Expandir Discos Linux

 # Procedimento para Expandir Disco GPT e LVM sem Perda de Dados
# Autor: Fabiano (Infraestrutura e Redes)
# Descrição: Corrige cabeçalho GPT, amplia partição LVM e expande o volume lógico e sistema de arquivos.

###############################################################
# 1. Corrigir tabela GPT (se houver aviso de 'backup GPT table')
###############################################################
sudo gdisk /dev/sda
# Dentro do gdisk, digite:
# Command (? for help): w
# Warning! Secondary header is placed too early on the disk! Do you want to correct this problem? (Y/N): Y
# Confirme novamente com Y quando solicitado.

# Após sair, atualize as partições:
sudo partprobe /dev/sda

# Verifique se a GPT está corrigida:
sudo gdisk -l /dev/sda

###############################################################
# 2. Verificar o espaço livre após a última partição
###############################################################
sudo parted /dev/sda print free

# Saída esperada: um grande bloco de "Espaço livre" após /dev/sda3

###############################################################
# 3. Expandir a partição LVM até o final do disco
###############################################################
sudo parted /dev/sda
# Dentro do parted:
# (parted) resizepart 3 100%
# (parted) quit

###############################################################
# 4. Atualizar o Physical Volume do LVM
###############################################################
sudo pvresize /dev/sda3

###############################################################
# 5. Verificar volumes LVM disponíveis
###############################################################
sudo lvs
sudo vgs
sudo pvs

###############################################################
# 6. Expandir o Logical Volume (LV) para usar todo o espaço livre
###############################################################
# Substitua /dev/mapper/vgubuntu-root pelo nome do seu volume lógico
sudo lvextend -l +100%FREE /dev/mapper/vgubuntu-root

###############################################################
# 7. Expandir o sistema de arquivos
###############################################################
# Se o sistema for EXT4:
sudo resize2fs /dev/mapper/vgubuntu-root

# Se o sistema for XFS:
sudo xfs_growfs /

###############################################################
# 8. Validar resultados
###############################################################
df -h
lsblk

# O disco agora deve mostrar o tamanho total expandido.

Adicionar 2FA ==> linux

 

Procedimento para configurar SSH + 2FA (Google Authenticator)
1️⃣ Preparar o servidor



Atualize pacotes:
sudo apt update && sudo apt upgrade -y


Instale o Google Authenticator PAM e oathtool (para teste de OTP):
sudo apt install libpam-google-authenticator oathtool -y

Configure o horário corretamente (essencial para TOTP):
sudo timedatectl set-ntp on
sudo timedatectl set-timezone America/Sao_Paulo
sudo ntpdate pool.ntp.org  # força sincronização imediata

2️⃣ Configurar o usuário para 2FA

Logue como o usuário que vai usar SSH (ex.: fabiano):
su - fabiano


Rode o Google Authenticator:

google-authenticator


Responda exatamente assim:

Do you want authentication tokens to be time-based (y/n) y
Do you want to update your ~/.google_authenticator file (y/n) y
Do you want to disallow multiple uses of the same token? (y/n) y
Do you want to increase the window size (y/n) y
Window size in which codes will be accepted (1-17) 3
Do you want to enable rate-limiting (y/n) y


Ajuste permissões do arquivo:

chmod 600 ~/.google_authenticator
chown $(whoami):$(whoami) ~/.google_authenticator


3️⃣ Configurar PAM

Edite /etc/pam.d/sshd para ficar assim:

# Primeiro autentica senha
@include common-auth

# Depois pede OTP
auth required pam_google_authenticator.so

# Restrições de login
account required pam_nologin.so
@include common-account

# Sessão
@include common-session
@include common-password




Ordem importante: common-auth → pam_google_authenticator

Permite que senha local seja pedida primeiro e OTP depois.




4️⃣ Configurar SSH

Edite /etc/ssh/sshd_config:


# Porta e protocolo (ajuste se necessário)
Port 22
Protocol 2

# Segurança
PermitRootLogin prohibit-password
MaxAuthTries 4
MaxSessions 10

# Autenticação
ChallengeResponseAuthentication yes
PasswordAuthentication no
UsePAM yes
AuthenticationMethods keyboard-interactive

# Logs
SyslogFacility AUTH
LogLevel VERBOSE



Explicação:

PasswordAuthentication no → evita conflito com senha SSH “pura”

AuthenticationMethods keyboard-interactive → PAM controla senha + OTP


5️⃣ Testar antes de fechar sessão atual

Valide configuração SSH:
sudo sshd -t


Abra um novo terminal (não feche o atual) e teste login:

ssh -p fabiano@ip


6️⃣ Teste manual do OTP (opcional, para debug)
head -n 1 ~/.google_authenticator    # pega chave secreta
oathtool --totp -b "CHAVE_SECRETA"


Reutilização em outros servidores

Copie o mesmo procedimento:

Instale pacotes (libpam-google-authenticator + oathtool)

Configure horário e NTP

Configure usuário e gere OTP

Ajuste PAM e SSH conforme acima

Sempre teste em nova sessão antes de fechar a atual

RECOVER SENHA UBUNTU

 

✅ Passo a passo para resetar a senha no Ubuntu (No meu caso foi uma VM no ESXi, mas serve também pra host).

1️⃣ Fazer upload do ISO do Ubuntu no ESXi
Baixe a imagem ISO do Ubuntu.
No vSphere/ESXi, vá em Storage → Datastore Browser.
Faça upload do arquivo ISO.

2️⃣ Configurar a VM para bootar pelo ISO
Abra a VM no vSphere/ESXi.
Clique em Edit Settings.
Em CD/DVD Drive, marque:
Datastore ISO file → selecione o ISO que você subiu.
Marque Connect at power on.
Salve.

3️⃣ Alterar prioridade de boot
Ainda nas configurações, em VM Options, marque a opção para entrar no BIOS/UEFI no próximo boot, ou:
Ao ligar a VM, pressione repetidamente ESC ou F2 (depende da VM) para entrar no boot menu.

4️⃣ Bootar no Live Ubuntu
Escolha Try Ubuntu (Experimentar Ubuntu).
Espere carregar a área de trabalho.

5️⃣ Abrir terminal
Clique em Activities → Terminal, ou pressione Ctrl + Alt + T.

6️⃣ Virar root
sudo -s

7️⃣ Listar discos para encontrar a partição do sistema
fdisk -l
Procure a partição maior (ex.: /dev/sda1, /dev/sda2, /dev/sda4 etc.).
Geralmente, ela está marcada como Linux filesystem.

8️⃣ Montar a partição raiz em uma pasta temporária
Supondo que seja /dev/sda2 (exemplo):
mkdir /mnt/recover
mount /dev/sda2 /mnt/recover

9️⃣ Acesse o ambiente chroot (para "entrar" no sistema instalado)
chroot /mnt/recover

1️⃣0️⃣ Altere a senha do root (ou de outro usuário)
passwd root
Digite a nova senha e confirme.
Se quiser trocar de outro usuário (ex.: "renato"):
passwd renato

1️⃣1️⃣Saia do chroot e desmonte a partição
exit
umount /mnt/recover

1️⃣3️⃣ Reiniciar
Volte para ESXi, remova a opção de boot pelo ISO (ou desconecte o CD/DVD).
Reinicie a VM.
Use a nova senha.

** extraído de :

https://www.linkedin.com/posts/renatoolps_linux-ubuntu-vmware-activity-7349538139486547969-iRfT?utm_source=social_share_send&utm_medium=member_desktop_web&rcm=ACoAABwCZqQBOTMqF87WRPnyU8sGKxACCI8hgcc

Recover senha root ubuntu

 

#ubuntu

#root

#linux

Importação de certificado ssl -- erro de senha

1. Extrair chave privada e certificado do .p12:

 
    openssl pkcs12 -in certificado.p12 -out certificado.pem -nodes
 
Isso cria um arquivo .pem contendo chave privada e certificado.
 
 
2 - Criar .pfx novamente a partir do .pem: 
 
openssl pkcs12 -export -in certificado.pem -out certificado.pfx
 
O OpenSSL vai pedir uma senha para proteger o arquivo .pfx.  

Estudo - Kernel Erros

Manual Prático de Interpretação de Logs e Erros do Kernel Linux

 

  Introdução 

 

  Este documento tem como objetivo servir como um guia prático para interpretar logs do kernel Linux. Ele é voltado para analistas de infraestrutura, sysadmins e entusiastas que desejam entender melhor as mensagens emitidas pelo sistema, diagnosticar falhas e aplicar correções de forma eficaz. 

 

Estrutura de Logs do Kernel 

  As mensagens do kernel geralmente são acessadas via dmesg ou journalctl -k. 

Elas seguem um padrão: [tempo desde o boot] origem: 

mensagem Exemplo: [ 2111.447935] BUG: unable to handle page fault for address: 00000000d2000110 Tipos Comuns de Erros e Mensagens 1. BUG: unable to handle page fault 

 

  Significado: Tentativa de acesso a uma região de memória inválida. 

Possíveis causas: Ponteiro inválido no código do kernel ou driver. Driver com bug ou incompatível. Problemas de hardware (RAM). 

Ação sugerida: Verificar mensagens completas com dmesg -T. Analisar stack trace (RIP, Call Trace). Usar memtest86+ para testar memória.  

 

2. kernel panic Significado: 

Erro fatal que força o kernel a travar completamente. 

Possíveis causas: Falhas críticas no sistema de arquivos, drivers ou subsistemas do kernel. 

Ação sugerida: Verificar logs anteriores à mensagem. Usar crash ou dump de memória para análise mais profunda.  

 

3. Oops Significado: 

Erro interno do kernel, mas nem sempre fatal como um panic.

 Possíveis causas: Problemas com ponteiros nulos ou acesso fora dos limites. Bugs em módulos carregados dinamicamente. 

Ação sugerida: Analisar a saída do Call Trace. 

Verificar se o kernel está "tainted". 

 

4. soft lockup / hard lockup

  Significado: CPU está travada em uma tarefa e não consegue continuar a execução. 

Possíveis causas: Deadlocks. Problemas com escalonamento de processos. 

Ação sugerida: Usar perf top ou ftrace para analisar processos em tempo real. Investigar uso excessivo de CPU. 

 

5. tainted kernel  

Significado: O kernel detectou algo incomum e marcou o sistema como "contaminado". 

Possíveis causas: Uso de módulos proprietários. Falhas de hardware. 

Ação sugerida: Verificar código de contaminação em /proc/sys/kernel/tainted. Usar uname -a para coletar versão do kernel e contexto.  

Ferramentas de Apoio  

dmesg -T: Visualiza mensagens com timestamp legível. 

journalctl -k: Filtra logs do kernel. 

memtest86+: Teste de memória RAM. crash / 

makedumpfile: Análise de crash dumps. 

drgn: Depuração interativa de kernel. 

perf, ftrace, systemtap: Análise de performance e tracing. 

 

 

Recursos de Estudo Kernel.org Documentation Livro: Linux Kernel Development (Robert Love) Fórum: LinuxQuestions - Kernel LWN.net - Kernel

Restaurar VM - erro subir storage/hd

19 qm importdisk 101 caedchatcrm-disk2.vmdk local-lvm 20 top 21 top 22 top 23 qm importdisk 101 caedchatcrm-disk2.vmdk local-lvm 24 qm 102 stop 25 qm stop 102 26 exit 27 apt-get update 28 apt-get update 29 apt-get install zabbix-agent 30 cd /etc/ 31 ls 32 cd zabbix/ 33 vim zabbix_agentd.conf 34 vi zabbix_agentd.conf 35 /etc/init.d/zabbix-agent restart 36 /etc/init.d/zabbix-agent restart 37 /etc/init.d/zabbix-agent restart 38 /etc/init.d/zabbix-agent restart 39 /etc/init.d/zabbix-agent restart 40 cd /var/log/ 41 ls -lrta 42 cat syslog 43 cd /var/log/ 44 ls -lrta 45 cat messages 46 fdisk -l 47 poweroff 48 cd /var/lib/vz/images/ 49 ls 50 cd .. 51 cd template/ 52 ls 53 cd iso/ 54 ls 55 scp -P22 en_windows_server_2012_r2_x64_dvd_2707946.iso admlinux@192.168.0.201:/var/tmp 56 exit 57 cd /var/lib/vz/dump/ 58 ls 59 ls -lrta 60 cp /var/tmp/vzdump-qemu-102-2023_06_06-12_21_55.vma.zst ./ 61 mv /var/tmp/vzdump-qemu-102-2023_06_06-12_21_55.vma.zst ./ 62 ls 63 cd /var/lib/vz/dump/ 64 ls 65 mv /var/tmp/vzdump-qemu-102-2023_06_06-12_21_55.* ./ 66 ls -lrta 67 qm stop 103 68 qm start 103 69 cd /var/log/ 70 ls -rlta 71 cat daemon.log 72 cat syslog 73 bd stop 74 qm config 103 75 echo Y > /sys/module/kvm/parameters/ignore_msrs 76 cd /var/log/ 77 ls -lrta 78 cat syslog 79 ls -lrta 80 cat daemon.log 81 ls -lrta 82 cat daemon.log 83 pveversion 84 vgscan 85 pvs 86 vgs 87 lvs -a 88 cd /etc/pve/ 89 ls 90 cat storage.cfg 91 lvscan 92 lvchange -ay /dev/pve/data 93 lvchange -ay /dev/pve/vm-103-disk-0 94 lsblk -f, lvs 95 lsblk -f,lvs 96 lsblk 97 clear 98 lvscan 99 lvchange -an /dev/pve/data 100 lvscan 101 lvconvert --repair /dev/pve/data 102 lvchange -an /dev/pve/data 103 lvconvert --repair /dev/pve/data 104 lvchange -an /dev/pve/data 105 lvchange -an /dev/pve/data 106 lvconvert --repair /dev/pve/data 107 clear 108 lvscan 109 lvconvert --repair /dev/pve/data 110 clear 111 lvscan 112 fdisk 113 fdisk -l 114 e2fsck -y /dev/sda3 115 lvs -a 116 vgs 117 lvchange -ay pve/data 118 lvchange --repair pve/data 119 lvchange --repair pve/data 120 lvconvert --repair pve/data 121 lvchange -an pve/data 122 lvconvert --repair pve/data 123 lvchange -an pve/data 124 lvconvert --repair pve/data 125 lvchange -an -v /dev/pve/vm-103-disk-0 126 lvs -a 127 lvchange -an -v /dev/pve/vm-103-disk-0 128 lvchange -an -v /dev/pve/data 129 lvs -a 130 lvscan 131 lvchange --repair /dev/pve/data 132 lvchange --repair /dev/pve/vm-103-disk-0 133 lvchange -ay pve 134 lvscan 135 lvchange -an -v pve/data_tdata 136 lvscan 137 lvchange -ay pve 138 ifc 139 netstat -tapln 140 apt-get update 141 apt-get install net-tools 142 netstat -tapln

Security pratica

Regras de Segurança, implementando servidores Definir essas flags é uma boa prática para impedir que os atacantes enviem pacotes falsos ao sistema aos quais não é possível responder. Uma instância em que esse recurso é dividido é se o roteamento assimétrico for empregado. Isso ocorreria ao usar protocolos de roteamento dinâmico (bgp, ospf, etc) no seu sistema. Se você estiver usando o roteamento assimétrico no seu sistema, não poderá ativar esse recurso sem interromper o roteamento Set the following parameters in /etc/sysctl.conf or a /etc/sysctl.d/* file: net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 Run the following commands to set the active kernel parameters: sysctl -w net.ipv4.conf.all.rp_filter=1 sysctl -w net.ipv4.conf.default.rp_filter=1 sysctl -w net.ipv4.route.flush=1 Verificações de segurança The following command lists all the directories that can be modified by all and without a sticky bit: find / -type d \( -perm -0002 -a \! -perm -1000 \) -ls 2>/dev/null The following command lists all the directories that can be modified by anyone and whose owner is not root: find / -type d -perm -0002 -a \! -uid 0 -ls 2>/dev/null For distributions under systemd, the following command lists all the services installed on the system: # systemctl list-units --type service The following command lists all executable files for which one or more Linux capabilities have been enabled # find / -type f -perm /111 -exec getcap {} \; 2>/dev/null The following command lists all the services listening on the network: # sockstat