Ensinando seu servidor a ler emails e liberar acesso SSH
Esta solução baseia-se em um programa que recebe emails via console e os armazena em forma de arquivos de texto, um programa que envia emails via console e um script shell que trata os emails com base em algumas instruções pré-estabelecidas, sendo executado a cada 5 minutos.
[ Hits: 43.411 ]
Por: Kernel Panic em 14/11/2007 | Blog: http://nooooooooooooooo.com
Configurando o servidor para receber emails (Getmail)
Instalação
Passo 1: Baixando$ wget http://pyropus.ca/software/getmail/old-versions/getmail-4.7.6.tar.gz
Passo 2: Descompactando
$ tar -vxzf getmail-4.7.6.tar.gz
Passo3: Instalando o programa
Pode ser feito como usuário comum:
$ python setup.py build
Deve ser feito como root:
# python setup.py install
2.b. Configuração
Passo 1: Criando o ambiente
$ mkdir -m 700 ~/.getmail
$ touch ~/.getmail/getmailrc
$ mkdir -p ~/.getmail/{cur,new,tmp}
Passo 2: Configurando o "getmailrc"
$ vim ~/.getmail/getmailrc
[options]
verbose = 0
delete = true
message_log = ~/.getmail/log
message_log_syslog = true
[destination]
type = Maildir
path = ~/.getmail/
[retriever]
type = SimplePOP3Retriever
server = pop.provedor.com.br
username = usuário
password = senha
verbose = 0
delete = true
message_log = ~/.getmail/log
message_log_syslog = true
[destination]
type = Maildir
path = ~/.getmail/
[retriever]
type = SimplePOP3Retriever
server = pop.provedor.com.br
username = usuário
password = senha
Explicando as configurações do getmailrc:
[options] #<-- define as opções gerais.
verbose = 0 #<-- o programa não emitira avisos
delete = true #<-- as mensagens serão baixadas do servidor de email
message_log = ~/.getmail/log #<-- irá gerar informações de log
message_log_syslog = true #<-- Também ira gerar informações de log para o syslog (pura paranóia minha) @:P
[destination] #<-- define como serão entregue os e-mail baixados
type = Maildir #<-- forma de entrega do e-mail
path = ~/.getmail/ #<-- caminho onde ficarão os emails
[retriever] #<--define os parâmetros para receber os e-mails
type = SimplePOP3Retriever #<-- tipo de servidor de e-mail (POP3 simples)
server = pop.provedor.com.br #<-- o provedor de e-mail
username = usuário #<-- usuário de e-mail
password = senha #<-- senha do e-mail
verbose = 0 #<-- o programa não emitira avisos
delete = true #<-- as mensagens serão baixadas do servidor de email
message_log = ~/.getmail/log #<-- irá gerar informações de log
message_log_syslog = true #<-- Também ira gerar informações de log para o syslog (pura paranóia minha) @:P
[destination] #<-- define como serão entregue os e-mail baixados
type = Maildir #<-- forma de entrega do e-mail
path = ~/.getmail/ #<-- caminho onde ficarão os emails
[retriever] #<--define os parâmetros para receber os e-mails
type = SimplePOP3Retriever #<-- tipo de servidor de e-mail (POP3 simples)
server = pop.provedor.com.br #<-- o provedor de e-mail
username = usuário #<-- usuário de e-mail
password = senha #<-- senha do e-mail
2.c. Testando o "getmailrc"
Primeiro, mande alguns e-mails de teste para o e-mail do servidor e depois execute o getmail.
$ getmail
Se tudo deu certo, cada e-mail recebido será armazenado na pasta ~/getmail/new, conforme segue:
$ cd ~/.getmail/new
$ ls -l
-rw------- 1 teste users 2163 2007-10-25 11:49 1193314402.M991323P8523Q0R2c29d22e5e4625a3.teste
-rw------- 1 teste users 3123 2007-10-25 12:01 1193320910.M811470X8533Q0Rdd762e921fca3721.teste
Dica: Você pode acompanhar pelo log (tail -f ~/.getmail/log).
Pronto, seu servidor agora já esta recebendo e-mails.
Páginas do artigo
1. Apresentação2. Configurando o servidor para receber emails (Getmail)
3. Configurando o servidor para enviar emails (Email 2.5)
4. Configurando o servidor para "LER" os emails
5. Finalizando
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
IPTables - Desvendando o mistério
Port Forward mais completo: caçando o fantasma da rede interna
Configurando firewall Shorewall no CentOS
Como bloquear o Ultrasurf - solução definitiva (iptables + Fail2ban)
Comentários
[1] Comentário enviado por thiagop em 14/11/2007 - 08:58h
Gostei da sua solução :)
Só fiquei preocupado em dar os direitos a todos os usuários a rodar o iptables no /etc/sudoers... mas dá-se um jeito ;)
Abraços e parabéns!
Gostei da sua solução :)
Só fiquei preocupado em dar os direitos a todos os usuários a rodar o iptables no /etc/sudoers... mas dá-se um jeito ;)
Abraços e parabéns!
[2] Comentário enviado por kpanic em 14/11/2007 - 09:49h
Saudações...
Concordo com você, eu avaliei desta forma também, entretanto a idéia é rodar estas rotinas como um usuário específico e atribuir apenas a este usuário poder utilizar o iptables através do comando sudo sem que precise passar a senha do root.
Exemplo [ /etc/sudoers ]:
gasper ALL = NOPASSWD: /usr/sbin/iptables
Nesse exemplo somente o usuário gasper tem a permissão e apenas para executar o comando iptables sem que lhe seja solicitado senha.
Esse "ALL" confunde um pouco. =]
Abraços
Kernel Panic
Saudações...
Concordo com você, eu avaliei desta forma também, entretanto a idéia é rodar estas rotinas como um usuário específico e atribuir apenas a este usuário poder utilizar o iptables através do comando sudo sem que precise passar a senha do root.
Exemplo [ /etc/sudoers ]:
gasper ALL = NOPASSWD: /usr/sbin/iptables
Nesse exemplo somente o usuário gasper tem a permissão e apenas para executar o comando iptables sem que lhe seja solicitado senha.
Esse "ALL" confunde um pouco. =]
Abraços
Kernel Panic
[3] Comentário enviado por thiagop em 14/11/2007 - 09:51h
Epa, comi bola hahaha valeu pelo lembrete!
E agora acho que ninugém mais se confunde ;)
Epa, comi bola hahaha valeu pelo lembrete!
E agora acho que ninugém mais se confunde ;)
[4] Comentário enviado por dedraks em 14/11/2007 - 10:25h
Muito legal o seu tutorial.
Eu gostaria de dar umas dicas:
1) Seria bom enviar os emails de forma criptografada ao invés de texto plano.
2) Melhor, enviar os emails usando chaves criptográficas. Aí o servidor só aceitaria emails que vierem de fontes seguras.
3) Colocar no script de logout do bash, o comando pra fechar a porta 22 novamente. Desso modo, ao se desconectar do servidor, a porta é fechada automaticamente.
Muito legal o seu tutorial.
Eu gostaria de dar umas dicas:
1) Seria bom enviar os emails de forma criptografada ao invés de texto plano.
2) Melhor, enviar os emails usando chaves criptográficas. Aí o servidor só aceitaria emails que vierem de fontes seguras.
3) Colocar no script de logout do bash, o comando pra fechar a porta 22 novamente. Desso modo, ao se desconectar do servidor, a porta é fechada automaticamente.
[6] Comentário enviado por elgio em 14/11/2007 - 10:58h
A, esqueci, porque mesmo que a solução por telepatia foi abandonada?
:-D
A, esqueci, porque mesmo que a solução por telepatia foi abandonada?
:-D
[7] Comentário enviado por y2h4ck em 14/11/2007 - 11:17h
Rapaz, sem querer desmerecer seu artigo mas vc dizia no começo
"queria uma forma segura e confiável de acessar o firewall"
Onde diabos vc acha que :
- Mandar emails para um firewall para liberar acesso é seguro
- Adicionar iptables no SUDOERS é seguro ?????
Rapaz, coisa de loco isso ... segurança -1 :P
A soluçao é bacana para vc aprender a fazer umas coisas bacanas,
mas nunca implementem um trosso desse em ambiente de produção !!
Quer uma forma segura e confiável de acesar o firewall ? Acesse via VPN :) com criptografia.
ehehe
Rapaz, sem querer desmerecer seu artigo mas vc dizia no começo
"queria uma forma segura e confiável de acessar o firewall"
Onde diabos vc acha que :
- Mandar emails para um firewall para liberar acesso é seguro
- Adicionar iptables no SUDOERS é seguro ?????
Rapaz, coisa de loco isso ... segurança -1 :P
A soluçao é bacana para vc aprender a fazer umas coisas bacanas,
mas nunca implementem um trosso desse em ambiente de produção !!
Quer uma forma segura e confiável de acesar o firewall ? Acesse via VPN :) com criptografia.
ehehe
[8] Comentário enviado por volcom em 14/11/2007 - 11:22h
Muiiiiiiiiiiiiiiito Bom!!!
Cara, impressionante heheheh, gostei muito mesmo e vou testar assim que possível :D
Abraço e Parabéns
Muiiiiiiiiiiiiiiito Bom!!!
Cara, impressionante heheheh, gostei muito mesmo e vou testar assim que possível :D
Abraço e Parabéns
[9] Comentário enviado por elgio em 14/11/2007 - 11:27h
y2h4ck: hehehehe
Eu não quiz ser tão direto ao ponto como tu, mas não posso deixar de registrar que fecho contigo no teu comentário!
y2h4ck: hehehehe
Eu não quiz ser tão direto ao ponto como tu, mas não posso deixar de registrar que fecho contigo no teu comentário!
[10] Comentário enviado por kpanic em 14/11/2007 - 14:08h
Saudações...
Agradeço a todos pelos comentários e sugestões.
Algumas reações considero normais para a maioria do administradores que assim como eu acreditam que: "A paranóia é nossa amiga".
Muito mais do que somente uma receita de bolo, a intenção foi passar a idéia de uma máquina linux realizando instruções recebidas por email.
Quanto a aspectos de segurança, é um debate tão amplo que não cabe tratar aqui, já que a proposta do artigo nunca não foi esta, entretanto prefiro crer que todo servidor é seguro, exceto os mal administrados.
Uma resposta genérica seria: Sim, existem muitas formas de melhorar e tornar isso mais seguro.
Cabe a cada um conhecer seu ambiente e decidir a te que ponto isso pode ou não ser implementado.
PS: Quer uma forma de deixar seu firewall seguro? tire os cabos de rede.
(não vale usar tempest) ;)
Abraços
Kernel Panic
Saudações...
Agradeço a todos pelos comentários e sugestões.
Algumas reações considero normais para a maioria do administradores que assim como eu acreditam que: "A paranóia é nossa amiga".
Muito mais do que somente uma receita de bolo, a intenção foi passar a idéia de uma máquina linux realizando instruções recebidas por email.
Quanto a aspectos de segurança, é um debate tão amplo que não cabe tratar aqui, já que a proposta do artigo nunca não foi esta, entretanto prefiro crer que todo servidor é seguro, exceto os mal administrados.
Uma resposta genérica seria: Sim, existem muitas formas de melhorar e tornar isso mais seguro.
Cabe a cada um conhecer seu ambiente e decidir a te que ponto isso pode ou não ser implementado.
PS: Quer uma forma de deixar seu firewall seguro? tire os cabos de rede.
(não vale usar tempest) ;)
Abraços
Kernel Panic
[11] Comentário enviado por y2h4ck em 14/11/2007 - 15:00h
"entretanto prefiro crer que todo servidor é seguro, exceto os mal administrados."
Infelizmente ehueh até o dos bons administradores é inseguro =]
"entretanto prefiro crer que todo servidor é seguro, exceto os mal administrados."
Infelizmente ehueh até o dos bons administradores é inseguro =]
[12] Comentário enviado por eduka em 14/11/2007 - 16:06h
É uma idéia muito boa, mesmo.
Independentemente das questões acima citadas sobre segurança relativas a sudo ou criptografia dos emails, o que vale mesmo é o fato de a porta 22 não ficar disponível o tempo todo, ou seja, a questão é manter segurança por "default"
Creio que o mecanismo proposto é legal, pois é uma forma criativa e controlada de fazer uma abertura (vejam que somente os scripts no servidor é que tem a inteligência de fazer ou não fazer a abertura ).
Kernel Panic: esta idéia de ler email é legal, hein? Já fiz implementações de interpretar emails, mas sempre sendo eu um servidor SMTP (ex. qmail, procmail ), mas sua idéia é que o servidor é client de uma conta externa. Ótimo! parabéns...
É uma idéia muito boa, mesmo.
Independentemente das questões acima citadas sobre segurança relativas a sudo ou criptografia dos emails, o que vale mesmo é o fato de a porta 22 não ficar disponível o tempo todo, ou seja, a questão é manter segurança por "default"
Creio que o mecanismo proposto é legal, pois é uma forma criativa e controlada de fazer uma abertura (vejam que somente os scripts no servidor é que tem a inteligência de fazer ou não fazer a abertura ).
Kernel Panic: esta idéia de ler email é legal, hein? Já fiz implementações de interpretar emails, mas sempre sendo eu um servidor SMTP (ex. qmail, procmail ), mas sua idéia é que o servidor é client de uma conta externa. Ótimo! parabéns...
[13] Comentário enviado por jalexandre em 06/03/2008 - 16:04h
Kernel Panic, a idéia a sem duvida nenhuma bem criativa, ponto para você.
Porém, se você fizer isso em lugares que seguem a BS7799, é bem provavél que tu seja mandado embora.
Uma forma interessante de fazer isso seria uma implementação de VPN + PortKnocking.
Parabéns pela criatividade. Sem dúvida, eu irei utilizar este método para algumas coisas que divertidas, como robozinhos de manutenção. =)
[ ] 's
Kernel Panic, a idéia a sem duvida nenhuma bem criativa, ponto para você.
Porém, se você fizer isso em lugares que seguem a BS7799, é bem provavél que tu seja mandado embora.
Uma forma interessante de fazer isso seria uma implementação de VPN + PortKnocking.
Parabéns pela criatividade. Sem dúvida, eu irei utilizar este método para algumas coisas que divertidas, como robozinhos de manutenção. =)
[ ] 's
[14] Comentário enviado por joaorubens em 01/03/2013 - 13:10h
da uma olhada no meu post e me fala se esqueci alguma coisa.
http://www.vivaolinux.com.br/topico/vivaolinux/Como-enviar-email-via-SSH
da uma olhada no meu post e me fala se esqueci alguma coisa.
http://www.vivaolinux.com.br/topico/vivaolinux/Como-enviar-email-via-SSH
[15] Comentário enviado por GIRLinux em 19/03/2013 - 18:09h
Ola quando tento enviar um email me da o erro
Fatal smtp error 530 5.7.0 must issue a STARTTLS COMMAND FIRST
Conta : hotmail
Porta smtp
smtp_server = 'smtp.live.com'
smtp_port = '587'
Ola quando tento enviar um email me da o erro
Fatal smtp error 530 5.7.0 must issue a STARTTLS COMMAND FIRST
Conta : hotmail
Porta smtp
smtp_server = 'smtp.live.com'
smtp_port = '587'
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Atenção a quem posta conteúdo de dicas, scripts e tal (1)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
pacotes 32 bit no void 64 bit (1)
erro ao clonar repo github (7)
ASRock H310CM-HG4 vs Linux (1)
Como adicionar módulo de saúde da bateria dos notebooks Acer ao kernel... (26)
Top 10 do mês
-
Xerxes
1° lugar - 72.676 pts -
Fábio Berbert de Paula
2° lugar - 58.090 pts -
Clodoaldo Santos
3° lugar - 44.931 pts -
Buckminster
4° lugar - 26.899 pts -
Sidnei Serra
5° lugar - 26.027 pts -
Daniel Lara Souza
6° lugar - 17.839 pts -
Mauricio Ferrari
7° lugar - 17.307 pts -
Alberto Federman Neto.
8° lugar - 17.259 pts -
Diego Mendes Rodrigues
9° lugar - 15.555 pts -
edps
10° lugar - 14.712 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
