br />
pap = file /etc/passwd<br />
}<br />
Neste exemplo acima o usuário foi criado no servidor Tacacs+ com o comando: '''useradd -s /bin/false <user>''' e depois setada a senha com: '''passwd <user>'''.<br />
<br />
OU<br />
user = gondim {<br />
member = cgr<br />
pap = cleartext <senha_forte><br />
}<br />
Nesse último exemplo você precisará definir a senha do usuário no lugar de '''<senha_forte>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Radius Server ==<br />
Em '''/etc/pam.d/sshd''', antes da linha com '''@include common-auth''', adicione:<br />
auth requisite pam_google_authenticator.so<br />
auth sufficient pam_radius_auth.so<br />
Nesse momento você poderá testar o '''SSH''' para o seu servidor e verá algo assim:<br />
[[Arquivo:Tela autenticacao.png|nenhum|miniaturadaimagem|740x740px]]<br />
Primeiro o sistema irá pedir seu '''token''' do '''Google Authenticator''' e somente se passar o correto é que será solicitada a '''senha cadastrada no seu Radius Server'''.<br />
<br />
Caso necessite que o usuário se torne root utilizando '''sudo''', faça a mesma configuração em '''/etc/pam.d/sudo-i''' e adicione o usuário no '''grupo sudo''' com o comando: '''usermod -aG sudo <user>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Tacacs+ Server ==<br />
Para configurarmos a autenticação usando '''Tacacs+''' e '''Google Authenticator''', faremos a mesma configuração em '''/etc/pam.d/sshd''' e '''/etc/pam.d/sudo-i''' só que um pouco diferente.</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1097Autenticacao TOTP Radius Tacacs Debian2026-02-06T03:21:01Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Banner no SSH ==<br />
Primeiramente é interessante comentar que ter um banner informando que o acesso só é permitido para pessoas autorizadas, é uma boa prática. Então aqui vai um exemplo de banner, basta criar o arquivo '''/etc/ssh/banner''' com o conteúdo abaixo e alterado para o nome da sua Organização e adicionar em '''/etc/ssh/sshd_config''' com o parâmetro: '''Banner''' '''/etc/ssh/banner'''. Na sequência só reiniciar o serviço sshd com: '''systemctl restart sshd'''. <br />
*******************************************************************************<br />
* ISPFocus *<br />
* Este acesso e unica e exclusivamente para pessoas autorizadas. *<br />
* Voce esta prestes a acessar uma area Restrita/Privada, podendo conter *<br />
* informacao confidencial e/ou privilegiada. Este acesso sera monitorado. *<br />
* *<br />
* Se voce nao foi autorizado, desde ja fica notificado de abster-se a *<br />
* divulgar, copiar, distribuir, examinar, de qualquer forma, utilizar a *<br />
* informacao contida neste servidor, por ser ilegal, sujeitando o infrator as *<br />
* penas da lei. *<br />
* *<br />
* Precione <Ctrl-D> se voce NAO foi autorizado. *<br />
*******************************************************************************<br />
*******************************************************************************<br />
* ISPFocus *<br />
* This access is solely and exclusively for authorized personnel. *<br />
* You are about to access a Restricted/Private area, which may contain *<br />
* confidential and/or privileged information. This access will be monitored. *<br />
* *<br />
* If you are not authorized, you are hereby notified to refrain from *<br />
* disclosing, copying, distributing, reviewing, or otherwise using the *<br />
* information contained on this server, as it is illegal and will subject *<br />
* the violator to penalties under the law. *<br />
* *<br />
* Press <Ctrl-D> if you are NOT authorized. *<br />
*******************************************************************************<br />
<br />
== Instalando o Google Authenticator no servidor Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Altere em '''/etc/ssh/sshd''' para que esses parâmetros fiquem assim:<br />
KbdInteractiveAuthentication yes<br />
UsePAM yes<br />
PasswordAuthentication yes<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==<br />
Para essa configuração precisaremos do módulo '''pam_tacplus''' só que ele não está mais presente nos pacotes do Debian. Nesse caso baixaremos o código fonte do '''Github''', compilaremos e instalaremos no '''Debian'''.<br />
<br />
Instalando os pacotes que precisaremos:<br />
# apt install git autoconf build-essential libtool automake libpam-dev libssl-dev gnulib<br />
Baixando do repositório do '''Github''':<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/kravietz/pam_tacplus.git</nowiki><br />
Compilando e instalando o '''pam_tacplus''':<br />
# cd pam-tacplus<br />
# gnulib-tool --makefile-name=Makefile.gnulib --libtool --import fcntl crypto/md5 array-list list xlist getrandom realloc-posix explicit_bzero xalloc getopt-gnu<br />
# autoreconf -f -v -i<br />
# ./configure --libdir=/usr/lib/x86_64-linux-gnu<br />
# make<br />
# make install<br />
O módulo usa o serviço PAP no Tacacs+ para autenticação e por isso precisa configurar no seu servidor Tacacs+. Caso esteja usando um servidor Tacacs+ em um GNU/Linux, precisará definir no arquivo de configuração '''tac_plus.conf''' se o '''pap''' usará usuários criados localmente no servidor pelo '''useradd''' ou se usará usuários no próprio arquivo '''tac_plus.conf'''. Abaixo mostro os 2 exemplos:<br />
user = gondim {<br />
member = cgr<br />
pap = file /etc/passwd<br />
}<br />
Neste exemplo acima o usuário foi criado no servidor Tacacs+ com o comando: '''useradd -s /bin/false <user>''' e depois setada a senha com: '''passwd <user>'''.<br />
<br />
OU<br />
user = gondim {<br />
member = cgr<br />
pap = cleartext <senha_forte><br />
}<br />
Nesse último exemplo você precisará definir a senha do usuário no lugar de '''<senha_forte>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Radius Server ==<br />
Em '''/etc/pam.d/sshd''', antes da linha com '''@include common-auth''', adicione:<br />
auth requisite pam_google_authenticator.so<br />
auth sufficient pam_radius_auth.so<br />
Nesse momento você poderá testar o '''SSH''' para o seu servidor e verá algo assim:<br />
[[Arquivo:Tela autenticacao.png|nenhum|miniaturadaimagem|740x740px]]<br />
Primeiro o sistema irá pedir seu '''token''' do '''Google Authenticator''' e somente se passar o correto é que será solicitada a '''senha cadastrada no seu Radius Server'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Tacacs+ Server ==</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1096Autenticacao TOTP Radius Tacacs Debian2026-02-06T02:53:04Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Banner no SSH ==<br />
Primeiramente é interessante comentar que ter um banner informando que o acesso só é permitido para pessoas autorizadas, é uma boa prática. Então aqui vai um exemplo de banner, basta criar o arquivo '''/etc/ssh/banner''' com o conteúdo abaixo e alterado para o nome da sua Organização e adicionar em '''/etc/ssh/sshd_config''' com o parâmetro: '''Banner''' '''/etc/ssh/banner'''. Na sequência só reiniciar o serviço sshd com: '''systemctl restart sshd'''. <br />
*******************************************************************************<br />
* ISPFocus *<br />
* Este acesso e unica e exclusivamente para pessoas autorizadas. *<br />
* Voce esta prestes a acessar uma area Restrita/Privada, podendo conter *<br />
* informacao confidencial e/ou privilegiada. Este acesso sera monitorado. *<br />
* *<br />
* Se voce nao foi autorizado, desde ja fica notificado de abster-se a *<br />
* divulgar, copiar, distribuir, examinar, de qualquer forma, utilizar a *<br />
* informacao contida neste servidor, por ser ilegal, sujeitando o infrator as *<br />
* penas da lei. *<br />
* *<br />
* Precione <Ctrl-D> se voce NAO foi autorizado. *<br />
*******************************************************************************<br />
*******************************************************************************<br />
* ISPFocus *<br />
* This access is solely and exclusively for authorized personnel. *<br />
* You are about to access a Restricted/Private area, which may contain *<br />
* confidential and/or privileged information. This access will be monitored. *<br />
* *<br />
* If you are not authorized, you are hereby notified to refrain from *<br />
* disclosing, copying, distributing, reviewing, or otherwise using the *<br />
* information contained on this server, as it is illegal and will subject *<br />
* the violator to penalties under the law. *<br />
* *<br />
* Press <Ctrl-D> if you are NOT authorized. *<br />
*******************************************************************************<br />
<br />
== Instalando o Google Authenticator no servidor Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Altere em '''/etc/ssh/sshd''' para que esses parâmetros fiquem assim:<br />
KbdInteractiveAuthentication yes<br />
UsePAM yes<br />
PasswordAuthentication yes<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==<br />
Para essa configuração precisaremos do módulo '''pam_tacplus''' só que ele não está mais presente nos pacotes do Debian. Nesse caso baixaremos o código fonte do '''Github''', compilaremos e instalaremos no '''Debian'''.<br />
<br />
Instalando os pacotes que precisaremos:<br />
# apt install git autoconf build-essential libtool automake libpam-dev libssl-dev gnulib<br />
Baixando do repositório do '''Github''':<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/kravietz/pam_tacplus.git</nowiki><br />
Compilando e instalando o '''pam_tacplus''':<br />
# cd pam-tacplus<br />
# gnulib-tool --makefile-name=Makefile.gnulib --libtool --import fcntl crypto/md5 array-list list xlist getrandom realloc-posix explicit_bzero xalloc getopt-gnu<br />
# autoreconf -f -v -i<br />
# ./configure --libdir=/usr/lib/x86_64-linux-gnu<br />
# make<br />
# make install<br />
O módulo usa o serviço PAP no Tacacs+ para autenticação e por isso precisa configurar no seu servidor Tacacs+. Caso esteja usando um servidor Tacacs+ em um GNU/Linux, precisará definir no arquivo de configuração '''tac_plus.conf''' se o '''pap''' usará usuários criados localmente no servidor pelo '''useradd''' ou se usará usuários no próprio arquivo '''tac_plus.conf'''. Abaixo mostro os 2 exemplos:<br />
user = gondim {<br />
member = cgr<br />
pap = file /etc/passwd<br />
}<br />
Neste exemplo acima o usuário foi criado no servidor Tacacs+ com o comando: '''useradd -s /bin/false <user>''' e depois setada a senha com: '''passwd <user>'''.<br />
<br />
OU<br />
user = gondim {<br />
member = cgr<br />
pap = cleartext <senha_forte><br />
}<br />
Nesse último exemplo você precisará definir a senha do usuário no lugar de '''<senha_forte>'''.<br />
<br />
== Alterando o PAM do Debian GNU/Linux para autenticar usando Google Authenticator e Radius Server ==<br />
Em '''/etc/pam.d/sshd''', antes da linha com '''@include common-auth''', adicione:<br />
auth requisite pam_google_authenticator.so<br />
auth sufficient pam_radius_auth.so<br />
Nesse momento você poderá testar o '''SSH''' para o seu servidor e verá algo assim:<br />
[[Arquivo:Tela autenticacao.png|nenhum|miniaturadaimagem|740x740px]]<br />
Primeiro o sistema irá pedir seu '''token''' do '''Google Authenticator''' e somente se passar o correto é que será solicitada a '''senha cadastrada no seu Radius Server'''.</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1094Autenticacao TOTP Radius Tacacs Debian2026-02-06T01:59:34Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.<br />
<br />
== Instalando o Google Authenticator no Debian ==<br />
# apt-get install libpam-google-authenticator -y<br />
É necessário que o usuário seja criado localmente no sistema. Exemplo:<br />
# useradd -m -s /bin/bash gondim<br />
Agora vamos gerar os dados para cadastro no '''Google Authenticator''' instalado no smartphone do usuário '''gondim''':<br />
# su - gondim<br />
$ google-authenticator -C -t -d -f -w 3 -Q UTF8 -r 3 -R 30<br />
[[Arquivo:Qrcode.png|nenhum|miniaturadaimagem|916x916px]]<br />
Quando executamos o comando acima, ele gera informações como neste exemplo. Nele temos o '''QR Code''' que facilita a configuração no '''Google Authenticator''', temos a '''secret key''' que também pode ser usado para cadastro e os códigos de emergência para em caso de perda ou roubo do '''smartphone''', o usuário ainda conseguir logar no sistema. <br />
<br />
Seguiremos agora com um exemplo de configuração para autenticação em Servidor Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Radius Server ==<br />
# apt install libpam-radius-auth<br />
Edite o arquivo '''/etc/pam_radius_auth.conf''' e deixe configurado nele o apontamento para seu servidor Radius com a secret:<br />
# server[:port] shared_secret timeout (s)<br />
10.254.254.6 C5or4Zc49z2R 3<br />
Obs.: no seu servidor Radius você precisará liberar em NAS o IP do seu servidor Debian, senão ele não terá autorização para acessar o Radius.<br />
<br />
== Instalando e configurando o módulo PAM para autenticação em Tacacs+ Server ==</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Arquivo:Qrcode.png&diff=1093Arquivo:Qrcode.png2026-02-06T01:42:07Z<p>Gondim: </p>
<hr />
<div>qrcode</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1092Autenticacao TOTP Radius Tacacs Debian2026-02-06T00:37:04Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Os comandos aqui serão executados em um '''Debian 13 (Trixie)''' mas poderão ser adaptados para serem executados em outras '''distribuições GNU/Linux'''.</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=SSH_SERVER_2FA&diff=1091SSH SERVER 2FA2026-02-06T00:35:08Z<p>Gondim: </p>
<hr />
<div>{{DISPLAYTITLE:SSH Server com Autenticação 2FA}}<br />
<br />
[[Arquivo:Criminal-bandit-hacker-scaled-1.jpg|nenhum|miniaturadaimagem|475x475px]]<br />
<br />
== Introdução ==<br />
Recentemente em um treinamento do '''Patrick Brandão''', vimos o quanto o '''SSH''' ('''Secure Shell'''), pode ser usado dentro da segurança de acesso a sistemas. Desde túneis criptográficos, redirecionamentos de portas e até em uso de '''Zero Trust'''. Sabemos o quanto este serviço é importante para nós de Tecnologia da Informação e para Operadores de Redes. Então resolvi escrever esse pequeno artigo de como vocês podem configurar seus servidores GNU/linux para autenticarem '''SSH usando 2FA''' com o '''Google Authenticator'''. Sim não é nada muito utilizado no nosso dia a dia, pois existem formas melhores e mais seguras como '''SSH-CA usando certificados digitais assinados''' e '''autenticação utilizando apenas chaves SSH'''. Mas se ainda assim preferirem uma autenticação utilizando '''usuário e senha''', que vocês então implementem um 2FA no serviço SSH.<br />
<br />
== Ambiente de configuração ==<br />
Como sou um defensor do Debian GNU/Linux, estaremos efetuando as configurações e testes abaixo em um Debian 12 (Bookworm) mas em teoria, pode ser aplicado em outras distribuições GNU/Linux. Para essa configuração precisaremos instalar apenas um pacote chamado '''libpam-google-authenticator'''.<br />
# apt install libpam-google-authenticator<br />
<br />
== Gerando os códigos de recuperação e o QR Code e/ou chave para cadastro manual do token ==<br />
Se logue no usuário para o qual vai querer habilitar o token e rode:<br />
$ google-authenticator <br />
<br />
Do you want authentication tokens to be time-based (y/n) y<br />
[[Arquivo:Qrcode ssh.png|nenhum|miniaturadaimagem|695x695px]]<br />
Ele irá exibir um '''QR Code''' para ser lido com o '''Google Authenticator''' ou se preferir uma '''secret key''' para ser cadastrado manualmente. Nesse momento já temos que ter o '''Google Authenticator''' instalado no nosso '''smartphone'''.<br />
<br />
Abrimos o app no smartphone e pressionamos o '''sinal de +'''. Na sequência escolhemos ler o '''QR Code''' ou inserir a chave que seria aquela '''secret key'''.<br />
[[Arquivo:Qrcode6.png|nenhum|commoldura]]<br />
Após escolhermos o '''QR Code''', irá abrir a câmera do seu '''smartphone'''. Aponte para o QR Code e será configurado o '''token'''.<br />
<br />
Abaixo temos o token sendo gerado.<br />
[[Arquivo:Qrcode7.png|nenhum|commoldura]]<br />
Voltamos para o nosso servidor e agora passamos o token para a aplicação, para efetuarmos a confirmação da configuração:<br />
[[Arquivo:Qrcode3.png|nenhum|miniaturadaimagem|649x649px]]<br />
Após confirmar, serão exibidos os 5 códigos de recuperação de emergência. Eles são importantes para recuperar os acessos caso perca seu smartphone. Cada código de recuperação só poderá ser usado uma única vez.<br />
<br />
Se precisar consultá-los, eles ficam armazenados no home do usuário no arquivo '''.google_authenticator''':<br />
[[Arquivo:Qrcode4.png|nenhum|miniaturadaimagem|651x651px]]<br />
Na sequência ele irá perguntar se deseja proibir uso de múltiplo login, por segurança dizemos que sim. Depois ele pergunta sobre criação de tokens extras para compensar problemas de horários não sincronizados entre o cliente e o servidor. Nesse caso vamos dizer que não, porque é função nossa como sysadmin, configurar ajuste automático de horário no servidor usando '''NTP (Network Time Protocol)'''. Por último aplicamos um '''rate-limit''' no nosso sistema para 3 tentativas a cada 30 segundos. <br />
[[Arquivo:Qrcode5.png|nenhum|miniaturadaimagem|649x649px]]<br />
<br />
== Configurando o sistema de autenticação do SSH para funcionar com o Google Authenticator ==<br />
Em '''/etc/ssh/sshd_config''' vamos modificar o parâmetro abaixo de '''NO''' para '''YES''':<br />
KbdInteractiveAuthentication yes<br />
'''Em versões antigas do openssh-server o parâmetro era este abaixo''': <br />
ChallengeResponseAuthentication yes<br />
Reinicie o serviço SSH:<br />
# systemctl restart sshd<br />
Na sequência edite o arquivo '''/etc/pam.d/sshd''' e adicione no final dele a instrução:<pre><br />
auth required pam_google_authenticator.so<br />
</pre>'''Cuidado! Não desconecte do servidor antes de testar se está funcionando ou que tenha acesso via console.'''<br />
<br />
Para testarmos só fazermos um ssh para o servidor e irá acontecer algo como abaixo. Será pedida a senha do usuário e na sequência também '''será pedido o code do token''' gerado pelo '''Google Authenticator'''. Acertando os dois, a sessão é completada.<br />
# ssh gondim@177.XXX.XXX.12 <br />
(gondim@177.XXX.XXX.12) Password: <br />
(gondim@177.XXX.XXX.12) Verification code: <br />
Linux AMA-RR-FLOW-01 6.1.0-37-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.140-1 (2025-05-22) x86_64<br />
<br />
The programs included with the Debian GNU/Linux system are free software;<br />
the exact distribution terms for each program are described in the<br />
individual files in /usr/share/doc/*/copyright.<br />
<br />
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent<br />
permitted by applicable law.<br />
You have new mail.<br />
Last login: Fri Jul 11 01:40:37 2025 from 177.XXX.XXX.30<br />
gondim@AMA-RR-FLOW-01:~$<br />
Se quiser aplicar o mesmo bloqueio na '''console do servidor''', basta incluir a mesma configuração só que em '''/etc/pam.d/login'''. Mas cuidado para não perder o acesso ao sistema. Não me responsabilizo por problemas gerados por este artigo. :)<br />
[[Categoria:Dicas Técnicas]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Certificado_TLS_com_ACME-DNS_e_DNS-01&diff=1090Certificado TLS com ACME-DNS e DNS-012026-02-06T00:34:52Z<p>Gondim: </p>
<hr />
<div>__TOC__<br />
== Diagrama exemplo ==<br />
[[Arquivo:Acme-dns.drawio.png|semmoldura|685x685px]]<br />
<br />
== Introdução ==<br />
Diversos sistemas e serviços que utilizamos na Internet fazem uso de certificados digitais para validar se uma fonte é legítima, também para criptografar a comunicação e assim garantir segurança e privacidade entre o visitante e o sistema ou a comunicação entre sistemas. Diversos serviços conhecidos utilizam os certificados digitais como: milhares de sites web via '''HTTPS''', servidores de envio e recebimento de e-mails ('''MTA'''s), clientes de e-mail ('''MUA'''s) quando se comunicam com os MTAs, DNS quando utilizamos '''DNSSEC''' e qualquer outro sistema que necessite de certificado digital para operar com criptografia dos dados. Em um passado não tão distante, sites eram acessados de maneira insegura usando '''HTTP (80/tcp)''' e era muito comum enganar um visitante com um site falso para roubar-lhe os dados ou induzi-lo a executar algum '''malware''' hospedado. Um certificado serve para garantir que aquele domínio acessado é de fato legítimo e não fraudulento. Não garante que seus dados estarão seguros armazenados naquele sistema, mas isso é uma outra história. O sistema funciona com '''criptografia assimétrica''' onde temos um par de chaves, a '''chave pública''' e uma '''chave privada'''. Nós assinamos as coisas com nossa chave privada e os sistemas conseguem confirmar que é nosso através da nossa chave pública. Tá mas quem garante que eu, sou eu mesmo e não um impostor? Para resolver esse problema entra em ação as '''Autoridades Certificadoras (CA'''s''')''', elas assinam seu certificado atestando que você é quem diz ser. Existem diversas CAs no mundo mas a que vamos falar e utilizar aqui é a '''Let's Encrypt'''. Ela é uma opção gratuita e extremamente utilizada na Internet.<br />
<br />
== Como funciona a '''Let's Encrypt''' ==<br />
Aqui vamos falar de assinatura de certificados para nossos domínios de Internet. Vamos dizer que você tenha registrado o domínio '''seudominio.com.br''' lá no '''Registro.br'''. O Registro.br sabe quem você é e possui seus dados, que foram passados durante o registro do domínio. Lá constam os servidores de DNS Autoritativos que são responsáveis pelos registros do seu domínio. Até aqui não temos nenhum certificado digital que garanta para os visitantes que o site visitado é realmente o seu site. Imagina que por um problema de DNS comprometido em algum ISP, seu cliente foi parar em um servidor que não é o seu e abrindo um site que não é o seu mas que é muito idêntico ao seu. Aqui vai entrar o seu certificado digital assinado pela CA, para salvar o seu cliente de ter seus dados comprometidos.<br />
<br />
A Let's Encrypt para assinar seu certificado também precisa confirmar que você é quem diz ser, não é mesmo? Ela faz isso confirmando que você é o controlador do domínio, que no nosso exemplo é o '''seudominio.com.br'''. Ela pode fazer isso de duas formas:<br />
<br />
* '''HTTP-01'''.<br />
* '''DNS-01'''.<br />
No modelo de confirmação '''HTTP-01''' é necessário que a Let's Encrypt acesse seu servidor através do FQDN para o qual você está solicitando o seu certificado digital. Estamos falando de uma conexão entrante (80/tcp) e que é possível quando existe uma rede pública de acesso. Mas e se você quisesse um certificado digital para um servidor privado seu? Um com '''IP 192.168.0.10''' e '''FC00::192:168:0:10'''. Aí nesse caso podemos tomar para uso a autenticação via '''DNS-01'''.<br />
<br />
Usando DNS-01, a Let's Encrypt conseguirá confirmar a sua identidade através de um registro TXT de DNS contendo um desafio gerado pela Let's Encrypt e que provará que você é o detentor do domínio. Assim você poderá gerar certificados para qualquer IP da sua rede, sendo ele privado ou público. O único problema desse tipo de autenticação, é que precisaríamos de um DNS compatível com um cliente ACME e que permitisse inclusões e atualizações dos registros TXT com os desafios mas são pouquíssimos os DNS(s) Autoritativos que possuem essa capacidade. Felizmente temos uma outra solução bem fácil de implementar, '''acme-dns'''.<br />
<br />
Meu artigo será exatamente sobre o uso do '''DNS-01''' e o '''serviço acme-dns'''.<br />
<br />
== ACME-DNS ==<br />
O [https://github.com/joohoi/acme-dns#self-hosted '''acme-dns'''] é um micro servidor de DNS programado em '''Go''' por '''Joona Hoikkala''' e que também desenvolveu o '''acme-dns-client''' que também iremos utilizar. O acme-dns terá a função de armazenar e atualizar os '''registros TXT de DNS''', com os desafios gerados pela Let's Encrypt e este possui uma API HTTPS para se comunicar com o acme-dns-client. Assim, toda vez que necessitar de atualizar os certificados antes dos 3 meses de expiração, poderá ser feito automaticamente e veremos isso aqui.<br />
<br />
Vamos utilizar os seguintes programas neste artigo:<br />
<br />
* Certbot, o cliente ACME mais utilizado para solicitar os certificados digitais Let's Encrypt.<br />
* ACME-DNS-CLIENT, o software utilizado com o certbot, para atualizar os registros TXT de DNS com os desafios corretos do seu servidor.<br />
* ACME-DNS, o serviço de DNS que armazenará os desafios para o seu servidor.__FORCARTDC__<br />
O funcionamento do conjunto '''acme-dns/acme-dns-client''' é bem simples, é necessário criarmos um '''subdomínio''' para a nossa gerência de desafios apontando para onde nosso '''servidor acme-dns''' ficará rodando. Vamos usar para isso um sistema '''GNU/Linux Debian''' mas você pode adaptar para outras distribuições que desejar. Abaixo nosso exemplo de configuração inicial no nosso '''DNS Autoritativo''':<br />
auth.seudominio.com.br. IN NS auth.seudominio.com.br.<br />
auth.seudominio.com.br. IN A 198.18.0.1<br />
auth.seudominio.com.br. IN A 2001:db8::198:18:0:1<br />
Acima estamos criando nosso '''subdomínio auth''' e apontando para os '''IPs fictícios 198.18.0.1 e 2001:db8:198:0:1''' que é onde estará rodando nosso servidor acme-dns. Esse serviço uma vez rodando, você poderá usá-lo para criar '''certificados TLS usando Let's Encrypt DNS-01''' para qualquer domínio e servidor seu, seja ele público ou privado.<br />
<br />
Como estaremos usando o Debian 12 (Bookworm) certifique-se de estar com o repositório backports abaixo, no seu '''/etc/apt/sources.list''':<br />
deb <nowiki>http://deb.debian.org/debian</nowiki> bookworm-backports main non-free-firmware contrib non-free<br />
O '''Go''' precisaremos apenas para compilar o '''acme-dns''' e o '''acme-dns-client''' e depois, se quiser, poderá desinstalá-lo.<br />
# apt update<br />
# apt install golang-1.23 golang-github-mattn-go-sqlite3-dev git sqlite3 sqlite3-tools<br />
# export PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/lib/go-1.23/bin"<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/joohoi/acme-dns</nowiki><br />
# cd acme-dns<br />
# export GOPATH=/tmp/acme-dns<br />
# go build<br />
# mv acme-dns /usr/local/bin<br />
# adduser --system --gecos "acme-dns Service" --disabled-password --group --home /var/lib/acme-dns acme-dns<br />
# mv acme-dns.service /etc/systemd/system/acme-dns.service<br />
# systemctl daemon-reload<br />
# systemctl enable acme-dns.service<br />
Se quiser manter o Go funcionando, adicione na '''PATH''' em '''/etc/profile''' o caminho '''/usr/lib/go-1.23/bin'''.<br />
<br />
Os comandos acima irão instalar o Go e um módulo pro SQLite3 para o Go, o SQLite3, irá baixar o projeto oficial do acme-dns, irá compilá-lo e jogar o binário '''acme-dns em /usr/local/bin''', irá criar um usuário não privilegiado para ele e por fim colocará para rodar como um serviço no systemd.<br />
<br />
Agora falta pouco para termos rodando nosso acme-dns. Crie o diretório onde ficará a configuração do seu acme-dns:<br />
# mkdir -p /etc/acme-dns<br />
Dentro desse diretório criaremos um arquivo chamado '''config.cfg''' e o conteúdo dele está configurado para o nosso exemplo, mas nesse caso é só você alterar as configurações para o seu uso em produção:<br />
<br />
Conteúdo de '''/etc/acme-dns/config.cfg''':<br />
[general]<br />
# DNS interface. Note that systemd-resolved may reserve port 53 on 127.0.0.53<br />
# In this case acme-dns will error out and you will need to define the listening interface<br />
# for example: listen = "127.0.0.1:53"<br />
listen = ":53"<br />
# protocol, "both", "both4", "both6", "udp", "udp4", "udp6" or "tcp", "tcp4", "tcp6"<br />
protocol = "both"<br />
# domain name to serve the requests off of<br />
domain = "auth.seudominio.com.br"<br />
# zone name server<br />
nsname = "auth.seudominio.com.br"<br />
# admin email address, where @ is substituted with .<br />
nsadmin = "noc.seudominio.com.br"<br />
# predefined records served in addition to the TXT<br />
records = [<br />
# domain pointing to the public IP of your acme-dns server <br />
"auth.seudominio.com.br. A 198.18.0.1",<br />
"auth.seudominio.com.br. AAAA 2001:db8:198:18:0:1",<br />
# specify that auth.example.org will resolve any *.auth.example.org records<br />
"auth.seudominio.com.br. NS auth.seudominio.com.br.",<br />
]<br />
# debug messages from CORS etc<br />
debug = false<br />
<br />
[database]<br />
# Database engine to use, sqlite3 or postgres<br />
engine = "sqlite3"<br />
# Connection string, filename for sqlite3 and postgres://$username:$password@$host/$db_name for postgres<br />
# Please note that the default Docker image uses path /var/lib/acme-dns/acme-dns.db for sqlite3<br />
connection = "/var/lib/acme-dns/acme-dns.db"<br />
# connection = "postgres://user:password@localhost/acmedns_db"<br />
<br />
[api]<br />
# listen ip eg. 127.0.0.1<br />
ip = "0.0.0.0"<br />
# disable registration endpoint<br />
disable_registration = false<br />
# listen port, eg. 443 for default HTTPS<br />
port = "443"<br />
# possible values: "letsencrypt", "letsencryptstaging", "cert", "none"<br />
tls = "letsencrypt"<br />
# only used if tls = "cert"<br />
tls_cert_privkey = "/etc/tls/example.org/privkey.pem"<br />
tls_cert_fullchain = "/etc/tls/example.org/fullchain.pem"<br />
# only used if tls = "letsencrypt"<br />
acme_cache_dir = "api-certs"<br />
# optional e-mail address to which Let's Encrypt will send expiration notices for the API's cert<br />
notification_email = ""<br />
# CORS AllowOrigins, wildcards can be used<br />
corsorigins = [<br />
"*"<br />
]<br />
# use HTTP header to get the client ip<br />
use_header = false<br />
# header name to pull the ip address / list of ip addresses from<br />
header_name = "X-Forwarded-For"<br />
<br />
[logconfig]<br />
# logging level: "error", "warning", "info" or "debug"<br />
loglevel = "debug"<br />
# possible values: stdout, TODO file & integrations<br />
logtype = "stdout"<br />
# file path for logfile TODO<br />
# logfile = "./acme-dns.log"<br />
# format, either "json" or "text"<br />
logformat = "text"<br />
O arquivo já possui comentários das opções de configuração para ajudá-lo a personalizar mais o serviço mas não entraremos em detalhe. Só buscar na documentação do projeto. Acima configuramos ele para funcionar com nossos dados fictícios, estará funcionando tanto via '''IPv4''' quanto via '''IPv6''' apontados para '''auth.seudominio.com.br'''. Ele também já está configurado para solicitar para ele um certificado Let's Encrypt automaticamente.<br />
<br />
Após terminada a configuração acima, iniciaremos o serviço:<br />
# systemctl start acme-dns.service<br />
Após iniciar o serviço teremos as seguintes portas up: '''53/udp''', '''53/tcp''' e a '''443/tcp'''. Esta última porta é para a comunicação '''API''' entre o '''acme-dns-client''' e o '''acme-dns'''. Para checar se o serviço está rodando:<br />
# systemctl status acme-dns<br />
[[Arquivo:Acme-dns1.png|nenhum|miniaturadaimagem|1489x1489px]]<br />
Importante! Para funcionar o serviço de DNS Autoritativo tem que estar configurado certinho. Depois que o acme-dns estiver rodando você pode checar assim. Lembre-se de fazer com seus dados reais.<br />
# host auth.seudominio.com.br<br />
auth.seudominio.com.br has address 198.18.0.1<br />
auth.seudominio.com.br has IPv6 address 2001:db8:198:18:0:1<br />
<nowiki>#</nowiki> apt update<br />
<br />
<nowiki>#</nowiki> apt install golang-1.23 golang-github-mattn-go-sqlite3-dev git sqlite3 sqlite3-tools<br />
<br />
<nowiki>#</nowiki> export PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/lib/go-1.23/bin"Se apresentar erro de '''NXDOMAIN''', então algo não ficou bem configurado no seu '''DNS Autoritativo''', ou '''na configuração do seu acme-dns'''. Dê uma revisada novamente aqui no artigo.<br />
<br />
Se tudo ocorreu bem, então você tem um '''serviço acme-dns''' rodando e pronto para armazenar os '''desafios TXT da Let's Encrypt'''.<br />
<br />
== CERTBOT e ACME-DNS-CLIENT ==<br />
Agora vamos entrar na parte de como gerar um certificado TLS para o seu servidor, mesmo que ele possua apenas IP privado, sem abertura de portas e mais seguro. Para todo sistema que precisarmos gerar certificados, utilizaremos o '''certbot''' e do '''acme-dns-client'''.<br />
<br />
No diagrama deste artigo dou como exemplo um servidor Web HTTPS e um outro com aplicação corporativa mas você poderá gerar certificados para qualquer ambiente.<br />
<br />
Mais uma vez nosso ambiente será um GNU/Linux Debian 12 (Bookworm).<br />
<br />
Primeiramente vamos precisar instalar o Go para compilar o acme-dns-client mas depois você poderá removê-lo se quiser. '''Não esqueça do repositório backports''', como visto no início do artigo. Vamos seguir os passos abaixo:<br />
# apt update<br />
# apt install golang-1.23 certbot git<br />
# export PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/lib/go-1.23/bin"<br />
# cd /usr/local/src<br />
# git clone <nowiki>https://github.com/acme-dns/acme-dns-client</nowiki> ; cd acme-dns-client ; go get ; go build<br />
# mv acme-dns-client /usr/local/bin/<br />
Pronto! Instalamos o '''certbot''', cliente ACME para fazer as solicitações e atualizações dos nossos certificados para a Let's Encrypt e também instalamos nosso '''acme-dns-client'''.<br />
<br />
== Registrando seu domínio e subdomínios que ira utilizar no seu servidor ==<br />
Vamos supor que você tenha um ERP da empresa no IP 192.168.10.10 e que queira gerar o certificado para ele. Após fazer os passos acima, façamos nosso registro:<br />
# acme-dns-client register -d erp.seudominio.com.br -s <nowiki>https://auth.seudominio.com.br</nowiki><br />
Esse comando acima vai registrar no seu acme-dns o registro para '''erp.seudominio.com.br''' e ele vai te vai solicitar que crie um desafio '''CNAME''' apontando para o seu acme-dns. No exemplo abaixo a saída vai ser parecida mas o '''CNAME''' diferente para você cadastrar no seu DNS Autoritativo. O '''acme-dns-client ficará aguardando e testando até que você gere esse registro CNAME'''. Aqui não optei por usar o registro '''CAA''' (Certification Authority Authorization) que seria para só autorizar determinada autoridade certificadora à assinar seu certificado.<br />
# '''acme-dns-client register -d erp.seudominio.com.br -s <nowiki>https://auth.seudominio.com.br</nowiki>'''<br />
[*] New acme-dns account for domain seudominio.com.br successfully registered!<br />
<br />
Do you want acme-dns-client to monitor the CNAME record change? [Y/n]: Y<br />
<br />
To finalize the setup, you need to create a CNAME record pointing from _acme-challenge.erp.seudominio.com.br <br />
to the newly created acme-dns domain 42fa6f9f-5a56-4985-bbd7-c8a0e0ce4e1b.auth.seudominio.com.br<br />
<br />
A correctly set up CNAME record should look like the following:<br />
<br />
_acme-challenge.erp.seudominio.com.br. IN CNAME 42fa6f9f-5a56-4985-bbd7-c8a0e0ce4e1b.auth.seudominio.com.br.<br />
<br />
Waiting for CNAME record to be set up for domain erp.seudominio.com.br<br />
Querying the authoritative nameserver every 15 seconds.<br />
<br />
[*] CNAME record is now correctly set up!<br />
<br />
A CAA record allows you to control additional certificate issuance safeguards. The currently supported<br />
version allows the domain owner to control which certificate authorities are allowed to issue certificates for the domain in question.<br />
The certificate authorities MUST check and respect the CAA records in the validation process.<br />
<br />
There's also a standard (<nowiki>RFC 8657</nowiki>) that extends the CAA record to limit the issuance of certificates to a specific validation <br />
method and/or to a specific ACME account. While they can be tested using staging environment of Let's Encrypt for example,<br />
they're not enabled in the production yet. It is still be worthwhile to configure them so you'll be protected when the feature gets enabled.<br />
Do you wish to set up a CAA record now? [y/N]: N<br />
Vejam como é interessante seu funcionamento: O Let's Encrypt para confirmar que você é o dono do domínio, ele procura pelo '''TXT''' com o desafio em '''_acme-challenge.seudominio.com.br''' só que ele não está no seu DNS Autoritativo e sim no seu servidor acme-dns. O que o '''CNAME''' faz é repassar a consulta para o domínio '''42fa6f9f-5a56-4985-bbd7-c8a0e0ce4e1b.auth.seudominio.com.br''' que está criado no seu '''acme-dns''', que por sua vez contém o '''desafio TXT que a Let's Encrypt está procurando'''.<br />
<br />
Lembra que no início do artigo criamos o subdomínio '''auth.seudomínio.com.br''' e apontamos tudo que for para ele, consultar no '''acme-dns'''? Ou seja '''42fa6f9f-5a56-4985-bbd7-c8a0e0ce4e1b''' é um subdomínio de '''auth.seudominio.com.br'''. É confuso para quem nunca configurou um serviço de DNS mas se você realmente não está conseguindo entender, procure dar uma estudada sobre DNS (Domain Name System).<br />
<br />
Após conseguirmos registrar o domínio acima, passamos para o uso com o '''certbot''', para que possamos solicitar nosso certificado digital para a Let's Encrypt.<br />
<br />
== Usando o certbot com o acme-dns-client ==<br />
Abaixo estamos solicitamos ao '''certbot''' ,usando o nosso '''acme-dns-client''', para gerar o certificado TLS para o '''erp.seudominio.com.br'''. O '''Let's Encrypt''' gerará um '''desafio TXT (DNS-01)''' para o '''erp.seudomínio.com.br''' e o '''acme-dns-client''' incluirá o registro no acme-dns fazendo com que a Let's Encrypt encontre o desafio e libere o certificado digital.<br />
# '''certbot certonly --manual --preferred-challenges dns --manual-auth-hook '/usr/local/bin/acme-dns-client' -d erp.seudominio.com.br'''<br />
Saving debug log to /var/log/letsencrypt/letsencrypt.log<br />
Enter email address (used for urgent renewal and security notices)<br />
(Enter 'c' to cancel): noc@seudominio.com.br<br />
<br />
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -<br />
Please read the Terms of Service at<br />
<nowiki>https://letsencrypt.org/documents/LE-SA-v1.5-February-24-2025.pdf</nowiki>. You must<br />
agree in order to register with the ACME server. Do you agree?<br />
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -<br />
(Y)es/(N)o: Y<br />
<br />
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -<br />
Would you be willing, once your first certificate is successfully issued, to<br />
share your email address with the Electronic Frontier Foundation, a founding<br />
partner of the Let's Encrypt project and the non-profit organization that<br />
develops Certbot? We'd like to send you email about our work encrypting the web,<br />
EFF news, campaigns, and ways to support digital freedom.<br />
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -<br />
(Y)es/(N)o: N<br />
Account registered.<br />
Requesting a certificate for erp.seudominio.com.br<br />
<br />
Successfully received certificate.<br />
Certificate is saved at: /etc/letsencrypt/live/erp.seudominio.com.br/fullchain.pem<br />
Key is saved at: /etc/letsencrypt/live/erp.seudominio.com.br/privkey.pem<br />
This certificate expires on 2025-07-22.<br />
These files will be updated when the certificate renews.<br />
Certbot has set up a scheduled task to automatically renew this certificate in the background.<br />
<br />
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -<br />
If you like Certbot, please consider supporting our work by:<br />
* Donating to ISRG / Let's Encrypt: <nowiki>https://letsencrypt.org/donate</nowiki><br />
* Donating to EFF: <nowiki>https://eff.org/donate-le</nowiki><br />
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -<br />
Os certificados são gerados em /etc/letsencrypt e aí só usá-los em suas aplicações. Para atualizar automaticamente os certificados basta colocar algo assim em seu '''/etc/crontab''':<br />
00 00 1 * * root /usr/bin/certbot renew --post-hook="/usr/bin/systemctl reload nginx.service"<br />
Acima estamos renovando o certificado todo dia 01 de cada mês às 00:00 e na sequência recarregando o nginx para conter o novo certificado. Você pode adaptar para a sua realidade.<br />
<br />
Espero que seja útil este artigo e que agora não tenhamos mais que usar certificados TLS auto-assinados que são feios, não passam segurança e não confirmam a identidade de quem está fornecendo o serviço. Coloque certificado TLS válido em todos os seus serviços e mantenha as boas práticas em dia.<br />
<br />
Essa documentação foi útil? Compartilhe, divulgue e ajude outras pessoas. Meus contatos podem ser vistos [[Sobre mim|aqui]].<br />
[[Categoria:Serviços de Redes e Servidores]]</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1089Autenticacao TOTP Radius Tacacs Debian2026-02-06T00:34:25Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Introdução ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Tudo isso será feito em um '''Debian 13 (Trixie)''' mas pode ser adaptado para ser executado em outras '''distribuições GNU/Linux'''.</div>Gondimhttps://wiki.ispup.com.br/w/index.php?title=Autenticacao_TOTP_Radius_Tacacs_Debian&diff=1088Autenticacao TOTP Radius Tacacs Debian2026-02-06T00:33:37Z<p>Gondim: </p>
<hr />
<div>[[Arquivo:Ssh_totp_radius_tacacs.png|semmoldura|482x482px]]{{DISPLAYTITLE:Autenticação TOTP + Radius/Tacacs no Debian}}<br />
__TOC__<br />
== Descrição ==<br />
A administração remota de servidores '''GNU/Linux''' é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via '''SSH''' e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via '''Radius''' ou '''Tacacs+''' e ainda usar 2FA com Google Authenticator. O '''Radius''' e o '''Tacacs+''' darão controle para administração centralizada da autenticação dos usuários e o '''Google Authenticator''' adiciona uma camada de segurança no acesso '''SSH'''.<br />
<br />
== Pré-requisitos ==<br />
Para que nosso ambiente funcione precisaremos:<br />
<br />
* Um servidor '''Radius''' ou '''Tacacs+''' já em produção. Melhor ainda se estiverem em '''HA (High Availability)''', pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.<br />
* O servidor precisar ter acesso sainte para a '''Internet''', pode ser através de '''NAT'''. Se faz necessário para instalação dos pacotes e download do projeto '''pam_tacplus''' via '''Github''' caso use autenticação via '''Tacacs+.'''<br />
* Tudo isso será feito em um '''Debian 13 (Trixie)''' mas pode ser adaptado para ser executado em outras '''distribuições GNU/Linux'''.</div>Gondim