Saiu um webinar interessante da cPanel do Linked in, na página oficial do grupo.

Para quem está começando com dedicados e administração de servidores ou trabalha com suporte técnico, este webinar traz uma abordagem básica ao SSH, mas é básica mesmo!

Os tópicos da discussão incluem:

• Aprendendo sobre comandos específicos
• Como conectar-se via SSH
• Olhando os logs com tail, tail -f e less
• Movendo e excluindo arquivos

Segue os links originais e o vídeo!

Página oficial do grupo
cPanel Official Company Group group | LinkedIn

Videoteca da cPanel
Overcoming Your Fear of SSH | cPanel Video Site

Opa, para quem não quiser perder tempo ouvindo as falas e simplesmente ler o texto, segue o conteúdo da apresentação na íntegra:

cPanel

Mario Rodriguez
Strategic Partner Manager

David Grega
Technical Product Specialist

SSH
Secure Shell (SSH) é um conhecimento essencial para qualquer administrador de sistemas, mesmo se você usar uma ferramenta como o cPanel & WHM para automatizar o gerenciamento do seu servidor.

• O que, por que, quem, onde e como
• A árvore de diretórios, o que é e como navegar
• Olhando logs
• Movendo e excluindo arquivos
• Determinando o consumo de disco na linha de comando
• Aprendendo mais sobre comandos
• Alternando usuários
• Como aprender mais comandos SSH

O que é SSH

• É basicamente “a linha de comando”, mas através de uma conexão com a internet.
• SSH é uma abreviação para Secure Shell. A parte segura disto é que o SSH utiliza uma conexão criptografada desde antes de você logar até depois de deslogar.

Por que usar SSH? Não posso fazer tudo através do WHM?
SSH fornece flexibilidade.

Tarefas avaçadas que podem ser feitas via SSH:

• Monitorar logs em tempo real
• Ver logs
• Gerenciamento avançado de arquivos, incluindo alterações de proprietário
• Instalar plugins para cPanel e WHM
• Rodar scripts utilitários de terceiros como o mysqltop para monitorar o MySQL

Quem pode usar o SSH?

• root (o administrador do sistema)
• Qualquer um que você conceda permissões de “Shell”, como na tela “Create a New Account” (Shell Access)

O que preciso saber antes de usar o SSH?

• Tudo é case-sensitive. Significa que Exemplo e exemplo são duas coisas totalmente diferentes no mundo do SSH.
• No SSH, quando você insere uma senha, nada aparecerá na tela, nem asteriscos.
• Não há point-and-click. Tudo será feito usando o teclado.

Como eu uso o SSH?

• Estou usando Windows?
• Estou usando Mac OS X?
• Estou usando algo diferente de Windows e Mac?

Como eu uso o SSH no Windows?

• Primeiro, você precisará de um programa que “fale” SSH
• O programa padrão na indústria para Windows é o PuTTY

Como eu uso o SSH no Mac OS X?

• Vem nativo em toda instalação do Mac OS X, mas é oculto por padrão
• Você primeiro terá que ir em Aplicações – Utilitários – Terminal
• Você talvez queira fixar este ícone em seu dock, especialmente se você ama linha de comando
• Na tela do terminal, digite o comando ssh root@server onde server pode ser o hostname, IP ou qualquer domínio que esteja em seu servidor

A árvore de diretórios

• Arquivos ficam dentro de diretórios
• Diretórios podem estar dentro de outras diretórios

/home/novice2/public_html/cgi-bin

• cgi-bin está dentro de public_html
• public_htmlestá dentro de novice2
• novice2 está dentro de home
• home está dentro de /
• / é chamado o diretório root (raíz), porque raízes estão abaixo das árvores

Sabendo disto, nós podemos iniciar de / e chegar no diretório cgi-bin via SSH.

Entrando em um diretório
cd

• Muda um diretório
• Digite cd seguido pelo nome de um diretório para entrar nele
• Digite cd / (e aperte Enter em seu teclado) para entrar no diretório root

O que tem em um diretório?
ls

• Lista o conteúdo do diretório
• Digite ls para ver o que há em um diretório
• Todos os comandos são executados quando você aperta o Enter de seu teclado, então lembre-se de fazer isto

Saindo de um diretório
cd ..

• Leva você “um nível acima”, “na pasta pai”, “fora desta pasta”
• Movendo-se de …/public_html/cgi-bin para dentro de …/public_html
• O diretório que você está no momento é chamado “atual diretório de trabalho”

Gerenciando Arquivos no SSH

Removendo Arquivos

• rm é o comando usado para remover um arquivo
• Não há lixeira ou undelete, isto remove permanentemente um arquivo

rm testfile

Movendo Arquivos

• mv é o comando usado para mover um arquivo ou renomear um arquivo
• Antes de remover um arquivo permanentemente, é recomendável renomear o arquivo primeiro ou movê-lo para ter certeza de que não é mais necessário

O primeiro item é o arquivo, o segundo pode ser:

• Onde você deseja mover o arquivo
• Para qual nome você deseja renomear o arquivo

Você não pode renomear um arquivo para o mesmo nome de um diretório no ambiente cPanel&WHM.

mv test.txt mytest.txt
mv test.txt directory/

Mais informações sobre diretórios
Há duas maneiras de especificar diretórios no Linux:

• Relativo: Uma posição relativa ao seu atual diretório de trabalho (ou dentro de seu atual diretório de trabalho)
• Absoluto: O local completo do diretório partindo do /. Locais absolutos sempre começam com /

mv test.txt directory/
mv test.txt /home/davidgre/public_html/directory/test

Copiando arquivos

• cp é o comando usado para fazer uma cópia de um arquivo
• O primeiro item é o arquivo, o segundo é geralmente o local para onde deseja copiar o arquivo

cp test.txt directory/

Uso de Disco

• du é o comando usado para encontrar o uso de disco de arquivos e diretórios dentro do atual diretório de trabalho

Aprendendo mais sobre comandos

• No Linux, você pode seguir a maioria dos comandos com –help para encontrar como usá-los melhor.

du –help

Uso de disco de todos os Sistemas de Arquivos

• df é um comando útil para visualizar o espaço em disco de todos os sistemas de arquivos em seu servidor

Mais comandos úteis
Linux FAQ

Alternando usuários no SSH

Acesso Negado

• As vezes, executar tarefas como root no diretório de um usuário significa criar arquivos que este usuário não pode gerenciar. Isto também pode ser a causa de erros HTTP 500, pois os arquivos de “propriedade” do root não podem ser lidos por aquele usuário.
• Use o comando su para alternar para outro usuário, então os arquivos serão criados com propriedade para aquele usuário

su testUser

su (Switch User) para o root

• O comando su é muito poderoso, então você não quer que todo mundo possa usá-lo
• Apenas usuários chamados “wheel users” podem usar o su
• Você será solicitado à preencher a senha de root quando tentar alternar com o su para o root

su root

Quando o email padrão for configurado para :fail: ou :blackhole: (este último não recomendado, por sinal), a conta de email principal do domínio deixará de funcionar, retornando a mensagem de erro “No such user here“.

Se o email padrão estiver configurado para a conta principal, este problema não acontece e a conta recebe emails normalmente, tanto interna quanto externamente.

Para que seja possível utilizar o :fail: e a conta principal ao mesmo tempo, basta criar o email principal como se fosse criar uma nova conta de email.

Não vou me extender muito, até porque não conheço muito o programa, mas com ele também é possível executar alguma tarefa e forçar que um core seja gerado, pra verificação posterior ou caso o processo dê erro e não gere o core nem nenhuma outro informação.

Você pode instalá-lo pelo yum:

yum install gdb

Acesse a pasta onde o arquivo core se encontra. Ao executar o comando gdb no shell você acessará seu “prompt”. Depois basta executar o comando core core.nnnn.

Abaixo temos um exemplo do resultado obtido:

[root@servidor /]# gdb
GNU gdb Fedora (6.8-27.el5)
Copyright (C) 2008 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
and "show warranty" for details.
This GDB was configured as "x86_64-redhat-linux-gnu".

(gdb) core core.27445
Core was generated by `/usr/bin/php'.
Program terminated with signal 11, Segmentation fault.
[New process 27445]
#0  0x00000031b2a78d80 in ?? ()

(gdb) quit
[root@servidor /]#

Erro gerado pelo PHP que não trazia detalhes nos logs de erro.

Para sair execute o comando quit.

O suPHP é uma ferramenta para executar scripts PHP com seus próprios usuários, ao invés destes utilizarem o usuário padrão do Apache (nobody).

A utilização deste sistema só agrega para o servidor, facilitando na localização de usuários abusivos e evitando a comum prática de injection em websites vulneráveis.

Há algum tempo, o cPanel embarcou a opção de compilar o Apache já com o suPHP integrado, facilitando assim a vida do administrador.

Veja abaixo algumas situações vivenciadas por desenvolvedores e administradores:

Apache sem suPHP

• O desenvolvedor precisa setar aquela permissão 777 em uma pasta, porque sua galeria não consegue fazer o upload de uma imagem.
• O desenvolvedor precisa editar via FTP aquele arquivo do módulo que foi baixado pelo seu sistema, mas o owner (dono) do arquivo é o nobody (99).
• O administrador precisa atender constantes requisições de mudança de owner para todos os clientes que efetuam uploads através de seus sistemas.
• O administrador precisa descobrir quem é que está com aquele processo consumindo 100% de CPU via strace ou apache status.
• O administrador precisa remover constantemente arquivos maliciosos inseridos em pastas com permissão 777.
• O cPanel não vai contabilizar o espaço em disco corretamente, pois arquivos com o owner nobody “não pertencem” ao user do domínio.

Apache com suPHP

• O desenvolvedor não precisa mais da permissão 777, pois agora os scripts php todos são executados à partir de seu próprio usuário.
• O desenvolvedor necessita apenas duas permissões para o funcionamento ideal do sistema: 755 para diretórios e 644 para arquivos. Nem mais nem menos.
• O desenvolvedor não precisa mais requisitar mudanças de owner para editar aqueles arquivos inseridos pelo seu site.
• O administrador saberá imediatamente na listagem de processos (top) quem é dono daquele processo php ocupando 100% de CPU.
• O administrador não precisa mais se preocupar com sistemas sendo invadidos através de sites vulneráveis e suas pastas com permissões 777.
• A contabilização de espaço em disco estará sempre correta, pois não haverá arquivos nobody.

Ok. Compilar o Apache com o suPHP resolve todos os problemas, certo? Sim, mas traz outros consigo, ao menos no início.

O Impacto

Como dito anteriormente, as permissões de pastas e arquivos terão apenas uma configuração:

755 para diretórios
644 para arquivos

Qualquer permissão acima disso resultará em um “Internal Server Error”.

Como resolver? Setando as permissões da maneira adequada. Simples assim, porém trará um pouco de incomodação caso você já tenha vários sites. Eu ainda prefiro ver isto como um mal necessário.

Compilando

Para deixar o sistema funcionando com o suPHP, você só precisa acessar o EasyApache (Apache Update) no WHM. Ao chegar na sessão Short Options List, apenas marque a caixa do suPHP e mande compilar.

Ao final da compilação, você será direcionado para a tela de configuração do php, que também pode ser encontrada acessando o PHP and SuExec Configuration que por sua vez está em Apache Configuration.

Nesta tela, você configurará o suPHP para o PHP 5 Handler. Pode configurar para o PHP 4 também, caso esteja rodando os dois. Salve e pronto, seu sistema estará configurado para utilizar o suPHP.

Resumo

Mesmo trazendo um pouco de impacto para os clientes quando se trata de um servidor em produção, esta é uma fase curta, que você já pode preparar seus clientes à mudança antes de efetuá-la.

Certamente, a utilização do suPHP traz muito mais prós do que contras. Traz a comodidade da independência e segurança para os desenvolvedores e menos dor de cabeça para os administradores.