Você está na página 1de 307

Guia Prtico do Servidor Linux

Editado por

Conectiva S.A.

Guia Prtico do Servidor Linux Editado por Conectiva S.A. 2.0 Edio Publicado em outubro de 2000 Copyright 2000 por Conectiva
Equipe Conectiva: Coordenao: Mrcia Gawlak Autor: Roberto Selbach Teixeira Imagens: Artur T. Hara Reviso Gramatical: Fernando Cardoso Desenvolvimento/Diagramao: Jorge Luiz Godoy Filho Colaboradores: Guilherme Hayashi; Gustavo Niemeyer; Jos Eloi de Carvalho Junior; Luis Claudio R. Gonalves; Marcelo Martins; Marcelo Tosatti; Marcos Polidoro; Moiss Jos Gonalves dos Santos; Rodrigo Missiagia;

Copyright 2000 - Conectiva S.A. Linux uma marca registrada e concedida por Linus Torvalds, seu criador e cedente. Windows, Windows NT e Internet Explorer so marcas registradas da Microsoft Corporation. Netware uma marca registrada da Novell, Inc. Macintosh e Appletalk so marcas registradas da Apple Computers. Netscape Communicator uma marca registrada da Netscape Communications Corporation. Todas as demais marcas registradas so de uso e direito de seus respectivos proprietrios. As marcas registradas so de propriedade dos seus autores. A presente publicao foi produzida com o mximo de cuidado. O editor, porm, no assume responsabilidades sobre eventuais erros de interpretao, omisses ou danos resultantes do uso das informaes aqui descritas, por terceiros, de boa ou m f.

Os autores gostariam de ser avisados sobre modicaes, tradues e verses impressas. Agradecemos a todos aqueles que tm participado ativamente no desenvolvimento dos trabalhos de traduo, internacionalizao, divulgao e adaptao do Linux realidade latinoamericana, pois muito de nosso esforo est calcado no esforo participativo desta comunidade. Esperamos que este guia seja de utilidade para todos aqueles que busquem uma ferramenta de auxlio s suas atividades dirias, e que possa enriquecer e facilitar os seus conhecimentos.

Dados Internacionais de Catalogao na Publicao (CIP) (Cmara Brasileira do Livro, SP, Brasil) ISBN 85-87118-28-5 1. Linux (Sistema operacional de computador) 2. Roberto Selbach Teixeira. Conectiva S.A. Rua Tocantins, 89 - Cristo Rei - Curitiba - PR CEP 80.050.430 http://www.conectiva.com.br

ndice
Prefcio .......................................................................................................................... 21 Convenes Tipogrcas....................................................................................... 25 1. Servidor DNS............................................................................................................. 27 Apresentao ......................................................................................................... 27 Instalao............................................................................................................... 27 Congurao ......................................................................................................... 29 Cadastramento de Estaes.......................................................................... 32 Congurando Mapas de IPs Reversos ......................................................... 39 Criao de Apelidos..................................................................................... 40 Domnios Virtuais usando o DNS................................................................ 42 2. Apache........................................................................................................................ 45 Apresentao ......................................................................................................... 45 Pr-requisitos......................................................................................................... 45 Instalao............................................................................................................... 46 Congurao ......................................................................................................... 47

Instalao do Mdulo PHP3 ........................................................................ 53 Teste de Congurao ........................................................................................... 54 3. Domnios Virtuais ..................................................................................................... 59 Apresentao ......................................................................................................... 60 Pr-requisitos......................................................................................................... 61 Instalao............................................................................................................... 61 Congurao ......................................................................................................... 62 4. Sendmail .................................................................................................................... 67 Apresentao ......................................................................................................... 67 Pr-requisitos......................................................................................................... 67 Instalao............................................................................................................... 68 Congurao ......................................................................................................... 69 Adicionando Emails no Domnio Virtual .................................................... 76 Congurando Filtros de Spam ..................................................................... 77 Testes ..................................................................................................................... 81 5. Webmail ...................................................................................................................... 83 Apresentao ......................................................................................................... 83

Pr-requisitos......................................................................................................... 83 Instalao............................................................................................................... 84 Congurao ......................................................................................................... 85 6. Apelidos de Email .................................................................................................... 113 Apresentao ....................................................................................................... 114 Pr-requisitos....................................................................................................... 116 Instalao............................................................................................................. 117 Congurao ....................................................................................................... 118 Inicializao do Servio ...................................................................................... 121 7. Listas de Discusso.................................................................................................. 123 Apresentao ....................................................................................................... 123 Pr-requisitos....................................................................................................... 123 Instalao............................................................................................................. 124 Congurao ....................................................................................................... 124 Criando uma Lista de Discusso................................................................ 129 Comandos de Request ................................................................................ 132 Referncias ................................................................................................ 134

8. Servidor Proxy ......................................................................................................... 135 Apresentao ....................................................................................................... 136 Pr-Requisitos ..................................................................................................... 137 Instalao............................................................................................................. 138 Congurao ....................................................................................................... 139 Congurao do Servidor .......................................................................... 139 Opes de Segurana ....................................................................... 142 Congurao da Estao .................................................................. 148 Netscape Communicator ..................................................... 148 StarOfce............................................................................. 151 Inicializao do Squid................................................................................ 151 9. IP Masquerading ..................................................................................................... 153 Apresentao ....................................................................................................... 154 Pr-requisitos....................................................................................................... 155 Instalao............................................................................................................. 155 Congurao ....................................................................................................... 156 Congurao das Estaes ........................................................................ 160 Conectiva Linux ............................................................................... 161

10

Windows........................................................................................ 163 10. Servidor PPP ......................................................................................................... 167 Apresentao ....................................................................................................... 167 Pr-requisitos....................................................................................................... 167 Instalao............................................................................................................. 168 Congurao ....................................................................................................... 169 11. Radius e Portslave ................................................................................................. 173 Apresentao ....................................................................................................... 174 Pr-requisitos....................................................................................................... 175 Instalao do Radius............................................................................................ 176 Congurao do Radius ...................................................................................... 176 O arquivo clients....................................................................................... 177 O arquivo naslist....................................................................................... 178 O arquivo users .......................................................................................... 179 Instalao do Portslave ........................................................................................ 182 Congurao do Portslave................................................................................... 183 12. Compartilhamento de Recursos .......................................................................... 189

11

Apresentao ....................................................................................................... 189 Pr-requisitos....................................................................................................... 189 NFS ............................................................................................................ 189 LPD............................................................................................................ 190 Instalao............................................................................................................. 190 NFS ............................................................................................................ 190 LPD............................................................................................................ 191 Congurao ....................................................................................................... 192 NFS ............................................................................................................ 193 Exportando um diretrio .................................................................. 193 Montando um diretrio remoto ........................................................ 196 LPD............................................................................................................ 199 13. Boot Remoto .......................................................................................................... 209 Apresentao ....................................................................................................... 209 Pr-requisitos....................................................................................................... 210 Instalao............................................................................................................. 211 Congurando o Servidor de Boot Remoto .......................................................... 211 Criando disquetes de boot ................................................................................... 216

12

Congurando as Estaes.................................................................................... 217 Gerenciando Pacotes RPM para as estaes ....................................................... 220 Instalando Pacotes ..................................................................................... 220 Remoo de Pacotes RPM......................................................................... 226 Referncias .......................................................................................................... 226 14. FreeS/WAN ............................................................................................................ 229 Apresentao ....................................................................................................... 230 Pr-requisitos....................................................................................................... 233 Instalao............................................................................................................. 234 Congurao ....................................................................................................... 234 O arquivo ipsec.conf.................................................................................. 235 O arquivo ipsec.secrets............................................................................. 240 Testes Ps-instalao........................................................................................... 244 15. Backup .................................................................................................................... 247 Apresentao ....................................................................................................... 247 Pr-requisitos....................................................................................................... 248 Instalao............................................................................................................. 249 Congurao ....................................................................................................... 250

13

Os Arquivos de Congurao.................................................................... 251 Espao em Disco Rgido .................................................................. 255 Tipos de Fita..................................................................................... 256 Tipos de Dump ................................................................................. 257 Listas de Discos ............................................................................... 261 Inicializando as Fitas........................................................................ 262 Criando Tarefas no Cron .................................................................. 262 O Comando amush ........................................................................ 264 O Comando amcheck ...................................................................... 264 Recuperao de Dados ..................................................................... 265 Congurando os Clientes........................................................................... 266 Referncias .......................................................................................................... 268 A. Licenas Gerais ...................................................................................................... 271 Introduo............................................................................................................ 271 O BSD Copyright ................................................................................................ 272 X Copyright......................................................................................................... 273 B. Licena de Uso e Garantia de Produto................................................................. 277 Geral .................................................................................................................... 277

14

Licena Restrita de Produtos............................................................................... 278 Antes da Instalao.............................................................................................. 280 Garantia Limitada................................................................................................ 280 Limitao de Reparao e Responsabilidade ...................................................... 281 Bug do Ano 2000....................................................................................... 282 Geral .................................................................................................................... 283 C. Licena Pblica Geral GNU.................................................................................. 285 Introduo............................................................................................................ 285 Termos e Condies para Cpia, Distribuio e Modicao ............................ 287 Como Aplicar Estes Termos a Novos Programas?.............................................. 293 ndice Remissivo.......................................................................................................... 297

15

16

Lista de Tabelas
1. Convenes deste Guia ............................................................................................... 26

Lista de Figuras
1-1. Congurando o DNS ............................................................................................... 29 1-2. Congurao inicial do DNS................................................................................... 30 1-3. Adio/edio de mquinas ..................................................................................... 32 1-4. Selecionando o domnio .......................................................................................... 33 1-5. Incluso de mquinas............................................................................................... 34 1-6. Especicando o nome de uma mquina .................................................................. 35 1-7. Adio/Edio de mquinas .................................................................................... 37 1-8. Mquinas cadastradas no domnio........................................................................... 37 1-9. Adio Rpida de Mquinas.................................................................................... 38 1-10. Tela de Edio de Mquinas .................................................................................. 39 1-11. Adicionando um Mapa de IP Reverso ................................................................... 40 1-13. Adio/Edio de domnios................................................................................... 42

17

1-14. Adio/edio de domnios ................................................................................... 43 3-1. Domnios virtuais .................................................................................................... 60 4-1. Ativao do mdulo do Sendmail do Linuxconf ..................................................... 69 4-2. Congurao do Sendmail....................................................................................... 70 4-3. Conguraes bsicas do Sendmail ........................................................................ 71 4-4. Adicionando um domnio virtual de email .............................................................. 74 4-5. Adicionando endereos de email virtuais................................................................ 76 4-6. Filtros de spam......................................................................................................... 78 5-12. Tela de login ........................................................................................................ 111 6-1. Mensagem para comercial@minhaorganizacao.com.br roteada para diversos usurios reais da organizao. ............................................................................. 114 6-2. Mensagens para diversos endereos virtuais roteadas para um nico usurio real.115 6-3. Congurao do Sendmail..................................................................................... 118 6-4. Denindo Apelidos................................................................................................ 118 6-5. Adicionando/Editando Apelidos............................................................................ 119 7-1. Tela de administrao da lista Desenvolvimento................................................... 131 7-2. Tela da lista Desenvolvimento. .............................................................................. 133 8-1. Funcionamento de um servidor Proxy. .................................................................. 136

18

8-2. Congurao de servidor proxy no Netscape ..................................................... 149 8-3. Congurao manual de servidor proxy no Netscape ........................................ 149 8-4. Congurao de servidor proxy no StarOfce ................................................... 151 9-1. Servidor Compartilhando Conexo ....................................................................... 154 11-1. Servidor de acesso solicita permisso de acesso ao servidor de autenticao..... 174 13-1. Rede com boot remoto......................................................................................... 209 13-2. Menu do mdulo de boot remoto do Linuxconf.................................................. 212 13-3. Tela de instalao do servidor de boot remoto. ................................................... 213 13-4. Criao dos disquetes de boot ............................................................................. 217 13-5. Mensagem de gerao de disquete bem sucedida ............................................... 217 13-6. O utilitrio setup. ................................................................................................. 219 13-7. Menu de opes de gerenciamento de RPM ....................................................... 220 13-8. Instalao de pacotes RPM.................................................................................. 222 13-11. Desinstalao de pacotes RPM.......................................................................... 226 14-1. Segurana de conexes ........................................................................................ 230 14-2. Segurana entre dois modems .............................................................................. 231 14-3. Exemplo de caso comum de IPSec...................................................................... 235 15-1. Backup ................................................................................................................. 247

19

20

Prefcio
Este guia no apresenta teoria de servios, e sim, a sua implementao passo a passo, objetivando facilitar o dia-a-dia dos administradores que j tm conhecimento terico e querem implement-lo na prtica e tambm orientar com segurana os administradores que no tm conhecimento terico e querem implementar um servio seguindo um modelo. O ideal conhecer a teoria e depois aplicar na prtica para evitar possveis erros. Este guia segue uma linha bsica apresentando a soluo, pr-requisitos, seguindo para a instalao e congurao do servidor e das estaes de trabalho. Todas as solues apresentadas no guia partem do pressuposto de que o administrador no tem o pacote instalado no servidor ou na estao de trabalho. Desta maneira, priorizamos o processo de instalao com o comando rpm. Para o processo de congurao estamos utilizando como padro o Linuxconf; todas as conguraes esto centralizadas no Linuxconf, porque uma ferramenta gil e fcil para o processo de administrao de servidores. Mas nada impede que o administrador congure as solues manualmente nos respectivos arquivos; isto pode ser um processo mais complicado para aqueles que no conhecem os caminhos e os arquivos de congurao. Ainda falando do Linuxconf, note que as imagens que voc encontra no guia no so iguais s imagens originais do seu Linuxconf quando instalado. O Linuxconf que est sendo utilizado no guia usa a interface do Gnome, por ter uma esttica e apresentao de mais qualidade do que a interface que instalada automaticamente no seu Conectiva Linux. No se preocupe com isto; apesar de a interface ser diferente, os caminhos de congurao so iguais. Isto vlido somente para a interface grca; a interface texto e

21

Prefcio

web so iguais. O administrador pode usar as funcionalidades do instalador do Conectiva Linux para instalar automaticamente os pacotes de algumas solues, para isso utilize os pers de instalao. Consulte o Guia de Instalao do Servidor para mais informaes. As solues apresentadas no guia permitem que o administrador de sistemas ou de redes congure uma rede de computadores para usar tarefas bsicas, como o compartilhamento de recursos e arquivos ou para montar um provedor Internet, alm de poder utilizar solues para fazer um backup de seu servidor ou, ainda, compilao do kernel. O Guia Prtico apresenta, com detalhes, a instalao de um servidor de nomes, como congur-lo e de que maneira se cadastra as estaes da rede; mostra como criar domnios virtuais utilizando o prprio servio de DNS, que o administrador j tem pronto em sua rede. Descrevemos a importncia da utilizao de um servidor web em sua empresa e o que motiva a instalao de um servidor Apache; os pr-requisitos necessrios para a instalao desse servidor, a instalao propriamente dita, sua congurao e ainda a instalao do mdulo PHP3 com o Apache. Depois de congurar cada servio importante fazer um teste de funcionamento. O administrador pode gerar um teste proposto no prprio guia. Como uma extenso do captulo do Apache, demonstramos como criar domnios virtuais utilizando o prprio servidor web. Atualmente a criao de domnios virtuais um negcio rentvel para muitos provedores de Internet. O Conectiva Linux facilita a criao dessa soluo utilizando o Apache e suas funcionalidades. Neste captulo o passo mais importante o de congurao, no por ser difcil e

22

Prefcio

sim por ser o mais longo; exige que voc tenha uma maior ateno nessa congurao. O Captulo Sendmail demonstra de uma forma fcil como instalar e congurar um servidor de email. O Sendmail j um servidor para email consagrado no mundo Linux; muita documentao dele encontrada na Internet. Disponibilizamos neste guia uma soluo prtica de congurao usando o Linuxconf. Outro captulo fala da simplicidade de se congurar um Webmail; um sistema de email que no precisa de um programa cliente para envio e checagem de mensagens e sim de um navegador. Atravs da web o usurio pode enviar e receber mensagens, independente do lugar em que esteja. Para fazer funcionar o Webmail corretamente, necessrio ter um servidor IMAP instalado corretamente, o Apache com o mdulo do PHP3_IMAP e uma entrada no seu DNS. Com este captulo o administrador facilitar a vida de muitas pessoas que precisam viajar e checar seus emails. Apelidos de email um captulo que exibe uma soluo prtica para empresas que necessitam criar vrias contas de email e ao mesmo tempo centralizar em algumas pessoas. Utilizando o Sendmail e o Linuxconf o administrador de sistemas ou de redes resolve esta questo em um curto espao de tempo. Muitas empresas perceberam o quo importante facilitar a comunicao entre funcionrios. Para isso, o Conectiva Linux oferece o pacote Mailman que permite a criao de listas de discusso. O Guia Prtico explica passo a passo a criao de uma lista de discusso. O Guia ainda traz uma soluo bastante importante para as empresas e provedores de Internet; demonstra como congurar uma soluo de proxy. Um proxy uma forma alternativa de acesso Internet, seja por WWW ou FTP. Ao invs de

23

Prefcio

os clientes acessarem os arquivos da Internet diretamente, o cliente requisita as pginas ao servidor proxy, e este acessa as pginas. Servidores proxy providenciam uma variedade de funes essenciais para uma rede. Primeiro, um servidor proxy oferece uma barreira segura entre sua rede interna e a Internet. Pode-se bloquear vrios protocolos e endereos de IP chegando sua rede, e ao mesmo tempo controlar os protocolos que os usurios internos rede utilizam para acessar a Internet. Outro benefcio o fato de um servidor proxy poder compartilhar uma conexo Internet entre vrios ou mesmo com todos os usurios na rede. O IP Masquerading apresentado em um captulo prprio, que exibe a instalao do pacote e a congurao nas estaes de trabalho Conectiva Linux e Windows. importante a implementao do IP Masquerading, pois, quando instalado em uma mquina Conectiva Linux com um modem, ele funciona como um roteador de uma rede de pequeno porte. Os captulos "Servidor PPP" e "Radius e Portslave" apresentam solues para conexo com a Internet usando um protocolo de autenticao que o Radius. O Compartilhamento de Recursos trs solues bsicas de compartilhamento de arquivos e impressoras. Um Captulo bastante interessante o Boot Remoto. Ele exibe uma soluo que tem sido utilizada com sucesso h vrios anos no ambiente Linux, demonstrando robustez e grande ecincia na gerncia de recursos. O captulo de FreeS/WAN descreve uma soluo importante para a segurana de redes. Quanto mais a Internet cresce, mais importncia dada segurana das mquinas que dela fazem parte, principalmente dos servidores de dados e servios. Uma tcnica de segurana largamente utilizada atualmente a criptograa dos dados transmitidos entre uma mquina e outra, com uma chave que

24

Prefcio

conhecida apenas pelos dois participantes da conversa. Um novo protocolo chamado IPv6 foi desenvolvido para substituir o IPv4, usado hoje na Internet (no TCP/IP mais exatamente). Alm de expandir o nmero possvel de endereos IP de 32 bits para 128 bits, o IPv6 introduz uma nova tecnologia de criptograa e autenticao de hosts, chamada IPSec. Como o IPv6 um projeto a longo prazo (as melhores expectativas dizem que os hosts estaro iniciando a migrao por perto do ano 2005), vrios programadores esto implementando a especicao do IPSec sobre o IPv4, para que possamos utiliz-lo imediatamente. O IPSec um padro, documentado, ocial, e independente de plataforma de hardware e sistema operacional. Pode-se ter uma mquina Conectiva Linux comunicando-se com um roteador Cisco, usando IPSec, por exemplo, ou um Conectiva Linux com um FreeBSD, etc. Finalizaremos este Guia com um processo muito importante na administrao de sistemas, o processo de Backup. Ele descrito utilizando-se a ferramenta Amanda. Para nalizar este guia, so apresentadas as licenas de uso gerais, a licena de uso do produto e a GPL. O Guia Prtico do Servidor do Linux vem ajudar e apresentar o novo Conectiva Linux. Aproveite ao mximo seus conceitos e exemplos.

Convenes Tipogrcas

25

Prefcio

Durante a confeco deste guia, procuramos descrever e formatar com uniformidade os vrios termos utilizados. Segue abaixo as principais convenes utilizadas.
Tabela 1. Convenes deste Guia

Conveno Itlico Opes de Menus e Submenus

Letra courier

(mais fina e espaada)

Descrio Palavras em ingls. Letra em tamanho maior que o corpo de texto; os submenus esto separados por setas. Denida para nomes de arquivos ou extenses de arquivos.

A Conectiva espera, com este material, fornecer uma base para aqueles que desejam implantar solues avanadas em um servidor, utilizando uma plataforma Linux. Se for encontrado algum erro ortogrco ou conceitual, por favor acesse o site (http://www.conectiva.com.br/doc/errata) e preencha o formulrio adequado. A Conectiva agradece o seu interesse neste produto e deseja boa sorte em seu empreendimento!

26

Captulo 1. Servidor DNS

Apresentao
O servio de resoluo de nomes e endereos IP fundamental em uma rede de computadores, principalmente em ambientes como a Internet ou uma Intranet. Ele responsvel por traduzir um nome de mquina ou domnio, como, por exemplo, kepler.minhaorganizacao, para o seu respectivo endereo de IP como, por exemplo, 10.0.0.1. A resoluo de nomes tambm envolve a resoluo reversa de nomes de mquinas, ou seja, a partir de um endereo de IP, retornar o nome da mquina ou domnio. Devido sua importncia, deve-se atentar para sua correta congurao e proteo. Servidores de nomes so alvos freqentes de ataques de diversos tipos. As descries que seguem baseiam-se no pacote BIND, que reconhecido como um padro para servidores DNS, amplamente utilizado, disponvel para diversos sistemas operacionais e de livre distribuio.

27

Captulo 1. Servidor DNS

Instalao
Para instalar o BIND abra um terminal e:
1. Acesse o diretrio de pacotes do CD 2 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

2. Instale o pacote:
# rpm -ivh bind-chroot-* bind-chroot ######################################

Note que esta soluo utiliza o pacote bind-chroot e no o pacote bind. Caso voc j esteja com o pacote bind instalado no poder usar o bind-chroot. O bind-chroot semelhante ao bind, com a diferena de executar o processo named como usurio comum, ou seja, sem ser superusurio, isto muitas vezes prefervel j que existem diversas consideres sobre segurana envolvidas. Se voc quiser utilizar o bind-chroot ter de desinstalar o bind antes. Para isto, basta digitar:
# rpm -e bind

28

Captulo 1. Servidor DNS

3. possvel que voc tenha de instalar o mdulo do Linuxconf para congurao do servidor DNS. Para faz-lo, acesse o diretrio de pacotes do CD 1 do Conectiva Linux e instale o mdulo:
# rpm -ivh linuxconf-dnsconf-* linuxconf-dnsconf ####################################

Congurao
A congurao do DNS pode ser feita atravs do Linuxconf. Para congurar o servidor DNS, abra o Linuxconf e pressione a seqncia de botes Ambiente de RedeTarefas do ServidorDNS - servidor de nomes de domnio.

29

Captulo 1. Servidor DNS

Figura 1-1. Congurando o DNS

Este o menu inicial de congurao do Linuxconf. A partir dele voc pode congurar todo o servidor de nomes de sua empresa. Pressione o boto domnios para congurar as opes bsicas do DNS.

Figura 1-2. Congurao inicial do DNS

30

Captulo 1. Servidor DNS

Nesta tela voc deve informar os dados referentes ao seu domnio.


Domnio: este o nome do domnio; no caso, estamos criando um domnio chamado de minhaorganizacao. Servidor principal: este o nome da mquina onde o servidor de nomes estar sendo executado. No caso de nosso exemplo, o domnio minhaorganizacao ser controlado pela mquina kepler.minhaorganizacao. Note que o ponto no nal do nome necessrio. Email do administrador: este o endereo de correio eletrnico do administrador de sistema. Em caso de problemas, este administrador poder ser avisado. Note que se usa um ponto (.) no lugar de arroba (@) neste campo.

H, ainda, algumas outras conguraes que podem ser feitas nesta tela, mas que no cobriremos neste livro. So elas:
Servidores de nome (NS): em uma congurao simples, basta o nome do servidor principal. Alm disso, voc dever informar aqui quais sero os servidores secundrios de seu domnio. Servidores de correio (MX): aqui voc pode denir o servidor que encaminha as mensagens de correio eletrnico do seu domnio para a Internet. IPs padro: aqui voc pode denir um ou mais endereos de IP de mquinas que sero acessadas atravs do domnio. normal pesquisas em servidores de nome se referirem apenas ao domnio, mas os domnios no possuem IPs, apenas mquinas os tm, assim, denindo IPs padro, uma pesquisa ao domnio minhaorganizacao ir resultar naquele IP padro. Funcionalidades: aqui podem ser denidas algumas funcionalidades do domnio. Por

31

Captulo 1. Servidor DNS

exemplo, pode-se denir de quanto em quanto tempo os servidores secundrios sero atualizados. Controle de Acesso: voc pode denir algumas opes de segurana para seu servidor de nomes.

Cadastramento de Estaes
Para cadastrar uma mquina no banco de dados do DNS a partir do menu inicial da congurao do servidor DNS, v para Adicionar/Editar e ver uma tela como a Figura 1-3:

32

Captulo 1. Servidor DNS

Figura 1-3. Adio/edio de mquinas

Clique em informaes de mquinas por domnio para selecionar a qual domnio a mquina ser adicionada.

33

Captulo 1. Servidor DNS

Figura 1-4. Selecionando o domnio

Simplesmente, selecione o domnio desejado para iniciar a adio/edio de mquinas:

Figura 1-5. Incluso de mquinas

Na Figura 1-5 pode-se ver que a lista de mquinas ainda est vazia. Clique em Adicionar para digitar o nome da mquina a ser adicionada. Na tela que aparece (Figura 1-6) j vem informado o nome do domnio; voc deve digitar somente o nome da mquina antes do ".":

34

Captulo 1. Servidor DNS

35

Captulo 1. Servidor DNS

36

Captulo 1. Servidor DNS

Digite o nome da mquina antes do ponto e pressione Aceitar para preencher as informaes da mquina.

Figura 1-7. Adio/Edio de mquinas

Basicamente, a nica informao que voc tem de informar o endereo de IP. O resto opcional. Depois de preencher corretamente o endereo de IP da mquina, clique em Aceitar. Isso ir adicionar a mquina ao banco de dados do DNS. Note que voc retornar sempre tela de adio de mquinas (Figura 1-6) para possibilitar a adio de mquinas adicionais. Clique em Cancelar quando no desejar mais cadastrar nenhuma mquina. Aps terminar de cadastrar mquinas voc poder ver as mquinas que esto

37

Captulo 1. Servidor DNS

cadastradas no domnio:

Figura 1-8. Mquinas cadastradas no domnio

Alm do modo apresentado de adio de mquinas ao DNS, voc pode utilizar a opo edio rpida.

Figura 1-9. Adio Rpida de Mquinas

Voc dever digitar o nome completo da mquina a ser adicionada, ou seja, o

38

Captulo 1. Servidor DNS

nome e o domnio. Clique em Aceitar para adicionar a mquina. A tela seguinte permite digitar as informaes da mquina. Note que a mesma tela utilizada na opo anterior.

Figura 1-10. Tela de Edio de Mquinas

Congurando Mapas de IPs Reversos

39

Captulo 1. Servidor DNS

Figura 1-11. Adicionando um Mapa de IP Reverso

A tarefa principal do servidor de nomes fazer o mapeamento entre os nomes de mquinas e os endereos IP. Ele realiza automaticamente a traduo de um nome de mquina para um endereo IP. Com mapas de IPs reversos possvel fazer o caminho inverso, ou seja, traduzir um nome de mquina em um endereo de IP. A congurao de uma mapa de IP reverso extremamente semelhante congurao de domnios. As informaes da tela de congurao so basicamente as mesmas da tela de congurao de domnio. Voc informa o nmero de rede do seu servidor, o nome do servidor, o endereo de correio eletrnico do administrador e a lista de servidores de nomes.

Criao de Apelidos
comum a criao de apelidos de nomes de mquinas. Os apelidos permitem que uma mesma mquina seja acessada atravs de diversos nomes diferentes. O

40

Captulo 1. Servidor DNS

exemplo mais comum criar o apelido "www" para o servidor HTTP. Seguindo os passos abaixo, voc criar o apelido "www" para a mquina kepler.minhaorganizacao. Voc poder facilmente adaptar os passos abaixo para criar outros apelidos.
1. Acesse o Linuxconf e v para Ambiente de RedeTarefas de ServidorDNS - servidor de nomes de domnio+Adicionar/Editar+informaes de mquinas por domnio; 2. Selecione o domnio a ser utilizado; 3. Clique em Adicionar; 4. Digite o nome do apelido com o domnio. No nosso exemplo, digite www.minhaorganizacao; 5. Na tela seguinte (vide Figura 1-12), voc deve digitar o nome real da mquina no campo um apelido para (CNAME);

Figura 1-12. Criao de um apelido

41

Captulo 1. Servidor DNS

6. Pressione Aceitar.

Domnios Virtuais usando o DNS


No menu principal de congurao do DNS, clique em domnios para adicionar um domnio virtual.

Figura 1-13. Adio/Edio de domnios

Clique em Adicionar para ver a tela de informaes de domnio.

42

Captulo 1. Servidor DNS

Figura 1-14. Adio/edio de domnios

Note que esta a mesma tela utilizada para a criao do domnio primrio. Perceba que, embora o domnio criado seja myorganization, o servidor o kepler.minhaorganizacao. Isso quer dizer que o domnio myorganization , na verdade, um domnio virtual que aponta para minhaorganizacao.

43

Captulo 1. Servidor DNS

44

Captulo 2. Apache
Apresentao
As empresas preocupam-se com suas imagens na Internet, images estas que podem ser comprometidas no somente por m escolha no design de suas pginas como na qualidade dos servios que pretendem prestar. A boa implementao de um servidor web portanto um dos fatores que determinam o sucesso de uma empresa nesta rea. O Servidor web Apache largamente utilizado no mundo todo. Esta liderana deve-se ao fato de ter uma excelente performance, alto nvel de personalizao, conabilidade, portabilidade, vasta documentao disponvel e seu baixo custo. Como a congurao do Apache est amplamente documentada, este captulo ir apresent-la de maneira breve (mas suciente para a instalao de um servidor web simples) e mostrar como instalar o mdulo de PHP3, uma linguagem de pginas dinmicas bastante popular.

45

Captulo 2. Apache

Pr-requisitos
Para implantar esta soluo voc precisa:

que sua rede esteja corretamente congurada e funcionando; que seu servio de DNS esteja corretamente instalado e congurado;

Instalao
Para instalar o Apache:
1. Acesse o CD da distribuio do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

2. Instale o pacote do Apache:


# rpm -ivh apache-* apache ########################################

apache-devel ########################################

46

Captulo 2. Apache

apache-doc

########################################

Congurao
A congurao do servidor Apache pode ser feita atravs do Linuxconf. Para congurar o seu Apache, entre no Linuxconf e siga os seguintes passos:
1. V para Ambiente de RedeTarefas de ServidorApache - servidor Web. Surgir uma tela da Figura 2-1.

47

Captulo 2. Apache

Figura 2-1. Menu de congurao inicial do Apache

2. Agora clique em Padres:

48

Captulo 2. Apache

Figura 2-2. Menu de Congurao Inicial do Apache

3. Digite o endereo de email do administrador do sistema no campo email do administrador. 4. Digite o nome do servidor HTTP. Se o servio de resoluo de nomes funcionar corretamente, ou seja, se ele for capaz de determinar o nome da mquina atravs do endereo de IP, ento voc no precisa (nem deve) digitar nada neste campo. Apenas utilize esta opo se o servio de nomes for incapaz de resolver o nome do servidor. 5. Se voc desejar que vrios domnios virtuais compartilhem o mesmo endereo de IP,

49

Captulo 2. Apache

digite-o no campo Endereo IP do domnio. 6. O campo diretrio raiz dos documentos o diretrio em que os arquivos das pginas sero armazenados. O valor padro o /home/httpd/html e recomendamos que voc no o modique. 7. Clique em Aceitar. 8. Saia do Linuxconf. Ative a congurao quando lhe for solicitado. 9. Inicialize o Apache. Abra um terminal e digite:
# cds atalk atd autofs crond dhcpd functions gpm halt httpd inet keytable killall kudzu ldap linuxconf-setup lpd mars-nwe mysql named netfs network nfs nfslock pcmcia portmap

# ./httpd start Iniciando httpd: [ OK ]

10. Para testar a congurao, abra o Netscape (ou outro navegador de sua preferncia) e v para o endereo http://localhost. Se a congurao estiver correta, voc ver uma tela semelhante Figura 2-3:

50

Captulo 2. Apache

51

Captulo 2. Apache

52

Figura 2-3. Pgina inicial do Apache Conectiva Linux no Netscape

Captulo 2. Apache

Instalao do Mdulo PHP3


O PHP3 uma linguagem que tem se tornado bastante popular nos servidores web da Internet. Com ela possvel a criao de pginas dinmicas diretamente no servidor. O Conectiva Linux possui um pacote chamado mod_php3, que faz com que o Apache possa mostrar pginas dinmicas em PHP3. Para instalar o mod_php3 em seu Apache, siga os seguintes passos:

Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:


# cd /mnt/cdrom/conectiva/RPMS

Instale o pacote:
# rpm -ivh mod_php3-3.0.16-2cl.i386.rpm mod_php3 ########################################

53

Captulo 2. Apache

Use o editor de textos de sua preferncia e abra o arquivo /etc/httpd/conf/httpd.conf. Insira as seguintes linhas no nal do arquivo:
LoadModule php3_module AddModule mod_php3.c AddType application/x-httpd-php3 .php3 modules/libphp3.so

Note que estas linhas j se encontram comentadas no arquivo (iniciadas com um "#"). Assim, voc pode optar por procur-las no arquivo e descomentlas; esta opo mais complexa, mas prefervel, j que deixa o arquivo de congurao do Apache mais organizado.

Reinicie o Apache:
# cds atalk atd autofs crond dhcpd functions gpm halt httpd inet keytable killall kudzu ldap linuxconf-setup lpd mars-nwe mysql named netfs network nfs nfslock pcmcia portmap

# ./httpd restart Desligando httpd: Iniciando httpd: [ [ OK OK ] ]

54

Captulo 2. Apache

Teste de Congurao
Para vericar se sua instalao e congurao esto corretas, siga os seguintes passos:
1. Acesse o diretrio dos arquivos do Apache:
# cd /home/httpd/html

2. Use o seu editor de textos para criar um arquivo chamado data.php3 com o seguinte contedo:
<html> <? setlocale ("LC_TIME", "pt_BR"); ?> <body>

Hoje
</body> </html>

<b><? print(strftime ("%A, %d de %B de %Y")); ?><b>

3. Use o Netscape para visualizar a pgina.

Se o mod_php3 estiver funcionando, voc ver a pgina mais ou menos como

55

Captulo 2. Apache

na Figura 2-4:

Figura 2-4. Teste bem sucedido de PHP3

Se a congurao estiver incorreta, voc provavelmente ir ver a Figura 2-5:

56

Captulo 2. Apache

Figura 2-5. Pgina em PHP3 no sendo visualizada corretamente

Se este for o caso, reveja os passos da instalao para vericar o que foi feito errado. Alm disso, veja o arquivo /var/log/httpd/error_log, que dever ter informaes sobre o erro.

57

Captulo 2. Apache

58

Captulo 3. Domnios Virtuais

59

Captulo 3. Domnios Virtuais

Apresentao

Figura 3-1. Domnios virtuais 60

Captulo 3. Domnios Virtuais

Em muitos casos, interessante manter um grande nmero de domnios virtuais. Por exemplo, servios de hospedagem de domnios um negcio rentvel e que est se tornando bastante popular. A tarefa de criao de domnios virtuais bastante simples no Apache, envolvendo apenas algumas incluses no arquivos de congurao do servidor web e nas conguraes do servidor de nomes. No entanto, quando o nmero de domnios cresce, a quantidade extra de conguraes no arquivo de congurao do Apache acaba por tornar o servio bastante lento para carregar.

Pr-requisitos
Para utilizar esta soluo voc precisa:

que a rede esteja corretamente congurada; que o seu servio de DNS esteja congurado e funcionando corretamente; que seu servidor web (Apache) esteja congurado e funcionando corretamente.

61

Captulo 3. Domnios Virtuais

Instalao
Se voc j houver atendido os pr-requisitos, no ser necessrio instalar nada. Para instalar corretamente o BIND e o Apache, verique a documentao sobre o DNS e sobre o Apache, que pode ser encontrada neste livro.

Congurao
A congurao do Apache para a utilizao desta soluo bastante simples. Siga os passos abaixo:
1. Edite o arquivo /etc/httpd/conf/httpd.conf e adicione a seguinte linha aps a ltima ocorrncia de LoadModule:
LoadModule vhost_alias_module modules/mod_vhost_alias.so

2. Para habilitar o mdulo, adicione a seguinte linha aps o ltimo parmetro AddModule:
AddModule mod_vhost_alias.c

62

Captulo 3. Domnios Virtuais

3. Procure a linha UseCanonicalName e altere-a para:


UseCanonicalName Off

4. Para efeito de organizao, ser necessrio criar um formato de log comum aos domnios virtuais. Adicione a seguinte linha aps o ltimo parmetro LogFormat:
LogFormat "%V %h %l %u %t \"%r\" %s %b" vcommon

5. Dena um endereo de IP para ser utilizado pelos domnios virtuais. Em nosso exemplo, utilizaremos o endereo de IP 10.0.0.2. Adicione a seguinte linha:
NameVirtualHost 10.0.0.2:80

No caso estamos especicando a porta 80. Como a mesma a porta padro, no necessrio especic-la, mas voc pode usar o exemplo acima para especicar outra porta se for necessrio em sua congurao.

6. Adicione as seguintes linhas no arquivo de congurao. Elas especicam que os

63

Captulo 3. Domnios Virtuais

domnios iro ser colocados no diretrio /dominiosv.


<VirtualHost 10.0.0.2>

VirtualDocumentRoot /dominiosv/%0/html VirtualScriptAlias /dominiosv/%0/cgi-bin CustomLog logs/access_log.vhost vcommon


</VirtualHost>

7. Reinicie o Apache abrindo um terminal e digitando:


# cds atalk atd autofs crond dhcpd functions gpm halt httpd inet keytable killall mars-nwe mysql named

# ./httpd restart Desligando httpd: Iniciando httpd: # [ [ OK OK ] ]

8. O prximo passo a criao dos diretrios dos domnios. Estes diretrios devem

64

Captulo 3. Domnios Virtuais

ser criados abaixo do diretrio especicado na congurao de VirtualHost, ou, em nosso caso, /dominiosv. Para exemplo, vamos criar a estrutura para o domnio www.minhaorganizacao.com.br:
# mkdir /dominiosv/www.minhaorganizacao.com.br # mkdir /dominiosv/www.minhaorganizacao.com.br/html # mkdir /dominiosv/www.minhaorganizacao.com.br/cgi-bin

Voc pode copiar os arquivos HTML, imagens e scripts para este diretrio.

9. Adicione uma entrada no DNS para o novo domnio virtual. Vide a documentao sobre DNS para saber como fazer isso. 10. Repita os itens 8 e 9 para cada domnio virtual a ser criado.

Para testar as conguraes, aps ter reiniciado o servidor Apache, voc pode simplesmente acessar o domnio virtual atravs de um navegador ou com o comando ping:
# ping novodominio.minhaorganizacao PING novodominio.minhaorganizacao (10.0.0.3): 56 data bytes 64 bytes from 10.0.0.3: icmp_seq=0 ttl=255 time=0.2 ms

65

Captulo 3. Domnios Virtuais

64 bytes from 10.0.0.3: icmp_seq=1 ttl=255 time=0.1 ms 64 bytes from 10.0.0.3: icmp_seq=2 ttl=255 time=0.2 ms

Voc pode tambm simplesmente tentar acessar o novo domnio utilizando um navegador; se o domnio estiver corretamente instalado, voc ver a pgina criada para o domnio (ou a listagem do diretrio, caso voc no tenha criado nenhuma pgina).

66

Captulo 4. Sendmail

Apresentao
A congurao e manuteno de um servidor de correio eletrnico de extrema importncia. Muitas empresas utilizam o correio eletrnico para fechar negcios e a indisponibilidade do servio pode causar prejuzos nanceiros instituio. Se escolhermos o mtodo de congurao pelo Linuxconf nos depararemos com a limitao de endereos de IP, pois para cada domnio que se deseja rotear emails necessrio um endereo de IP. Por outro lado, a congurao e administrao tornam-se extremamente facilitadas neste mtodo. Tambm possvel congurar o mesmo username para domnios diferentes.

Pr-requisitos
Para implementar a soluo apresentada neste captulo, voc precisar de:

conhecimentos sobre congurao do servidor de nomes;

67

Captulo 4. Sendmail

uma entrada no DNS para o nome MX associado ao endereo de IP do servidor de correio eletrnico. Caso sejam criados domnios virtuais, sero necessrios uma entrada MX e um endereo IP exclusivo para cada um.

Instalao
Para utilizar esta soluo voc deve instalar o Sendmail. Para isso, abra um terminal e:
1. Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

2. Instale os pacotes do Sendmail e do Servidor IMAP:


# rpm -ivh sendmail-* imap-* sendmail sendmail-cf ############################## ##############################

sendmail-doc ############################## imap imap-devel ############################## ##############################

68

Captulo 4. Sendmail

3. Use o editor de textos de sua preferncia para editar o arquivo /etc/inetd.conf. Voc deve localizar e descomentar (retirar o "#" inicial) das seguintes linhas:
pop-2 pop-3 stream stream tcp tcp nowait nowait root /usr/sbin/tcpd ipop2d

root

/usr/sbin/tcpd \

/usr/lib/linuxconf/lib/vpop3d /usr/sbin/ipop3d imap stream tcp nowait root /usr/sbin/tcpd imapd

Congurao
Para congurar o Sendmail voc deve abrir o Linuxconf e pressionar o boto da opo ControleCongurar os mdulos do Congurador Linux. Certiquese de que a congurao do servidor de email (Sendmail) est ativa, como na Figura 4-1.

69

Captulo 4. Sendmail

Figura 4-1. Ativao do mdulo do Sendmail do Linuxconf

Feito isso, voc deve retornar tela inicial de Congurao do Linuxconf e ir para Ambiente de RedeTarefas de ServidorSendmail - sistema de envio de emails.

70

Captulo 4. Sendmail

Figura 4-2. Congurao do Sendmail

Pressione em Congurar Informaes bsicas:

71

Captulo 4. Sendmail

Figura 4-3. Conguraes bsicas do Sendmail

Nesta tela (Figura 4-3) voc vai congurar o comportamento do Sendmail. Os campos e opes mais utilizados so:

Apresentar seu sistema como: este campo normalmente utilizado na maioria das conguraes e simplesmente contm o nome ocial de seu domnio. Por exemplo:
minhaorganizacao

Aceitar email para "seu domnio": selecione esta opo para que o Sendmail aceite mensagens de correio eletrnico no s endereados ao servidor, mas tambm para seu

72

Captulo 4. Sendmail

domnio.

Se esta opo no for selecionada e o seu servidor de correio eletrnico chamase smtp.minhaorganizacao, o Sendmail s aceitar mensagens destinadas a usurios como usuario@smtp.minhaorganizacao.

Ativar controle de envio (spammers): altamente recomendvel ativar esta opo. Esta opo permite decidir quem ter permisso de utilizar o servidor para enviar mensagens. Tamanho mximo de mensagens: utilize esta opo se for desejvel limitar o tamanho mximo de mensagens que so enviadas e recebidas pelo servidor. Fornea neste campo o tamanho mximo (em bytes) das mensagens que o servidor ir rotear. Processar consulta a cada(min): permite denir o intervalo no qual Sendmail ir tentar enviar as mensagens que restam na la. O padro 15 minutos. Esperar DNS: o Sendmail faz um uso bastante pesado do servio de DNS. Esta opo fora o uso do servidor de nomes quando ativada.

Para criar usurios de email no domnio real, basta adicionar usurios normais ao sistema. Opcionalmente, voc tambm pode utilizar a opo Contas POP (somente email) da tela de gerenciamento de usurios do Linuxconf. Estes usurios diferem dos usurios normais apenas porque os usurios POP no possuem um shell no sistema. Voc pode desejar utilizar domnios virtuais para o recebimento e envio de mensagens. Para utilizar domnios virtuais com o Sendmail, voc precisar colocar uma entrada no servio DNS. Para aprender como fazer isso, consulte a docu-

73

Captulo 4. Sendmail

mentao do servidor de nomes. Alm disso, voc deve reiniciar o inetd e o Sendmail. Para faz-lo, utilize os comandos abaixo:
# cds # ./inet stop # ./inet start # ./sendmail restart

Voc dever ter uma entrada MX apontando para um endereo de IP exclusivo. Por exemplo, voc pode fazer com que seu domnio minhaorganizacao aponte MX para smtp.minhaorganizacao. No Linuxconf, v para Ambiente de redeSendmail - sistema de envio de emailsdomnio virtual de emailAdicionar.

74

Captulo 4. Sendmail

Figura 4-4. Adicionando um domnio virtual de email

Os campos mais utilizados na criao de domnios virtuais de email so:

Domnio virtual (fqdn): este o nome ocial do domnio. Por exemplo: minhaorganizacao; Destino de retorno (opc.): este um endereo eletrnico para o qual sero enviadas as mensagens que chegaram ao domnio e porque o Sendmail no encontrou um usurio vlido de destino.

Caso no seja informado nada nesta opo, se o Sendmail no encontrar o destinatrio da mensagem que chegou para este domnio, ser enviada uma mensagem de erro para o remetente avisando que o endereo de destino invlido.

75

Captulo 4. Sendmail

Limita a caixa do usurio para (k): tamanho mximo em kilobytes que cada caixa postal deste domnio deve ter.

Se chegar uma mensagem e a caixa postal do usurio j se encontrar com o tamanho denido nesta opo, a mensagem retornar para o remetente. No confunda esta opo com o "Tamanho mximo das mensagens" da congurao bsica. "O Tamanho mximo das mensagens" limita o tamanho das mensagens que so enviadas ou recebidas. O limite da caixa do usurio limita o tamanho da caixa postal do mesmo. Esta caixa postal pode conter vrias mensagens e geralmente apagada aps o usurio l-las.

Adicionando Emails no Domnio Virtual


No Linuxconf, v para Contas de usuriosContas POP virtuais (somente email). Voc ver uma janela com a lista de domnios virtuais congurados em seu sistema; selecione o domnio desejado para adicionar endereos a ele:

76

Captulo 4. Sendmail

Figura 4-5. Adicionando endereos de email virtuais

Digite o nome de usurio, assim como seu nome completo para adicionar uma conta de email virtual. Note que os usurios criados nesta tela no possuem interpretadores de comandos, ou seja, no podem conectar-se e executar comandos no servidor. Estes usurios s podem receber e enviar mensagens de correio eletrnico.

Congurando Filtros de Spam


possvel controlar quem pode utilizar o servidor para enviar mensagens de cor-

77

Captulo 4. Sendmail

reio eletrnico. muito importante que esta limitao seja feita para evitar que spammers faam mal uso do servidor. Para congurar os ltros execute o Linuxconf e acesse a opo Ambiente de redeTarefas de ServidorSendmail - sistema de envio de emailsFiltros de Spam.

Figura 4-6. Filtros de spam

Os ltros de spam podem ser feito por:

78

Captulo 4. Sendmail

remetentes rejeitados:

Figura 4-7. Denindo Nomes de Remetentes Bloqueados

Voc pode denir endereos de correio eletrnico que no podero mandar mensagens para este servidor. Voc pode usar isto com endereos de email de spammers conhecidos. Voc pode ainda denir uma mensagem para ser retornada ao remetente.

por endereos de IP autorizados:

Figura 4-8. Denindo Endereos de IP

79

Captulo 4. Sendmail

O Sendmail aceita reencaminhar (relay) mensagens provenientes dos endereos de IP denidos.

por nomes de mquinas:

Figura 4-9. Denindo nomes de mquinas autorizadas

O Sendmail aceita reencaminhar (relay) mensagens provenientes das mquinas denidas nesta tela.

por domnios autorizados:

Figura 4-10. Denindo domnios autorizados

O Sendmail aceita reencaminhar (relay) mensagens provenientes dos domnios

80

Captulo 4. Sendmail

denidos nesta tela.

Testes
Para testar se a congurao est funcionando corretamente, basta enviar um email para um endereo do servidor. Execute o seguinte comando:
$ echo Teste | mail -s Teste de email usuario@minhaorganizacao

onde usuario um nome de usurio de email e minhaorganizacao o seu domnio de email. A mensagem dever ser entregue aps alguns instantes. Se este no for o caso, voc deve vericar o arquivo /var/log/maillog para informaes sobre o problema e vericar se voc seguiu as instrues corretamente. Outra maneira para testar se a congurao est correta a utilizao do comando telnet:
$ telnet kepler.minhaorganizacao 25 Trying 10.0.0.1... Connected to kepler.minhaorganizacao.

81

Captulo 4. Sendmail

Escape character is ^]. 220 kepler.minhaorganizacao ESMTP Sendmail 8.10.2/8.10.2; ... helo minhaorganizacao 250 kepler.minhaorganizacao, pleased to meet you mail from: usuario1@minhaorganizacao 250 2.1.0 usuario1@minhaorganizacao... Sender ok rcpt to: usuario2@minhaorganizacao 250 2.1.5 usuario2@minhaorganizacao... Recipient ok data 354 Enter mail, end with "." on a line by itself Mensagem de teste . 250 2.0.0 e8TDKDa01366 Message accepted for delivery quit 221 2.0.0 kepler.minhaorganizacao closing connection Connection closed by foreign host.

onde usuario1 e usuario2 so dois usurios de correio eletrnico. Aps esta sesso SMTP, uma mensagem de usuario1 dever ser entregue para usuario2.

82

Captulo 5. Webmail
Apresentao
Muitas vezes interessante para a empresa permitir que seus funcionrios possam acessar suas contas de email fora da empresa sem a necessidade de conguraes complexas. Com o webmail, possvel acessar a conta de email sem qualquer congurao de clientes de email. O usurio s precisa de um navegador com acesso Internet. O Conectiva Linux oferece o IMP, um pacote de webmail baseado na linguagem PHP3. Esta soluo apresenta a instalao e congurao do IMP utilizando o Apache e o mod_php3. Consulte a documentao para informaes sobre como instal-los e congur-los.

Pr-requisitos
Para implementar a soluo de webmail, voc precisa:

que seu servidor Apache esteja corretamente congurado;

83

Captulo 5. Webmail

que sua rede esteja corretamente congurada; que seu Apache possua suporte linguagem PHP3. Voc pode consultar a documentao sobre o Apache para mais informaes sobre como instalar o suporte ao PHP3; que a linguagem PHP3 esteja com suporte a IMAP habilitado. Mais informaes sobre como fazer isso adiante, neste captulo.

Instalao
Para instalar o IMP, siga os seguintes passos:
1. Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

2. Instale o servidor IMAP:


# rpm -ivh imap-4* imap ###############################

84

Captulo 5. Webmail

3. Lembre-se de que voc j dever ter instalado e congurado o mdulo de PHP3, conforme captulo sobre o Apache: 4. Instale o pacote do Horde:
# rpm -ivh horde-core-1* horde-core ##########################

5. Instale o pacote do IMP:


# rpm -ivh imp-2* imp ################################

Congurao
Antes de continuar, voc deve ter um servidor IMAP funcionando em sua rede. Se voc ainda no possui um, instale-o (conforme as instrues na seo anterior) e siga os seguintes passos para congur-lo:

85

Captulo 5. Webmail

1. Acesse o diretrio de conguraes do Conectiva Linux:


# cd /etc

2. Use o editor de textos de sua preferncia para abrir o arquivo inetd.conf. 3. Voc deve localizar as linhas correspondentes aos servios POP-2, POP-3 e IMAP e descoment-las (retirando o "#" do incio da linha). As linhas se parecem com:
pop-2 pop-3 imap stream stream stream tcp tcp tcp nowait nowait nowait root root root /usr/sbin/tcpd /usr/sbin/tcpd /usr/sbin/tcpd ipop2d ipop3d imapd

4. Voc deve reiniciar o inetd:


# killall -HUP inetd

Se a mensagem "inetd: no process killed" aparecer, ento voc deve iniciar o inetd:
# /etc/rc.d/init.d/inet start Iniciando os servios INET: [ OK ]

86

Captulo 5. Webmail

Vale ressaltar que voc dever ter o Apache congurado com suporte linguagem PHP3. Consulte o captulo sobre o assunto para mais informaes. Feito isso, voc deve ainda garantir que a linguagem PHP3 tenha suporte a IMAP. Para fazer isso, siga os passos abaixo:
1. Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

2. Instale os pacotes do PHP3:


# rpm -ivh php3-cgi-3.0.16-2cl.i386.rpm php3-cgi ################################

# rpm -ivh php3-cgi-imap-3.0.16-2cl.i386.rpm php3-cgi-imag ################################

3. Acesse o diretrio de conguraes do mdulo de PHP3 do Apache:


# cd /etc/php3/apache/

87

Captulo 5. Webmail

4. Utilize o editor de textos de sua preferncia para abrir o arquivo php3.ini.

Localize a seguinte linha:


;extension=imap.so

E retire o ponto-e-vrgula inicial para descomentar a linha. Salve e feche o editor. Para congurar o IMP em seu servidor Conectiva Linux, siga os seguintes passos:
1. V para o diretrio de instalao do IMP:
# cd /usr/share/horde

2. Execute o script install.sh:


# ./install.sh

Your blank configuration files have been created, please go to the configuration utitlity at :

your install path url/setup.php3

88

Captulo 5. Webmail

Este script prepara o ambiente de congurao do IMP, criando arquivos de congurao vazios.
3. Abra o Netscape e acesse a pgina /horde/setup.php3 do Apache (Figura 5-1).

89

Captulo 5. Webmail

Figura 5-1. Tela de congurao do IMP 90

Captulo 5. Webmail

Selecione a linguagem desejada (Brazilian Portuguese - [pt-BR], para portugus do Brasil) e pressione Prxima.
4. O prximo passo selecionar o servidor IMAP (Figura 5-2). Digite o nome da mquina e pressione Prxima.

91

Captulo 5. Webmail

Figura 5-2. Seleo do servidor IMAP

92

Captulo 5. Webmail

5. Voc pode selecionar um caminho para os arquivos e grcos do webmail (Figura 5-3). Recomendamos que voc deixe os valores padro e pressione Prxima.

93

Captulo 5. Webmail

Figura 5-3. Diretrios virtuais dos arquivos do webmail

94

Captulo 5. Webmail

6. Agora voc deve fornecer as opes padro do seu servidor IMAP (Figura 5-4). Depois de terminar pressione Prxima.

95

Captulo 5. Webmail

96 Figura 5-4. Opes do servidor IMAP

Captulo 5. Webmail

7. Voc pode alterar o tempo mximo de espera dos cookies do navegador (Figura 5-5). O valor padro suciente para a maioria dos casos.

97

Captulo 5. Webmail

Figura 5-5. Tempo mximo de espera dos cookies

98

Captulo 5. Webmail

8. Voc pode alterar as conguraes dos programas externos que so utilizados pelo IMP (Figura 5-6).

99

Captulo 5. Webmail

Figura 5-6. Programas binrios

100

Captulo 5. Webmail

9. Voc pode alterar algumas opes que controlam o comportamento do IMP (Figura 5-7).

101

Captulo 5. Webmail

102 Figura 5-7. Comportamento do IMP

Captulo 5. Webmail

10. Voc pode denir se o IMP deve avisar quando chegar novas mensagens (Figura 5-8).

103

Captulo 5. Webmail

Figura 5-8. Aviso de mensagens novas

104

Captulo 5. Webmail

11. O IMP permite que voc altere os cabealhos (headers) de email de todas as mensagens que so enviadas a partir deste servidor.

As mensagens de correio eletrnico contm alguns cabealhos que so utilizados pelos softwares clientes de email e trazem informaes diversas sobre a mensagem, como, por exemplo, o remetente, o horrio em que a mensagem foi enviada e assunto. Voc pode alterar o contedo do arquivo /usr/share/horde/config/headers.txt para denir alguns cabealhos personalizados ou alterar cabealhos padro. Para fazer com que todas as mensagens originadas deste servidor levem um cabealho identicando-as com o nome da empresa, por exemplo, voc adicionaria a seguinte linha ao arquivo header.txt:
X-Company: Minhaorganizao Ltda.

Nesta tela (Figura 5-9) voc poder denir se deseja que o arquivo header.txt seja includo em todas as mensagens. Pode ainda denir se deseja que ele seja includo no incio ou no nal das mensagens e se partes MIME (formato de dados utilizados em anexos de deve aparecer no corpo da mensagem.

105

Captulo 5. Webmail

Figura 5-9. Cabealhos de email alterados 106

Captulo 5. Webmail

12. O IMP oferece opo de suporte a bancos de dados (Figura 5-10), essa opo avanada e sai do escopo deste captulo. Se no for utilizar um banco de dados, apenas pressione Prxima.

107

Captulo 5. Webmail

108 Figura 5-10. Suporte a bancos de dados

Captulo 5. Webmail

13. Agora a congurao do IMP deve ser conrmada. Nesta tela (Figura 5-11) voc ver como todo o arquivo de congurao como ser salvo. Para conrmar e gravar o arquivo de congurao, pressione Escrever Arquivo.

109

Captulo 5. Webmail

Figura 5-11. Conrmao da congurao

110

Captulo 5. Webmail

14. Agora voc deve abrir um terminal e acessar o diretrio de instalao do IMP:
# cd /usr/share/horde

15. Execute a nalizao da instalao:


# ./secure.sh

I have made your configuration files, and libraries mode 0555 which is read / execute for everyone.

And the setup.php3 is mode 0000 which is no access period.

Este comando naliza a instalao e protege o arquivo de congurao de acessos. Para alterar a congurao, voc ter de refazer os passos novamente. Para acessar a pgina de webmail abra o Netscape e visite o diretrio virtual /imp/ (Figura 5-12):

111

Captulo 5. Webmail

112 Figura 5-12. Tela de login

Captulo 6. Apelidos de Email

113

Captulo 6. Apelidos de Email

Apresentao

Figura 6-1. Mensagem para comercial@minhaorganizacao.com.br roteada para 114

Captulo 6. Apelidos de Email

diversos usurios reais da organizao.

O correio eletrnico um ferramenta muito til para as empresas, j que ele permite um canal direto entre elas e seus clientes. Muitas vezes, porm, no interessante para a empresa que seus clientes comuniquemse atravs do endereo de email de um funcionrio especco, j que o mesmo pode ser realocado para outra funo ou mesmo deixar a empresa. Assim, torna-se necessria a criao de endereos de email que sero encaminhados a algum funcionrio, mas sem carem presos a ele. Alguns endereos de email so bastante comuns:

webmaster: geralmente um email que redirecionado para o administrador do site da empresa; postmaster: geralmente redirecionado ao administrador de correio eletrnico; comercial: pode ser enviado ao representante da empresa.

A criao de mltiplas contas de email para os funcionrios pode permitir uma maior exibilidade empresa, j que seus clientes no cam presos a um funcionrio especco. Se, por algum motivo, o funcionrio que recebia as mensagens referentes a dvidas sobre pedidos, por exemplo, tiver de se afastar da empresa ou do cargo, basta modicar o email correspondente a um novo funcionrio sem que os clientes sequer notem a mudana.

115

Captulo 6. Apelidos de Email

Figura 6-2. Mensagens para diversos endereos virtuais roteadas para um nico usurio real.

Pr-requisitos
Para implementar mltiplas contas de email em seu servidor Conectiva Linux:

116

Captulo 6. Apelidos de Email

sua rede deve estar corretamente congurada; o seu Sendmail j dever estar congurado corretamente;

Instalao
Para executar esta soluo, voc precisar utilizar o Sendmail. Para instalar o Sendmail no Conectiva Linux:
1. Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

2. Instale o pacote do Sendmail:


# rpm -ivh sendmail-* sendmail sendmail-cf ####################################### #######################################

sendmail-doc #######################################

117

Captulo 6. Apelidos de Email

Congurao
A congurao de mltiplas contas de email pode ser realizada no Linuxconf. Entre em Ambiente de RedeTarefas de ServidorSendmail e voc ver o menu da congurao do Sendmail:

Figura 6-3. Congurao do Sendmail

Para denir apelidos de email, pressione Apelidos para Usurios. Na tela mostrada na Figura 6-4 voc pode adicionar ou editar apelidos para usurios.

118

Captulo 6. Apelidos de Email

Figura 6-4. Denindo Apelidos

Clique em Adicionar para acrescentar um apelido. Voc ver a tela de adio e edio de apelidos:

119

Captulo 6. Apelidos de Email

Figura 6-5. Adicionando/Editando Apelidos

Nesta tela (Figura 6-5), voc pode informar as opes referentes ao apelido. Os campos disponveis so:

Apelido: o apelido a ser utilizado. Ele um nome de usurio que no pode estar

120

Captulo 6. Apelidos de Email

cadastrado, ou seja, este nome no pode existir;

Programa de ltro: possvel fazer com que todas as mensagens sejam tratadas por um programa. Este programa pode, na verdade, ser um script shell ou um comando shell alm de programas executveis.

Por exemplo:
cat /var/log/mail.log

Este exemplo ir enviar uma cpia de cada mensagem para o arquivo mail.log.

Arquivo de listagem: possvel permitir que o gerenciamento de uma lista de discusso seja realizado por um usurio sem privilgios. Um arquivo texto ser criado e um simples editor de textos ser suciente para gerenciar a lista.

No exemplo da Figura 6-5 foi especicado que mensagens endereadas para comercial sero entregues para os usurios joao, artur e lisiane. Voc pode utilizar os campos restantes para informar nomes de usurios que recebero as mensagens enviadas para apelido@dominio. Poder ser includo qualquer nmero de usurios para receber as mensagens.

Inicializao do Servio

121

Captulo 6. Apelidos de Email

Para inicializar o Sendmail, abra um terminal e digite:


# cds atalk atd autofs crond dhcpd functions gpm halt httpd inet keytable killall mysql named netfs network nfs nfslock pcmcia portmap postgresql random sendmail single

# ./sendmail start Iniciando sendmail: [ OK ]

122

Captulo 7. Listas de Discusso

Apresentao
Neste captulo voc aprender como congurar uma lista de discusso utilizando o software Mailman em conjunto com o Sendmail. Uma lista de discusso uma maneira de voc permitir que partes de sua empresa possam se comunicar de maneira mais eciente. Elas so uma excelente ferramenta de trabalho em grupo.

Pr-requisitos
Para utilizar esta soluo de listas de discusso, voc precisar atender aos seguintes requisitos:

Apache instalado e funcionando corretamente. Sendmail instalado e funcionando corretamente. possvel utilizar-se outros servidor

123

Captulo 7. Listas de Discusso

SMTP para esta soluo, mas voc ter de pesquisar a documentao dos mesmos para conhecer as diferenas de localizaes de arquivos de congurao, sua sintaxe, etc.

Instalao
Para instalar a soluo de listas de discusso siga os seguintes passos:
1. Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

2. Instale o Python:
# rpm -ivh python-1* python #########################

3. Instale o pacote do Mailman:


# rpm -ivh mailman-* mailman #########################

124

Captulo 7. Listas de Discusso

Congurao
Siga os seguintes passos para congurar o Mailman e o Apache:
1. V para o diretrio de conguraes do Apache:
# cd /etc/httpd/conf

2. Use o editor de textos de sua preferncia para editar o arquivo httpd.conf. 3. Adicione as seguintes linhas:
ScriptAlias Alias /mailman/ /pipermail/ /usr/lib/mailman/cgi-bin/ /usr/lib/mailman/archives/public/

4. Salve o arquivo, feche o editor e (re)inicialize o Apache:


# cds

125

Captulo 7. Listas de Discusso

alsasound amd apmd arpwatch atalk atd autofs

gated gpm halt hdparm heartbeat httpd icecast

keytable killall kudzu ldap ldirectord linuxconf-setup lpd

netfs network nfs nfslock nscd pcmcia portmap

# ./httpd restart Desligando httpd: Iniciando httpd: [ [ OK OK ] ]

5. Crie um link para permitir o uso do a Mailman pelo shell do Sendmail:


# ln -sf /usr/lib/mailman/mail/wrapper /etc/smrsh/wrapper

6. Use o editor de textos de sua preferncia para editar o arquivo cionar as seguintes linhas:
mailman: "usuario@minhaorganizacao" mailman-owner: mailman

/etc/aliases

e adi-

126

Captulo 7. Listas de Discusso

Note que usuario@minhaorganizacao deve ser um endereo de email vlido. Este dever ser o email do administrador das listas.

O arquivo /etc/aliases especco do Sendmail. Se voc optou por utilizar outro MTA1 o arquivo de aliases provavelmente ser outro. Consulte a documentao do seu MTA para maiores informaes.

7. Assegure-se que o Sendmail reconhea o novos aliases:


# newaliases /etc/aliases: 38 aliases, longest 67 bytes, 1367 bytes total

8. Teste a congurao enviando uma mensagem para mailman-owner@minhaorganizacao, onde minhaorganizacao o seu domnio. Se tudo estiver correto, voc dever receber uma mensagem no endereo de email informado no arquivo /etc/aliases.

Se voc no conseguir enviar o email, verique se voc seguiu todos os passos corretamente. Algumas das razes pelas quais o procedimento pode estar falhando so:
1. mail transport agent (agente de transporte de email)

127

Captulo 7. Listas de Discusso

O daemon do Sendmail no est rodando. Se este for o caso, inicialize o Sendmail:


# /etc/rc.d/init.d/sendmail start Iniciando sendmail: [ OK ]

O endereo informado no /etc/aliases no existe ou foi digitado incorretamente. Verique e corrija, se for o caso. O link simblico do comando wrappers no foi feito em /etc/smrsh. Verique o procedimento acima para corrigir o problema. Por m, edite o arquivo /usr/lib/mailman/Mailman/Defaults.py e altere as linhas:
DEFAULT_HOST_NAME DEFAULT_URL = mapi2.distro.conectiva = http://mapi2.distro.conectiva/mailman/

Voc dever alterar estas linhas para reetirem a estrutura da sua rede. Por exemplo, em nosso caso, poderamos deixar as linhas da seguinte maneira:
DEFAULT_HOST_NAME DEFAULT_URL = minhaorganizacao = http://minhaorganizacao/mailman/

Se voc no conseguir resolver o problema baseando-se nas informaes

128

Captulo 7. Listas de Discusso

acima, verique o arquivo de registro /etc/log/maillog para obter informaes. Agora o Mailman j est instalado e voc j pode criar listas de discusso.

Criando uma Lista de Discusso


Nesta seo voc ver como criar uma lista de discusso chamada "desenvolvimento". Voc poder utilizar este exemplo para a criao de outras listas que podem interessar em sua empresa. Neste exemplo, assumimos que o domnio de sua empresa Siga os seguintes passos para criar a lista Desenvolvimento:
1. Abra um terminal e digite o seguinte comando:
# /etc/lib/mailman/newlist

minhaorganizacao.

Voc ver a seguinte mensagem na tela:


Enter the name of the list:

Voc deve, ento, digitar o nome da sua lista. No caso, digite "desenvolvimento". Aps pressionar ENTER, o comando newlist ir solicitar a informao abaixo:

129

Captulo 7. Listas de Discusso

Enter the email of the person running the list:

Digite o endereo de email da pessoa responsvel pela lista. Geralmente ser o <mailman-owner@minhaorganizacao>. Digite o email e pressione ENTER para passar para a prxima pergunta:
Initial desenvolvimento password:

Digite uma senha que ser utilizada futuramente para manuteno da lista.
2. Aps a denio da senha, a lista estar criada. O comando newlist imprimir o seguinte texto, que voc dever colar no arquivo /etc/aliases:
Entry for aliases file:

## desenvolvimento mailing list ## created: 18-Sep-2000 root desenvolvimento: "|wrapper post desenvolvimento" desenvolvimento-admin: "|wrapper mailowner desenvolvimento" desenvolvimento-request: "|wrapper mailcmd desenvolvimento" desenvolvimento-owner: desenvolvimento-admin

Hit enter to continue with desenvolvimento owner notification...

130

Captulo 7. Listas de Discusso

Note que o trecho acima apenas um exemplo. O texto real trar o caminho completo do comando wrapper, geralmente /usr/lib/mailman/mail.

Selecione e cole as informaes no arquivo /etc/aliases e assegure-se que o Sendmail reconhea as novas informaes:
# newaliases /etc/aliases: 38 aliases, longest 67 bytes, 1367 bytes total

Com os passos acima a lista "Desenvolvimento" j ter sido criada. Para testar a criao da lista, envie uma mensagem de correio eletrnico para o endereo <desenvolvimento-request@minhaorganizacao>:
$ echo help | mail desenvolvimento-request@minhaorganizacao

Isto far com que uma mensagem lhe seja enviada com informaes de ajuda da lista. Se voc no receber esta mensagem, verique se voc seguiu todos os passos corretamente. Se isso no ajudar, verique os arquivos de registro do correio eletrnico (/var/log/maillog) para mais informaes. Abra um navegador e acesse a pgina de administrao da lista. Esta pgina
http://kepler.minhaorganizacao/mailman/admin/desenvolvimento (supondo que a mquina

o nome do seu servidor de listas). Este o endereo de administrao da lista. Voc ter de digitar a senha denida para a lista durante sua criao. A tela inicial de administrao da lista Desenvolvimento se parecer
kepler.minhaorganizacao

131

Captulo 7. Listas de Discusso

com a Figura 7-1.

Figura 7-1. Tela de administrao da lista Desenvolvimento.

Nesta tela esto disponveis diversas opes que voc poder utilizar para personalizar as listas de forma que as mesmas se adequem s suas necessidades. Verique o site (http://www.list.org/) do Mailman para maiores informaes.

Comandos de Request
Todas as listas criadas e mantidas pelo Mailman possuem um endereo de email no formato <(lista)-request@>. Este endereo utilizado para enviar-se comandos ao prprio Mailman para administrao de usurios da lista. Com o <-request@>, o usurio pode inscrever-se e desinscrever-se da lista, alterar sua senha, suas opes. Uma lista completa dos comandos e sua sintaxe pode ser obtida enviando-se o comando help para o <-request@>. O help retorna uma mensagem de correio eletrnico com informaes.

132

Captulo 7. Listas de Discusso

Os comandos mais comuns so:

subscribe: inscreve o endereo de correio eletrnico de onde a mensagem se originou na lista. Uma mensagem de conrmao ser enviada. Pode-se usar este comando para inscrever um endereo de correio eletrnico diferente usando a seguinte forma:
subscribe address=outro_email@minhaorganizacao

unsubscribe: desinscreve o endereo de correio eletrnico de onde a mensagem se originou da lista. Uma mensagem de conrmao ser enviada. Pode-se usar este comando para desinscrever um endereo eletrnico diferente usando a seguinte forma:
unsubscribe address=outro_email@minhaorganizacao

help: envia uma mensagem com a sintaxe de todos os comandos aceitos.

Os opes que podem ser utilizadas com o <-request> podem tambm ser alteradas atravs da web via o endereo http://kepler.minhaorganizacao/mailman/listinfo/desenvolvi A tela de congurao aparece na Figura 7-2.

133

Captulo 7. Listas de Discusso

Figura 7-2. Tela da lista Desenvolvimento.

Os seus usurios podem utilizar esta interface web para visualizarem informaes sobre a lista, assim como alterarem suas prprias opes.

Referncias
Para maiores informaes sobre o Mailman, visite o site (http://www.list.org/) na web.

134

Captulo 8. Servidor Proxy

135

Captulo 8. Servidor Proxy

Apresentao

136

Captulo 8. Servidor Proxy

Hoje em dia comum o trfego intenso de arquivos WWW e FTP em redes ligadas Internet, o que muitas vezes congestiona o link de acesso rede externa, afetando o seu uso. Para evitar este problema, utiliza-se o recurso de proxy+cache rodando em um servidor comum a todas as mquinas da rede. Muitos servidores proxy oferecem a possibilidade de se fazer cache de web, para alocar sites web previamente visitados e providenciar acesso local aos usurios que voltam a visitar estes sites. Todas as ferramentas disponveis tm alguma vantagem/desvantagem sobre as outras. O Squid se destaca por ser uma ferramenta de livre distribuio, de acordo com a GPL (GNU Public License), ou seja, seu custo igual a zero. O Apache, por exemplo, tambm livre, porm no uma ferramenta especializada, e sim um servidor web, o qual contm um mdulo para proxy. O Squid um servidor proxy amplamente utilizado em backbones e provedores de acesso Internet, o que comprova a sua segurana e ecincia.

Pr-Requisitos
Para a instalao do Squid em um servidor Conectiva Linux os seguintes requisitos devem ser atendidos:

O acesso rede externa (Internet) deve estar congurado corretamente;

137

Captulo 8. Servidor Proxy

Recomenda-se que o servidor tenha uma boa quantidade de memria. Recomendamos 128MB para uma melhor performance; Recomenda-se um disco rgido SCSI para permitir um acesso mais rpido aos arquivos armazenados em cache.

Instalao
Para instalar o Squid:

Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:


# cd /mnt/cdrom/conectiva/RPMS

Instale o pacote do Squid:


# rpm -ivh squid-* squid ##################################################

138

Captulo 8. Servidor Proxy

Congurao
A congurao do servidor ser feita atravs do arquivo /etc/squid/squid.conf. Nos clientes, a congurao feita nos prprios navegadores.

Congurao do Servidor
O arquivo /etc/squid/squid.conf contm todas as conguraes do servidor Squid. A grande maioria das opes de congurao presentes no arquivo squid.conf est muito bem documentada neste mesmo arquivo. As opes esto comentadas (iniciando com "#") com seus valores padro. Sempre que voc desejar modicar os valores destas opes, voc pode adicionar linhas ou descomentar as existentes modicando-as da maneira desejada. As opes mais usadas do arquivo /etc/squid/squid.conf so:

http_port: a porta na qual o Squid ir atender s requisies feitas a ele. O valor padro 3128; caso precise alterar este valor, descomente a linha e troque a porta por alguma porta que no esteja sendo utilizada. cache_mem: o Squid utiliza bastante memria para ns de performance. Ele leva muito tempo para ler algo do disco rgido, por isso ele armazena as informaes mais utilizadas diretamente da memria. O servidor utiliza 8 MB de memria como padro. Note que este valor no limita a quantidade de memria mxima utilizada pelo processo do Squid, mas apenas a quantidade utilizada para cache. Provavelmente o pro-

139

Captulo 8. Servidor Proxy

cesso do Squid ir tornar-se 2 ou 3 vezes maior do que o exposto aqui.

O valor recomendado depende do perl de seu servidor. Normalmente, voc deveria utilizar 1/4 da memria RAM disponvel para uso de cache. Por exemplo, se o seu servidor tem 128MB de memria, voc deveria alocar 32MB para o cache. Se, por outro lado, o seu servidor exclusivamente um servidor cache, voc deveria alocar metade da memria RAM para este m.

cache_swap_low e cache_swap_high: estes valores denem os valores mnimo e mximo para reposio de objetos armazenados. Estes valores so expressos em porcentagens. Quanto mais prximo ao valor mximo, mais objetos so descartados do cache para a entrada de novos. Os valores padro so 90 e 95 respectivamente. maximum_object_size: medido em bytes, especica o tamanho mximo dos arquivos a serem armazenados em cache. Quaisquer objetos maiores do que este tamanho no so salvos em disco. O valor padro 4MB. cache_dir: diretrio onde o Squid ir armazenar os objetos do cache.

possvel especicar mltiplas linhas diferentes parties do disco rgido. A sintaxe desta linha :
cache_dir TIPO PATH MB N1 N2

cache_dir

para dividir o cache entre

Onde:

TIPO: especica o tipo de sistema de alocao que ser usado. No caso do Linux, o tipo sempre ufs;

140

Captulo 8. Servidor Proxy

PATH: especica o diretrio do Linux onde os arquivos sero armazenados. Este diretrio j deve existir, pois o Squid no o cria. Note que, caso nenhuma entrada cache_dir seja especicada, o sistema utilizar o diretrio /var/spool/squid; MB: a quantidade mxima de espao a ser utilizado neste diretrio. N1: especica o nmero mximo de subdiretrios que podero ser criados abaixo do diretrio de cache; N2: especica o nmero mximo de subdiretrios que podero ser criados abaixo dos subdiretrios criados em N1;

cache_access_log: arquivo no qual ser gerado um registro dos acessos ao servidor. O arquivo padro /var/log/squid/access.log; cache_log: arquivo onde so guardadas informaes gerais sobre o comportamento da cache. O valor padro /var/log/squid/cache.log; autenthicate_program: comum administradores restringirem o acesso ao proxy aos seus clientes. Para isto, pode-se pedir login e senha ao usurio para poder navegar utilizando o proxy. Este servio feito atravs do autenthicate_program (programa autenticador). O pacote do Squid inclui um programa autenticador chamado ncsa_auth, o qual utiliza arquivos de senhas no formato htpasswd do Apache. Pode-se utilizar algum outro programa, se assim se desejar.

O executvel do ncsa_auth est no diretrio /usr/doc/squid<verso> . prefe-

141

Captulo 8. Servidor Proxy

rvel copi-lo para um diretrio de arquivos binrios (/usr/bin por exemplo). Uma linha tpica de congurao seria:
autenthicate_program /usr/bin/ncsa_auth /etc/squid/squid_passwd

O arquivo /etc/squid/squid_passwd deve ser criado e atualizado com o comando htpasswd. Este arquivo utilizado para criar usurio do Squid. Se o arquivo ainda no existir, use a opo -c. Por exemplo, para adicionar o usurio joao e criar o arquivo:
# htpasswd -c /etc/squid/squid_passwd joao

Posteriormente, se voc quiser adicionar outro usurio, chamado fulano:


# htpasswd /etc/squid/squid_passwd fulano

Como padro, o programa autenticador no utilizado. Se voc utilizar o ncsa_auth (ou algum outro autenticador), deve existir uma lista de acesso do tipo proxy_auth para permitir ou no o acesso. Listas de acesso so documentadas abaixo.

Opes de Segurana
A grande maioria dos administradores de sistemas provavelmente desejar denir uma poltica de segurana no Squid, isto , denir quem ir acessar e o que poder ser acessado.

142

Captulo 8. Servidor Proxy

O primeiro passo para a denio de controle de acesso ao proxy do Squid a criao de listas de acesso. As listas de acesso meramente do nomes a objetos. Estes objetos podem ser domnios de origem, domnios de destino, endereos de IP, etc. A forma geral de uma linha de lista de acesso :
acl NOME TIPO OBJ1 OBJ2...

Onde:

NOME: um nome que ser utilizado para identicar esta lista de acesso; TIPO: indica qual o objeto a que nos referimos nesta linha. Pode ser:

src: especica um IP/mscara de origem, ou seja, entram nesta categoria as requisies que partiram da rede.

Exemplo:
acl localhost src 127.0.0.1/255.255.255.255

Especica uma lista de acesso chamada localhost, denida como requisies vindas da mquina local (127.0.0.1).

dst: especica um IP/mscara de destino, ou seja, entram nesta categoria todas as requisies destinadas para aquele par IP/mscara;

143

Captulo 8. Servidor Proxy

srcdomain: especica um domnio de origem, ou seja, entram nesta categoria as requisies que partiram do domnio especicado; dstdomain: especica um domnio de destino, ou seja, entram nesta categoria as requisies de objetos localizados naquele domnio; time: especica uma expresso descrevendo tempo. formado por uma expresso de data, que uma lista de abreviaes dos dias da semana (S - Domingo, M Segunda-feira, T - Tera-feira, W - Quarta-feira, H - Quinta-feira, F - Sexta-feira e A - Sbado), seguida por uma intervalo de datas no formato hh1:mm1-hh2:mm2. ident: especica um ou mais nomes de usurio.

Existem outras opes possveis para as listas de controle, mas como so menos utilizadas, no as cobriremos nesta seo. Voc pode ler o arquivo squid.conf para informaes sobre as outras opes de segurana. O squid dene access lists padres, as quais esto abaixo:
acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 21 443 563 70 210 1025-65535 acl Safe_ports port 280 # http-mgmt

144

Captulo 8. Servidor Proxy

acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl CONNECT method CONNECT

# gss-http # filemaker # multiling http

1. acl all src 0.0.0.0/0.0.0.0: esta acl dene todos os hosts da rede (0.0.0.0/0.0.0.0) com o nome all. 2. acl manager proto cache_object: o campo proto nesta linha signica que a acl bloqueia um protocolo especco, neste caso o protocolo cache_object. Poderiam ser os protocolos FTP ou HTTP. Se voc no conhece o protocolo cache_object, no se preocupe - um protocolo apenas do Squid que retorna informao para o servidor de como a cache est congurada, ou como ela est rodando. 3. acl localhost src 127.0.0.1/255.255.255.255: esta acl dene a mquina localhost, e recebe o mesmo nome. 4. As acls:
acl SSL_ports port 443 563 acl Safe_ports port 80 21 443 563 70 210 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 # http-mgmt # gss-http # filemaker

145

Captulo 8. Servidor Proxy

acl Safe_ports port 777

# multiling http

Estas acls contm as portas consideradas seguras para o proxy. Todas as outras portas so consideradas inseguras, e o acesso negado.
5. acl CONNECT method CONNECT: esta acl contm o mtodo de acesso aos arquivos na rede (GET,POST). O mtodo CONNECT vale tanto por GET como por POST.

Podemos ainda criar mais uma lista de acesso referente aos usurios do sistema.
acl password proxy_auth REQUIRED

O nome da lista password e do tipo proxy_auth (autenticao de usurios). O campo REQUIRED informa ao Squid para procurar o nome e a senha no arquivo /etc/squid/squid_passwd. Aps denidas as listas de acesso, pode-se denir as restries propriamente ditas. Isso pode ser feito com a diretiva httpd_access. As restries padro do Squid so:
http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny all

Estas instrues signicam:

146

Captulo 8. Servidor Proxy

1. http_access allow manager localhost: d acesso ao protocolo cache_object apenas para o prprio servidor (localhost). 2. http_access deny outra mquina.
manager:

nega o acesso ao protocolo cache_object para qualquer

3. http_access deny !Safe_ports: nega acesso a qualquer outra porta alm das denidas na acl Safe_ports. 4. http_access
deny CONNECT !SSL_ports

perigoso permitir ao Squid conectar-se a certas portas. Por exemplo, foi demonstrado que pode-se utilizar o Squid como relay de SMTP (email). O Relay de SMTP uma das formas possveis de se lotar (ood) caixas de correio. Para prevenir o relay de emails, o Squid nega requisies quando o nmero da porta da URL 25 (porta SMTP). Outras portas tambm so bloqueadas. A regra 3 informa ao Squid para negar o acesso a qualquer porta que no esteja na lista Safe_ports. A regra 4 nega qualquer conexo que no seja referente s portas seguras. O padro do Squid negar acesso a tudo e a todos. Para permitir a utilizao do proxy do Squid, voc deve congur-lo para permitir o acesso. Normalmente, apenas insere-se uma regra a mais:
http_access allow all

Obviamente, isto no restringe o acesso ao seu servidor proxy, muito pelo con-

147

Captulo 8. Servidor Proxy

trrio, libera o acesso a qualquer mquina na Internet. Para restringir o acesso apenas a usurios do seu sistema, voc pode inserir a seguinte instruo:
http_access allow password

A ACL password exige que os usurios forneam uma senha para que possam utilizar o proxy.

Note que a ordem dessas regras importante. Voc deve coloc-las na mesma ordem em que foram apresentadas nesta seo.

Congurao da Estao
Como foi mencionado anteriormente, apenas o navegador tem de ser congurado para utilizao do servidor proxy. Infelizmente, cada navegador tem seu prprio procedimento de congurao. Vamos cobrir os 2 navegadores mais utilizados. Para informaes sobre como congurar outros navegadores, consulte a documentao dos mesmos.

148

Captulo 8. Servidor Proxy

Netscape Communicator

Para congurar o Netscape, voc deve clicar em EditarPreferncias. No dilogo de Preferncias voc deve clicar em AvanadoServidores Proxy. A Figura 8-2 mostra a tela de congurao do servidor proxy. Selecione a opo Congurao manual do proxy e clique em Ver.

Figura 8-2. Congurao de servidor proxy no Netscape

Voc deve ento preencher os dados referentes ao seu servidor proxy. Supondo que seu servidor seja o kepler.minhaorganizacao, a congurao seria como na Figura 8-3:

149

Captulo 8. Servidor Proxy

Figura 8-3. Congurao manual de servidor proxy no Netscape

Note que neste exemplo utilizamos o servidor para FTP, HTTP e HTTPS. Alm disso, instrui-se o navegador para no utilizar o proxy para endereos do domnio local (minhaorganizacao).

150

Captulo 8. Servidor Proxy

StarOfce

Para congurar o StarOfce para utilizar o servidor proxy do Squid, clique em FerramentasOpes:

Figura 8-4. Congurao de servidor proxy no StarOfce

Voc s precisa preencher os dados sobre o seu servidor proxy. No exemplo da Figura 8-4, o servidor a mquina kepler.minhaorganizacao e ele serve de proxy para os protocolos FTP, HTTP e HTTPS.

151

Captulo 8. Servidor Proxy

Inicializao do Squid
Para inicializar o Squid no Conectiva Linux, abra um terminal e digite:
# cds atalk atd autofs crond dhcpd functions gpm halt httpd inet keytable killall mysql named netfs network nfs nfslock pcmcia portmap smb snmpd squid sshd

# ./squid start Inicializando o Squid [ OK ]

Para que o Squid seja sempre inicializado junto com seu sistema, voc deve utilizar o ntsysv
# /usr/sbin/ntsysv

152

Captulo 9. IP Masquerading

153

Captulo 9. IP Masquerading

Apresentao

154

Captulo 9. IP Masquerading

Uma das caractersticas mais populares dos servidores Linux o IP Masquerading. O IP Masquerading permite que uma mquina Linux equipada com um modem possa funcionar como roteador de uma rede de pequeno porte. Isso permite que voc possa conectar estaes Internet com um baixo custo.

Pr-requisitos
Para implementar esta soluo de IP Masquerading sua rede deve estar funcionando corretamente, ou seja, voc deve ser capaz de acessar outras mquinas em sua rede.

Instalao
Para instalar o IP Masquerading, siga os seguintes passos:
1. Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

155

Captulo 9. IP Masquerading

2. Se voc no tiver o PPPd instalado, voc deve instal-lo:


# rpm -ivh ppp-2.3.11-5cl.i386.rpm ppp ###########################

3. Instale o ipchains:
# rpm -ivh ipchains-1.3.9-4cl.i386.rpm ipchains ###########################

Congurao
Para congurar seu servidor para IP Masquerading, siga os seguintes passos:
1. V para o diretrio /etc/rc.d/init.d. 2. Use o editor de textos de sua preferncia e crie um arquivo chamado ipchains com o seguinte contedo:

156

Captulo 9. IP Masquerading

#! /bin/sh # description: Inicializacao do ipchains # # chkconfig: 2345 80 30 # processname: ipchains # pidfile: /var/run/ipchains.pid

. /etc/rc.d/init.d/functions . /etc/sysconfig/network

if [ ${NETWORKING} = "no" ] then exit 0 fi

case "$1" in start) gprintf "Iniciando o servio de %s: " "IPChains" echo echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/ipchains -A forward -s 10.0.0.0/24 -j MASQ

157

Captulo 9. IP Masquerading

/sbin/modprobe ip_masq_ftp /sbin/modprobe ip_masq_quake /sbin/modprobe ip_masq_irc /sbin/modprobe ip_masq_user /sbin/modprobe ip_masq_raudio ;; stop) gprintf "Parando o servio de %s: " "IPChains" echo /sbin/ipchains --flush /sbin/rmmod ip_masq_ftp /sbin/rmmod ip_masq_quake /sbin/rmmod ip_masq_irc /sbin/rmmod ip_masq_user /sbin/rmmod ip_masq_raudio

;; *) gprintf "Uso: ipchains (start|stop)" echo ;; esac

158

Captulo 9. IP Masquerading

exit 0

Note que a linha


/sbin/ipchains -A forward -s 10.0.0.0/24 -j MASQ

especica que o seu endereo de rede 10.0.0.0. Se voc utiliza outro endereamento, troque a linha acima de acordo.
3. D permisses de escrita ao arquivo recm criado:
# chmod a+x /etc/rc.d/init.d/ipchains

4. Use o comando ntsysv para fazer com que o ipchains seja carregado junto com o sistema:

159

Captulo 9. IP Masquerading

Figura 9-2. Marcando o ipchains para iniciar automaticamente

160

Captulo 9. IP Masquerading

Congurao das Estaes


A congurao das estaes de trabalho para utilizar o IP Masquerading bastante simples tanto para estaes Conectiva Linux quanto para estaes Windows.

Conectiva Linux
Para congurar a estao Conectiva Linux a m de utilizar o servidor com o objetivo de conectar-se Internet, siga os seguintes passos:
1. Abra o Linuxconf. 2. V para Ambiente de RedeTarefas do clienteRoteamento e Roteadores:

161

Captulo 9. IP Masquerading

Figura 9-3. Roteamento e roteadores

3. Clique em Padres e informe o endereo de IP de seu servidor. Deixe a opo Ative o roteamento desativada.

162

Captulo 9. IP Masquerading

Figura 9-4. Denindo o Roteador

4. Saia do Linuxconf e ative a congurao quando for solicitado. No necessrio reinicializar a mquina.

Windows
Para congurar uma estao Windows para utilizar o servidor a m de conectarse Internet, siga os seguintes passos:
1. V para IniciarConguraesPainel de ControleRede:

163

Captulo 9. IP Masquerading

Figura 9-5. Conguraes de rede do Windows

2. Clique em TCP/IP e pressione o boto Propriedades. 3. Clique em Congurao DNS (Figura 9-6).

164

Captulo 9. IP Masquerading

Figura 9-6. Congurando o DNS

4. Clique em Ativar DNS e digite o nome de sua mquina no campo Host e o domnio no campo Domnio. 5. Digite o endereo de IP de seu servidor em Ordem pesquisa servidor DNS e clique em Adicionar. 6. Digite o nome do seu domnio em Ordem pesquisa suxo domnio e clique em Adicionar.

165

Captulo 9. IP Masquerading

7. Clique em Gateway.

Figura 9-7. Congurao do gateway

8. Clique em Ok e saia da congurao de rede. Voc ter de reinicializar o computador. Para testar a congurao, tente acessar algum endereo da Internet aps ter reinicializado a mquina.

166

Captulo 10. Servidor PPP

Apresentao
possvel permitir que seus usurios acessem seu sistema remotamente atravs de uma conexo dial-up PPP. Com o Conectiva Linux, possvel congurar uma ou mais portas para permitirem acesso remoto de usurios. Este captulo ir lhe mostrar como congurar seu servidor para permitir o acesso remoto.

Pr-requisitos
Para implementar esta soluo de acesso remoto, voc precisar de:

no mnimo uma porta para ser utilizada com o PPP; no mnimo uma linha dedicada ao acesso remoto;

167

Captulo 10. Servidor PPP

uma conexo funcional Internet, se voc pretende permitir que os usurios possam acessar a mesma remotamente.

Instalao
Para instalar os pacotes necessrios implementao desta soluo, siga os seguintes passos:
1. Acesse o diretrio de pacotes de CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

2. Instale o pacote do ppp:


# rpm -ivh ppp-2.3.11-5cl.i386.rpm ppp ##############################

3. Instale o pacote de mgetty:


# rpm -ivh mgetty-1.1.21-2cl.i386.rpm

168

Captulo 10. Servidor PPP

mgetty ##############################

Congurao
Para congurar o acesso remoto em seu servidor, siga os seguintes passos:
1. Acesse o diretrio de conguraes do Conectiva Linux:
# cd /etc

2. Use o editor de textos de sua preferncia para abrir o arquivo inittab.

No inittab, voc deve incluir uma linha para cada porta utilizada para o PPP. Por exemplo, se voc pretende utilizar um modem na porta ttyS2, a linha correspondente no inittab dever ser:
S2:2345:respawn:/sbin/mgetty ttyS2 -D /dev/ttyS2

Obviamente, se voc utilizar uma placa multiserial, o nome do dispositivo ser diferente. Por exemplo, uma placa Cyclades se chamar, provavel-

169

Captulo 10. Servidor PPP

mente, ttyCn, onde n um nmero seqencial.


3. Aps salvar o arquivo e sair do editor de textos, voc deve fazer o init ler o /etc/inittab novamente para utilizar as novas conguraes:
# init q

4. Acesse o diretrio de conguraes do mgetty:


# cd /etc/mgetty+sendfax

5. Use o editor de textos de sua preferncia para editar o arquivo login.config.

Ao abrir o arquivo, voc deve procurar uma linha comentada (iniciada com "#") semelhante a:
#/AutoPPP/ - a_ppp /usr/sbin/pppd auth -chap +pap login debug

Ao encontr-la, voc deve edit-la retirando o "#" inicial. Note que voc pode denir as opes do ppp nesta linha. No caso, o ppp ir usar autenticao PAP usando usurios do /etc/passwd.
6. Salve o arquivo e saia do servidor.

170

Captulo 10. Servidor PPP

7. Acesse o diretrio de conguraes do ppp:


# cd /etc/ppp

8. Voc deve criar um arquivo para cada porta utilizada para acesso remoto. Os nomes desses arquivos devem ter o formato options.PORTA. Por exemplo, para a porta ttyS2, o arquivo se chamar options.ttyS2.

Este arquivo deve incluir duas informaes: o endereo de IP do servidor e o endereo de IP do cliente. Por exemplo, se o arquivo options.ttyS2 tiver o seguinte contedo:
203.120.219.12:203.120.220.2

quando um cliente conectar-se atravs da porta ttyS2, ele ter o endereo de IP 203.120.220.2 e o endereo de IP do servidor 203.120.219.12.

171

Captulo 10. Servidor PPP

172

Captulo 11. Radius e Portslave

173

Captulo 11. Radius e Portslave

Apresentao

Figura 11-1. Servidor de acesso solicita permisso de acesso ao servidor de autenti-

174

Captulo 11. Radius e Portslave

cao.

Uma das dvidas mais freqentes dos administradores de sistemas, especialmente de provedores de acesso, diz respeito instalao e congurao do Radius e do Portslave. O Radius um protocolo de autenticao de usurios que permite uma maior segurana aos acessos remotos ao seu sistema. Quando um usurio tenta acessar o sistema, um servidor de acesso faz uma requisio ao servidor de autenticao para que este valide a tentativa de acesso, retornando o resultado ao servidor de acesso. Isso permite a centralizao do processo de autenticao, j que voc pode ter diversos servidores de acesso usando um nico servidor de autenticao central. Como servidor de acesso voc pode optar pela utilizao de hardware especco (como, por exemplo, o Livingston Portmaster II, o Total Control da 3Com e o Pathras da Cyclades), ou ainda por uma mquina Conectiva Linux rodando o Portslave. O Portslave um opo de software para servidores de acesso. O Portslave emula o Livingstone Portmaster II. Este captulo ir lhe mostrar como congurar um servidor Radius com Portslave.

175

Captulo 11. Radius e Portslave

Pr-requisitos
Para implementar um servidor Radius, voc precisar de:

no mnimo um modem; opcionalmente uma placa multiserial para permitir um maior nmero de conexes; pppd corretamente congurado para aceitar conexes.

Instalao do Radius
Para instalar o Radius, siga os seguintes passos:
1. Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

2. Instale o pacote:
# rpm -ivh radiusd-cistron-1.6.1-4cl.i386.rpm radiusd-cistron ###############################

176

Captulo 11. Radius e Portslave

Congurao do Radius
A congurao do Radius deve ser feita atravs da edio de trs arquivos de congurao: /etc/raddb/clients, /etc/rddb/naslist e /etc/rddb/users.

O arquivo clients
Este arquivo contm uma lista de clientes que tm permisses de fazer requisies de autenticao e suas chaves de criptograa. Especicamente, voc vai incluir neste arquivo os servidores de acesso e suas chaves no seguinte formato:
CLIENTE CHAVE

Onde:
1. CLIENTE: o nome do servidor de acesso que pode fazer uma requisio; 2. CHAVE: uma chave que deve ser utilizada para a desencriptao das requisies.

Exemplo:

177

Captulo 11. Radius e Portslave

rs.minhaorganizacao.com.br pr.minhaorganizacao.com.br sc.minhaorganizacao.com.br

qw28ue23 chave123 123chave

No exemplo acima o servidor Radius da empresa hipottica Minhaorganizacao Ltda. centraliza a autenticao em um servidor que faz a autenticao para trs servidores de acesso localizados em pontos isolados (RS, PR e SC). Cada um destes servidores de acesso deve utilizar uma chave prpria para encriptar suas requisies ao servidor.

O arquivo naslist
Este arquivo contm uma lista de servidores de acesso conhecidos. O arquivo contm informaes sobre o tipo do servidor de acesso. Seu formato o seguinte:
SERVIDOR APELIDO TIPO

Onde:

SERVIDOR: o nome do servidor de acesso; APELIDO: um nome curto para identicar o servidor em arquivos de registro; TIPO: identica o tipo do servidor de acesso. Pode ser livingston, cisco, multitech,

178

Captulo 11. Radius e Portslave

computone, max40xx, portslave, tc, pathras, usrhiper e other.

Exemplo:
rs.minhaorganizacao.com.br pr.minhaorganizacao.com.br sc.minhaorganizacao.com.br RS PR SC portslave portslave livingstone

O arquivo users
Este arquivo dene como o servidor Radius ir autenticar os usurios. Em nosso exemplo, usaremos o prprio arquivo de senhas do Conectiva Linux para autenticar usurios, ou seja, os usurios do sistema podero conectar-se remotamente. Para permitir o acesso dos usurios do sistema, siga os seguites passos:
1. Acesse o diretrio de conguraes do Radius:
# cd /usr/raddb

2. Use o seu editor de textos favorito para editar o arquivo users.

179

Captulo 11. Radius e Portslave

3. O contedo do arquivo dever ser:


DEFAULT Auth-Type = System Framed-IP-Address = 255.255.255.254, Framed-MTU = 576, Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Compression = Van-Jacobson-TCP-IP

4. Inicialize o servidor Radius:


# cds atalk atd autofs crond dhcpd functions gpm halt httpd inet ipchains keytable killall kudzu network nfs nfslock pcmcia portmap postgresql radinit.sh radiusd random sendmail single smb snmpd squid sshd syslog unfs xfs xfstt ypbind yppasswdd

[root@gnu init.d]# ./radiusd start Iniciando o servidor radiusd: [ OK ]

180

Captulo 11. Radius e Portslave

5. Teste a instalao atravs do comando radtest.

Primeiro teste com um usurio que realmente esteja cadastrado em seu sistema, ou seja, que deve receber permisso de acesso. Por exemplo, vamos supor que queiramos testar uma tentativa do usurio "andre" para conectarse porta 21 com sua senha "senha123". A requisio vem do servidor de acesso rs.minhaorganizacao.com.br (note que o ltimo parmetro a chave denida no arquivo clients):
# radtest andre senha123 rs.minhaorganizacao.com.br 21 qw28ue23 Sending request. radrecv: Reply from host 100007f code=2, id=1, length=50 Framed-IP-Address = 255.255.255.254 Framed-MTU = 576 Service-Type = Framed-User Framed-Protocol = PPP Framed-Compression = Van-Jacobson-TCP-IP

O usurio poderia conectar-se. Agora teste novamente, mas informe uma senha incorreta:
# radtest andre senhaerrada rs.minhaorganizacao.com.br 21 qw28ue23 Sending request. radrecv: Reply from host 100007f code=3, id=72, length=20 Access denied.

181

Captulo 11. Radius e Portslave

O servidor de autenticao no permitiria o acesso. Outra possibilidade a do servidor de acesso enviar uma chave de encriptao errada ao servidor Radius:
># radtest andre senha123 rs.minhaorganizacao.com.br 21 chaveerrada Sending request. Warning: Received invalid reply digest from server radrecv: Reply from host 100007f code=3, id=99, length=20 Access denied.

Instalao do Portslave
Para instalar o Portslave, siga os seguintes passos:
1. Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

182

Captulo 11. Radius e Portslave

2. Instale o pacote:
# rpm -ivh portslave-1.2.0pre12-2cl.i386.rpm portslave ################################

Congurao do Portslave
A congurao do Portslave deve ser feita atravs da edio de um arquivo de congurao chamado /etc/portslave/pslave.conf. A seguir as opes mais teis sero discutidas:
conf.hostname rs.minhaorganizacao.com.br

Nome da mquina.
conf.ipno 192.168.42.21

Endereo de IP. Se esta opo no for informada, o endereo da mquina utilizado. Este endereo utilizado como endereo local de conexes PPP e SLIP.
conf.locallogins 1

183

Captulo 11. Radius e Portslave

Se voc especicar o valor "1" a esta opo, voc pode conectar-se localmente colocando um sinal de exclamao antes do nome de usurio. Isso til em emergncias quando o servidor Radius no est no ar.
conf.syslog log.minhaorganizacao.com.br

O Portslave pode utilizar um servio de syslog remoto. Se voc deseja utilizar o syslog local no dena esta opo.
all.authhost1
kepler.minhaorganizacao.com.br

all.acchost1 kepler.minhaorganizacao.com.br all.radtimeout 3 all.authhost2 galileu.minhaorganizacao.com.br all.acchost2 galileu.minhaorganizacao.com.br

Servidores de autenticao e contabilidade. Pode-se ter dois de cada tipo. O primeiro tentado 3 vezes antes do segundo ser tentado.
all.secret qw28ue23

a chave utilizada para encriptar as requisies ao servidor. Obviamente deve ser a mesma informada no arquivo /etc/raddb/clients no servidor Radius.
all.protocol rlogin
all.host kepler.minhaorganizacao.com.br

Protocolo e mquinas padro. No caso acima, o protocolo padro o rlogin e a mquina padro, kepler.minhaorganizacao.com.br.
all.ipno 192.168.42.65+

184

Captulo 11. Radius e Portslave

all.netmask 255.255.255.255 all.mtu 1500

Padres de endereamento de IP. Dene o IP padro, a mscara e o MTU.


all.issue \n\
Minhaorganizacao Ltda. \n\ Benvindos ao servidor %h porta %p\n

Mensagem a ser mostrada quando a conexo efetuada.


all.prompt Minhaorganizacao login:

Prompt de login.
all.term vt100

Tipo de terminal para sesses de rlogin e telnet.


all.porttype 0

Tipo da porta. Pode ser:

0 assncrona; 1 sncrona; 2 ISDN; 3 ISDN-V120;

185

Captulo 11. Radius e Portslave

4 ISDN-V110

all.speed 115200

Velocidade da porta.
all.initchat "" \d\l\dATZ OK\r\n-ATZ-OK\r\n
all.waitfor RING all.answer "" ATA CONNECT@ all.aa 0 # auto-answer

all.checktime 60 all.checkchat "" AT OK all.flow hard # hard(ware) ou soft(ware)

Opes padro do modem.


all.dcd 1

Indica se a sesso deve ser terminada caso o modem desconecte.


all.autoppp proxyarp modem asyncmap 0 %i: \
noipx noccp login auth require-pap refuse-chap \ mtu %t mru %t \ ms-dns 192.168.1.1 ms-dns 192.168.1.2 \ uselib /usr/lib/libpsr.so

186

Captulo 11. Radius e Portslave

Opes do pppd utilizadas se o Portslave detecta o pppd sendo executado.


all.pppopt proxyarp modem asyncmap 0 %i:%j \
noipx noccp mtu %t mru %t netmask %m \ idle %I maxconnect %T \ ms-dns 192.168.1.1 ms-dns 192.168.1.2 uselib /usr/lib/libpsr.so

Opo utilizada para executar o pppd. Alm de editar o arquivo pslave.conf, voc deve editar o /etc/inittab e adicionar uma linha para cada linha dialin que voc tenha congurado. As linhas devem se parecer com:
T0:23:respawn:/usr/bin/portslave 0

Aps editar o arquivo, execute:


# init q

187

Captulo 11. Radius e Portslave

188

Captulo 12. Compartilhamento de Recursos

Apresentao
O compartilhamento de discos e impressoras em uma rede pode aumentar enormemente a produtividade e economia em um empresa. O Conectiva Linux oferece uma fcil congurao para o compartilhamento de recursos atravs do Linuxconf.

Pr-requisitos
NFS
Para implementar a soluo do NFS, voc precisar apenas que sua rede esteja funcionando corretamente. Um servio de nomes recomendado.

189

Captulo 12. Compartilhamento de Recursos

LPD
Para implementar o LPD, voc precisar de:

uma impressora conectada ao servidor; rede corretamente congurada; um servio de nomes opcional.

Instalao
NFS
Para instalar o NFS, siga os seguintes passos:
1. Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

190

Captulo 12. Compartilhamento de Recursos

2. Instale os pacotes do NFS:


rpm -ivh nfs-server-* nfs-server ##################################

3. Inicie o servio:
# cds atalk atd autofs crond dhcpd functions gpm halt httpd inet ipchains keytable killall kudzu ldap linuxconf-setup lpd mars-nwe mysql named netfs network nfs nfslock pcmcia portmap postgresql radinit.sh radiusd random sendmail single smb snmpd squid

[root@gnu init.d]# ./nfs start Iniciando os servios NFS: Iniciando quotas (NFS) Iniciando mountd (NFS) Iniciando statd (NFS) Iniciando nfsd (NFS) [ [ [ [ [ OK OK OK OK OK ] ] ] ] ]

191

Captulo 12. Compartilhamento de Recursos

LPD
Para instalar o LPD, siga os seguintes passos:
1. Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

2. Instale o pacote:
rpm -ivh lpr-* lpr ######################################

192

Captulo 12. Compartilhamento de Recursos

Congurao
NFS
Exportando um diretrio
Nesta seo demonstraremos como exportar um diretrio (no caso, o /tmp). Siga os passos abaixo:

Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:


# cd /mnt/cdrom/conectiva/RPMS

Instale o pacote do NFS:


# rpm -ivh nfs-server-* nfs-server ###############################

Utilize o Linuxconf e v para Ambiente de RedeTarefas de ServidorNFS sistemas de arquivos exportados (Figura 12-1):

193

Captulo 12. Compartilhamento de Recursos

Figura 12-1. Exportando sistemas de arquivos

Pressione Adicionar. A tela a seguir permite que voc informe os dados referentes ao diretrio a ser exportado (Figura 12-2).

194

Captulo 12. Compartilhamento de Recursos

Figura 12-2. Informaes do diretrio a ser exportado

Digite o nome do diretrio no primeiro campo. Se quiser, voc pode digitar um pequeno comentrio no segundo campo. Agora voc pode denir quem poder utilizar o diretrio. Se voc no preencher nada, todos tero acesso. No exemplo acima, denimos que todas as mquinas do domnio minhaorganizacao podero montar o diretrio. Note que tambm denimos que os usurios podero gravar dados neste diretrio.

Pressione Aceitar. Voc voltar para a tela anterior e poder ver que o diretrio foi exportado (Figura 12-3).

/tmp

195

Captulo 12. Compartilhamento de Recursos

Figura 12-3. Conrmao da exportao

Montando um diretrio remoto


Nesta seo iremos montar o diretrio /tmp que foi exportado na seo anterior. Iremos montar este diretrio remoto em um diretrio local chamado /mnt/tmp. Siga os seguintes passos:
1. Crie o diretrio /mnt/tmp:
# mkdir /mnt/tmp

196

Captulo 12. Compartilhamento de Recursos

2. Agora, para montar o diretrio temporariamente, digite o seguinte comando:


# mount -t nfs kepler.minhaorganizacao:/tmp /mnt/tmp

3. Para montar o diretrio de forma que ele seja sempre montado quando a mquina for reinicializada, entre no Linuxconf e v para Sistemas de ArquivosAcessar volumes NFS (Figura 12-4).

Figura 12-4. Acessar volumes NFS

4. Pressione Adicionar (Figura 12-5).

197

Captulo 12. Compartilhamento de Recursos

Figura 12-5. Adicionando um volume NFS

Simplesmente digite as informaes sobre o diretrio montagem e pressione Aceitar.

/tmp

e seu ponto de

5. Voc retorna para a tela anterior onde pode vericar que o diretrio foi montado (Figura 12-6).

198

Captulo 12. Compartilhamento de Recursos

Figura 12-6. Conrmao de montagem

LPD
Antes de mais nada, voc ter de incluir uma impressora no servidor de impresso. Para fazer isso, siga os passos abaixo:
1. Abra o Linuxconf e v para Servios Diversos (Figura 12-7).

199

Captulo 12. Compartilhamento de Recursos

Figura 12-7. Servios diversos

2. Pressione o boto Impressora (Figura 12-8).

200

Captulo 12. Compartilhamento de Recursos

Figura 12-8. Servios diversos

3. Se voc j possui uma impressora instalada, pode pular para o passo 10, seno pressione Adicionar/Editar impressoras. A prxima tela mostra as impressoras j instaladas (Figura 12-9).

201

Captulo 12. Compartilhamento de Recursos

Figura 12-9. Impressoras instaladas

4. Clique em Adicionar (Figura 12-10).

Figura 12-10. Impressoras Instaladas

202

Captulo 12. Compartilhamento de Recursos

Selecione o nome a ser utilizado para a impressora, dena se de uma impressora local ou remota e pressione Aceitar.
5. Voc voltar para a tela anterior. Mas agora a impressora adicionada aparecer (Figura 12-11).

Figura 12-11. Conrmao de adio

6. Clique sobre a impressora para editar suas propriedades. Na tela seguinte, clique em Opes de Filtro (Figura 12-12).

203

Captulo 12. Compartilhamento de Recursos

Figura 12-12. Opes de ltro

7. Pressione Selecionar Filtro para escolher o driver para a sua impressora (Figura 12-13).

204

Captulo 12. Compartilhamento de Recursos

Figura 12-13. Selecionando um driver

8. De volta tela anterior, pressione Aceitar. 9. Continue at retornar tela inicial de congurao de impressoras. 10. Pressione Autorizaes de Rede (Figura 12-14).

205

Captulo 12. Compartilhamento de Recursos

Figura 12-14. Mquinas autorizadas a utilizar a impressora

11. Clique em Adicionar para adicionar clientes (Figura 12-15).

Figura 12-15. Adicionando um cliente

Simplesmente digite o nome ou endereo de IP da mquina autorizada.

206

Captulo 12. Compartilhamento de Recursos

12. Pressione Aceitar para retornar tela anterior, onde voc poder ver uma lista das mquinas adicionadas (Figura 12-16).

Figura 12-16. Lista de mquinas autorizadas

207

Captulo 12. Compartilhamento de Recursos

208

Captulo 13. Boot Remoto

Apresentao

Figura 13-1. Rede com boot remoto.

O aumento da capacidade de processamento dos atuais sistemas computacionais, bem como o avano da robustez e da velocidade das redes de computadores, viabilizou a execuo de aplicaes em mquinas sem disco rgido. A soluo de Boot Remoto tem sido utilizada com sucesso a vrios anos no ambiente Linux graas, principalmente, a sua versatilidade, robustez, e grande ecincia na gerncia de recursos, tais como do subsistema de memria e rede.

209

Captulo 13. Boot Remoto

Esta soluo visa, basicamente, automatizar tanto quanto possvel a implantao da soluo, utilizando para isso um mdulo do Linuxconf. A partir da instalao do servidor e da criao de disquetes para as estaes, as mesmas estaro aptas a rodar a ampla maioria dos aplicativos encontrados em uma distribuio Linux, neste caso o Conectiva Linux.

Pr-requisitos
Para a instalao dessa soluo os seguintes pr-requisitos mnimos devem ser atendidos:

O hardware utilizado deve ser certicado para executar o Conectiva Linux; Voc dever possuir o CD 1 da distribuio do Conectiva Linux; Voc dever possuir um nmero suciente de disquetes para a instalao das estaes de trabalho. Cada estao a ser instalada necessitar de 1 disquete. Voc pode criar os disquetes aps a instalao do servidor; Nenhum outro servidor DHCP poder estar sendo executado na rede; Todas as estaes clientes devero estar no mesmo segmento de rede que o servidor de boot remoto. O servidor dever ter apenas uma interface ethernet;

210

Captulo 13. Boot Remoto

Voc dever certicar-se de que possui espao em disco suciente no servidor.

Os arquivos de cada estao sero armazenados no diretrio /tfptboot. Embora isso no seja necessrio, aconselhamos que este diretrio seja colocado em uma partio prpria. A instalao de cada estao ocupa em torno de 10MB de espao em disco. Assim, 10 estaes ocuparo 100MB. Alm disso, sugerimos reservar cerca de 400MB para instalaes de novos pacotes no futuro;

O CD 1 do Conectiva Linux 5.0 ou Conectiva Linux Edio Servidor 5.1.

Instalao
Antes de prosseguir com a instalao certique-se de que os itens descritos em Pr-requisitos foram atendidos. Para instalar o pacote, voc deve acessar o diretrio de pacotes do CD 1 da distribuio do Conectiva Linux:
cd /mnt/cdrom/conectiva/RPMS

Instale o pacote linuxconf-cnc-rbc:


rpm -ivh linuxconf-cnc-rbc-*

211

Captulo 13. Boot Remoto

cnc-br #############################################

Congurando o Servidor de Boot Remoto


A congurao do servidor de boot remoto feita atravs de um mdulo do Linuxconf. V para Ambiente de Rede Tarefas de servidor Servios de inicializao Remote Boot. Voc ver uma tela como a mostrada na Figura 13-2.

Figura 13-2. Menu do mdulo de boot remoto do Linuxconf.

212

Captulo 13. Boot Remoto

No execute a opo Instalao do Servidor de Boot Remoto a menos que deseje instalar ou reinstalar o servidor partindo do princpio. Essa opo excluir qualquer instalao anterior, bem como qualquer arquivo no diretrio /tftpboot (ou o diretrio de instalao das estaes, caso voc o tenha congurado de maneira diferente).

Pressione o boto Instalao do Servidor de Boot Remoto para instalar o servidor (Figura 13-3). Uma vez selecionada permitir a escolha de uma srie de opes preenchendo automaticamente, sempre que possvel, os campos com os valores sugeridos.

213

Captulo 13. Boot Remoto

Figura 13-3. Tela de instalao do servidor de boot remoto.

214

Captulo 13. Boot Remoto

Nome do domnio NIS: aqui voc deve especicar o nome do domnio que ser criado para a autenticao das estaes. Nome do domnio DNS das estaes de trabalho: voc pode informar o nome do domnio DNS para as estaes de trabalho. Senha de Root das estaes de trabalho: voc pode informar a senha de root para as estaes. Primeiro IP da Faixa: voc deve informar qual ser o primeiro endereo de IP a ser utilizado para as estaes de trabalho. ltimo IP da Faixa: voc deve informar qual ser o ltimo endereo de IP a ser utilizado para as estaes de trabalho.

Note que o nmero de estaes criadas ser igual ao nmero de endereos de IP entre o primeiro e ltimo endereo da faixa.

Broadcast: voc deve indicar o endereo de broadcast da subrede, assim como Netmask e Network deve ser preenchido automaticamente. Corrija os dados caso seja necessrio. DNS: voc deve informar o servidor de nomes. Note que o valor sugerido buscado do arquivo /etc/resolv.conf, de forma que o mesmo est correto na maioria das vezes.

215

Captulo 13. Boot Remoto

Prexo do nome da Estao: voc deve especicar um prexo para os nomes das estaes. Este prexo ser seguido de um nmero seqencial para identicar cada estao.

Por exemplo, se voc utilizar o valor padro (dhcp-), suas estaes iro se chamar dhcp-1, dhcp-2 e assim por diante.

Lista de RPMs: voc pode especicar pacotes RPM a serem instalados em cada estao. Quando uma estao criada, estes pacotes so automaticamente instalados.

Note que voc poder instalar outros pacotes posteriormente. Caso voc deseje especicar seu prprio conjunto de pacotes a ser instalado, voc dever ter cuidado com a ordem de instalao e as dependncias dos pacotes.

Pacotes RPM (PATH) voc deve especicar o diretrio onde encontram-se os pacotes a serem instalados. O local padro o diretrio de pacotes do CD-ROM da distribuio do Conectiva Linux.

Nesta mesma tela, voc pode tambm especicar quais servidores (NFS, DHCP, etc) devero ser inicializados no servidor. Todos os servidores listados na tela de congurao do servidor de boot remoto so necessrios para o funcionamento correto das estaes. Voc pode escolher iniciar os servidores mais tarde se desejar. Aps o preenchimento das informaes, voc deve pressionar Aceitar para comear

216

Captulo 13. Boot Remoto

a criar as estaes.

Criando disquetes de boot

Figura 13-4. Criao dos disquetes de boot

Aps concluda a instalao e congurao do seu servidor de boot remoto, ser necessria a criao dos disquetes de inicializao para as estaes. Esses disquetes so gerados usando-se o pacote Etherboot. Para gerar os disquetes de inicializao selecione a opo Criao de Disquetes de Boot para Estaes e ento selecione o driver correspondente placa de rede da estao a qual esse disquete ser destinado (Figura 13-4). Quando o driver for selecionado, o disquete ser imediatamente criado e uma mensagem lhe informar no caso de sucesso (Figura 13-5) ou fracasso da instalao.

217

Captulo 13. Boot Remoto

218

Captulo 13. Boot Remoto

Congurando as Estaes
O prximo passo congurar as estaes de trabalho. Voc deve congurar os servios a serem inicializados, o tipo de teclado, mouse, placa de som, placa de vdeo e monitor. A congurao desse hardware feita utilizando o comando setup (vide Figura 13-6):
# /usr/sbin/setup

Este comando deve ser executado nas estaes remotas (Figura 13-6).

Figura 13-6. O utilitrio setup.

219

Captulo 13. Boot Remoto

Gerenciando Pacotes RPM para as estaes


Aps a instalao do servidor, o processo de instalao, remoo, atualizao e consulta de pacotes poder ser efetuada atravs da opo Gerenciamento de Pacotes do Servidor de Boot Remoto (Figura 13-7).

220

Captulo 13. Boot Remoto

221

Captulo 13. Boot Remoto

Instalando Pacotes
Para instalar novos pacotes nas estaes, voc deve usar a opo correspondente Instalao de pacotes RPM para as estaes (Figura 13-8).

Figura 13-8. Instalao de pacotes RPM

Digite o caminho onde os pacotes se encontram quando solicitado. Caso a lista de pacotes disponveis for muito grande, voc ter a possibilidade de utilizar um ltro, ou seja, voc poder digitar as primeiras letras do nome do pacote para reduzir o nmero de pacotes. Se desejar que todos os pacotes lhe sejam apresentados, simplesmente pressione ENTER. Pressione o boto correspondente ao pacote que voc deseja instalar. Uma tela ser apresentada para indicar se a instalao do pacote foi (Figura 13-9), ou no, bem sucedida.

222

Captulo 13. Boot Remoto

223

Captulo 13. Boot Remoto

No caso de a instalao no ser bem sucedida, uma mensagem indicar as razes (Figura 13-10).

224

Captulo 13. Boot Remoto

225

Captulo 13. Boot Remoto

Remoo de Pacotes RPM


Quando selecionada a opo Remoo de pacotes RPM para as estaes, uma lista com os pacotes RPM instalados ser mostrada (Figura 13-11). Para remover um pacote, apenas selecione o seu nome na lista. Caso a remoo seja bem sucedida, voc ser informado do seu sucesso. Caso no seja bem sucedida, voc receber uma mensagem informando o porqu da falha durante o processo de remoo do pacote.

Figura 13-11. Desinstalao de pacotes RPM

226

Captulo 13. Boot Remoto

Referncias
Para mais informaes referentes aos tpicos cobertos por este captulo, sugerimos que voc visite os seguintes sites: Hardware Conectiva (http://www.conectiva.com.br/suporte/hardware/) - este site contm uma lista dos hardwares suportados e/ou certicados pelo Conectiva Linux.

227

Captulo 13. Boot Remoto

228

Captulo 14. FreeS/WAN

229

Captulo 14. FreeS/WAN

Apresentao

230

Captulo 14. FreeS/WAN

Usaremos um pacote chamado FreeS/WAN, uma implementao de IPSec de livre distribuio para IPv4 do kernel do Conectiva Linux. O IPSec est atualmente na verso 1.3. Com esta ferramenta devidamente congurada, estar criada uma rede segura entre dois gateways espalhados pela Internet. Existem vrias ferramentas similares em funcionamento ao que o FreeS/WAN faz. Podemos citar o VTun, CIPE, STunnel, e o prprio sistema de IP-IP do kernel do Linux, por exemplo. Todas as ferramentas disponveis apresentam alguma vantagem ou desvantagem, e geralmente as caractersticas presentes ou ausentes so capacidade de encriptar os dados, performance no encapsulamento, capacidade de compactao dos pacotes originais, implementao a nvel de kernel ou de usurio. O IPSec se sobressai entre todas elas por ser uma implementao a nvel de kernel (inclui um novo protocolo no kernel), rpido, muito seguro (pode utilizar RSA para criptograa), e faz tambm apenas autenticao caso a criptograa no seja necessria. O IPSec a maneira mais genrica de prover servios de criptograa para a Internet. Servios de alto nvel protegem apenas um nico protocolo. Por exemplo, o PGP protege apenas mail, o SSH protege apenas sesses de shell (com possveis extenses), HTTPS protege apenas pginas de Internet, e assim por diante. Servios de baixo nvel protegem um nico meio. Por exemplo, um par de encriptadores nas pontas de uma linha telefnica com um modem tornaro grampos inteis a menos que o atacante saiba decifrar o cdigo usado na criptograa

231

Captulo 14. FreeS/WAN

(Figura 14-2).

Figura 14-2. Segurana entre dois modems

O IPSec, por outro lado, pode proteger qualquer protocolo e qualquer meio rodando sob IP. Mais especicamente, ele pode proteger diversos protocolos rodando sobre uma combinao complexa de meios. Esta a situao normal da Internet. E o IPSec a nica soluo de uso geral. O IPSec por outro lado no faz criptograa ponta a ponta. Ele no faz com que o

232

Captulo 14. FreeS/WAN

pacote saia da mquina j criptografado e chegue no destino ainda criptografado (isto exigiria mudanas nas mquinas-clientes). Ele apenas criptografa os pacotes quando eles passam por dentro de um gateway, e os leva desta forma at o outro gateway que os descriptografar. Os prprios IPs das mquinas-cliente so usados, e estas no sabem o que est acontecendo. Por isso, a segurana que o IPSec prov depender de uma ajuda: ele no poder garantir segurana se a prpria rede interna no for segura (at o gateway prximo). Caso seja necessrio fazer criptograa end-to-end use outros aplicativos, como PGP para mail por exemplo e SSH para shell.

Pr-requisitos
Para a instalao desta soluo, os seguintes pr-requisitos devem ser atendidos:

Os dois lados da rede devem ter endereos IP diferentes; O sistema deve ter preferencialmente o kernel 2.2.14; O DNS j deve estar devidamente congurado; O arquivo /etc/sysconfig/network deve conter a seguinte linha:
FORWARD_IPV4 = "yes"

233

Captulo 14. FreeS/WAN

O arquivo /etc/sysconfig/cl-firewall deve conter a seguinte linha:


RP_FILTER=0

Instalao
Para instalar o FreeS/WAN:

Acesse o diretrio de pacotes do CD 1 da distribuio do Conectiva Linux:


# cd /mnt/cdrom/conectiva/RPMS

Instale o pacote do FreeS/WAN:


# rpm -ivh freeswan-* freeswan ##################################

234

Captulo 14. FreeS/WAN

Congurao
Nenhuma congurao ser necessria nas estaes, apenas nos gateways. Toda a congurao baseada em apenas dois arquivos:
/etc/ipsec.conf

e /etc/ipsec.secrets

O primeiro guarda as conguraes gerais do IPSec, enquanto que o segundo guarda as chaves de criptograas (para qualquer um dos dois casos, chaves prtrocadas ou chaves RSA pblica/privada). Ambos os arquivos devem ter permisses 600 por questes de segurana. O dono e o grupo deve ser root:root.
# chown root:root /etc/ipsec.conf # chmod 600 /etc/ipsec.conf # chown root:root /etc/ipsec.secrets # chmod 600 /etc/ipsec.secrets

O arquivo ipsec.conf
Segue abaixo um exemplo (para o caso mais comum). S foram listadas as partes relevantes. O resto pode ser deixado como est no arquivo original. Imagine o seguinte exemplo (Figura 14-3):

235

Captulo 14. FreeS/WAN

Figura 14-3. Exemplo de caso comum de IPSec

Segue um arquivo de congurao que serviria para a rede acima. Observe que o arquivo de congurao original muito mais completo, e aqui s foram mostradas as partes relevantes. O restante do arquivo pode ser deixado intacto, salvo nota especca.

236

Captulo 14. FreeS/WAN

config setup interfaces=%defaultroute \ klipsdebug=none plutodebug=none conn %default esp=3des-md5-96 authby=rsasig conn con123 left=192.168.255.213 leftsubnet=192.168.6.0/24 #leftnexthop=192.168.255.220 leftrsasigkey=0x01039d827220755... #leftfirewall=yes right=10.0.2.25 rightsubnet=192.168.7.0/24 #rightnexthop=10.0.0.1 rightrsasigkey=0x01034bd3e30995... #rightfirewall=yes auto=start

Na primeira seo temos config setup, que especica a seo geral de congurao do IPSec. Esta seo normalmente no ser modicada. Cuide para que pelo

237

Captulo 14. FreeS/WAN

menos as linhas listadas existam e estejam corretas. Logo aps, temos conn %default. Esta seo no indica uma conexo especca, mas serve para que voc possa listar quaisquer parmetros que voc deseje que sejam vlidos para todas as conexes. Listar alguma opo aqui o mesmo que list-la repetidas vezes dentro de cada uma das conexes. No caso acima esto listadas duas keywords interessantes (as outras podem ser deixadas como esto no original). A opo esp=3des-md5-96 indica o tipo de criptograa que queremos usar. 3desmd5-96 uma boa opo, sugerida como padro. As outras opes esto listadas no manual do FreeS/WAN (antes de usar tenha certeza do que est fazendo). authby=rsasig indica que queremos usar autenticao e criptograa do tipo RSA (chaves pblicas e privadas). As opes so secret (default) para PSK (pre shared keys) e rsasig para chaves RSA. As chaves RSA so mais seguras e melhores em vrios outros aspectos, portanto a que deve ser usada normalmente. Por ltimo, conn con123 a conexo que estamos tentando estabelecer. Podem existir vrias conexes, basta repetir esta parte com novos parmetros. No exemplo, a palavra con123 representa o nome da conexo, e pode ser substituda por qualquer outra palavra que simbolize melhor a inteno particular desta conexo. Este nome poder ser usado mais tarde para parar/iniciar/reiniciar a conexo manualmente. Antes de irmos para os nmeros em si, uma breve explicao do signicado de left e right. Eles representam "os dois lados" da conexo. No faz diferena quem qual, apenas que os dois lados estejam listados. O FreeS/WAN descobre sozinho qual ele mesmo e qual o outro lado, atravs do IP indicado. Isto faz com que

238

Captulo 14. FreeS/WAN

se possa usar o mesmo arquivo de congurao, exatamente igual, para os dois lados, facilitando bastante a congurao. Apenas tome o cuidado para que a mquina que considerada left de um lado, seja tambm left do outro lado. Agora vejamos as keywords usadas no exemplo, uma a uma: indica o IP da mquina gateway de um dos lados. Assumimos aqui que o left representa o GATEWAY A. Se a mquina tiver mais de uma interface, dever ser usado o IP da interface onde est o gateway padro (ou por onde sairo os pacotes direcionados para a outra mquina gateway).
left=192.168.255.213 leftsubnet=192.168.6.0/24

indica qual a rede que est atrs do gateway, cujos pacotes sero protegidos. Deve-se indicar a netmask em conjunto com o endereo de rede.

leftnexthop=192.168.255.220 indica qual o IP do gateway que est acima do GATEWAY A. Normalmente este endereo ser obtido automaticamente atravs da rota do gateway padro (por isso existe aquela instruo interfaces=%defaultroute na primeira seo). Nesses casos comuns pode-se deixar as instrues nexthop comentadas, como no exemplo. leftrsasigkey=0x01039d827220755... leftfirewall=yes

indica a chave pblica RSA do outro lado.

indica que a mquina rewall no est fazendo masquerading para a rede que ela est protegendo, e esta rede tem IPs no roteveis que no devem ser repassados para o lado de fora. Normalmente no ser usada. Todos estes conceitos so igualmente aplicveis ao outro lado, apenas substituindo left por right.
auto=start

indica que esta conexo deve ser iniciada durante o boot do micro.

239

Captulo 14. FreeS/WAN

Outra opo seria auto=add para apenas adicionar a conexo na lista de conexes mas no inici-la no boot. Ela poder ser iniciada mais tarde manualmente (pouco usado).

O arquivo ipsec.secrets
Agora necessrio congurar as chaves que sero usadas para a criptograa e autenticao. Em primeiro lugar voc deve escolher qual o tipo de chave a ser usada, PSK ou RSA. Como j foi dito, deve-se dar preferncia para o tipo RSA. Os dois sero explicados a seguir: O freeswan vem com um utilitrio especial para a gerao de chaves. Experimente chamar ipsec ranbits 256 e veja que o resultado se parecer com a linha abaixo:
0x574d129e_bf2eca58_390e2457_2f788b88_...

O nmero acima um exemplo de uma chave do tipo PSK. Quando voc quiser usar uma chave deste tipo, execute este comando, pegue o resultado e insira no arquivo de congurao no lugar do nmero padro que vem de exemplo. NO USE O EXEMPLO citado no pargrafo acima, e nem o exemplo que j vem dentro do arquivo. Faa a sua prpria chave. Esta chave dever ser igual dos dois lados.

240

Captulo 14. FreeS/WAN

Depois de substituir o nmero, o arquivo car parecido com isto:


192.168.255.213 10.0.2.25: PSK "0x574...

O nmero no exemplo acima foi truncado por questes estticas, mas no lugar das reticncias continue o nmero at o nal. Os dois IPs que esto listados antes do nmero so os dois IPs das redes que esto atrs dos gateways (os mesmos listados nas keywords leftsubnet e rightsubnet do arquivo ipsec.conf). A outra maneira, j bastante comentada, o uso de chaves RSA. Qual a vantagem de usar RSA? Por vrios motivos. Vejamos:

Nenhum problema de transmisso de chaves. No caso das chaves compartilhadas (PSK) voc deve enviar a chave para o outro lado de algum modo. Com o mecanismo de chave pblica/privada, voc transmite para o outro lado apenas a chave pblica. O sistema foi desenvolvido de forma que caso algum pegue sua chave pblica, nada poder ser feito com ela (para descriptografar o que foi criptografado com a chave pblica, necessria a chave privada que no foi transmitida). Fcil manuteno. Se voc tiver mais de uma conexo, com mais de um gateway diferente, pode deixar sua chave pblica em um lugar conhecido e todos pegarem. No haver a necessidade de car gerando novas chaves e repassando-as para cada um dos novos gateways. Usar a mesma PSK para todos nem pensar! No requer que os IPs das pontas sejam xos, pois a chave ir garantir a autenticidade da outra mquina. Isto usado para redes virtuais privadas com IPs mveis, e no ser alvo deste documento. Para mais informaes consulte o manual do freeswan, na web.

241

Captulo 14. FreeS/WAN

Para gerar o par de chaves, execute o comando:


ipsec rsasigkey 128

Isto ir gerar um par de chaves RSA de 128 bits. Aconselha-se usar mais bits, como por exemplo 1024. Para 128, a gerao rpida, mas para 1024 pode levar at alguns minutos dependendo da mquina em que est sendo executado o comando. Usamos 128 aqui para um exemplo ilustrativo. A sada deste comando ser parecida com o seguinte:
# 128 bits, Tue Apr 25 21:08:09 2000 # for signatures only, UNSAFE FOR ENCRYPTION #pubkey=0x01039efb4e4a84f0026202cd872e41dfbce7 Modulus: 0x9efb4e4a84f0026202cd872e41dfbce7 PublicExponent: 0x03 # everything after this point is secret PrivateExponent: 0x69fcdedc58a001959e5053f6c7c6154b Prime1: 0xde02e368132d3ac9 Prime2: 0xb75225d40309622f Exponent1: 0x9401ecf00cc8d1db Exponent2: 0x7a36c3e2acb0ec1f Coefficient: 0x7cc39b384223f7f3

242

Captulo 14. FreeS/WAN

Com exceo dos comentrios, e da linha que inicia com #pubkey (que tambm est comentada), todo o resto a chave privada. Aquele nmero contido na linha #pubkey deve ser repassado para a outra mquina gateway, para ser inserido no arquivo de congurao ipsec.conf na keyword "leftrsasigkey=0x01039ef..." (ou right, conforme o caso). Todo o resto dever ser inserido em ipsec.secrets da mquina local (que gerou a chave) como sendo sua prpria chave privada. O arquivo de congurao car parecido com isto:
192.168.255.213 10.0.2.25: RSA { Modulus: 0x9efb4e4a84f0026202cd872e41dfbce7 PublicExponent: 0x03 PrivateExponent: 0x69fcdedc58a001959e5053f6c7c6154b Prime1: 0xde02e368132d3ac9 Prime2: 0xb75225d40309622f Exponent1: 0x9401ecf00cc8d1db Exponent2: 0x7a36c3e2acb0ec1f Coefficient: 0x7cc39b384223f7f3 }

A listagem acima contm exatamente a tag de abertura (primeira linha) e em seguida deve ser colado o contedo EXATO das chaves geradas com o comando mencionado anteriormente, e por ltimo, a tag de fechamento. Na primeira linha, os IPs so opcionais. Voc pode iniciar direto a partir dos ":

243

Captulo 14. FreeS/WAN

RSA {" se quiser. O importante que na primeira linha, os IPs (ou os ":") iniciem exatamente na primeira coluna, e no resto do texto at o nal do bloco, nenhuma outra linha inicie no primeiro caractere (identar todas as outras linhas). Tambm deixe sempre espaos entre as tags (por exemplo ":RSA{" no funciona). O outro lado deve fazer a mesma coisa: gerar as chaves, guardar as suas chaves privadas no arquivo de secrets local, e enviar a chave pblica para ser acrescentada no arquivo ipsec.conf do lado de c. Finalmente, para tudo isto funcionar, habilite a autenticao via RSA no ipsec.conf de cada um, com a instruo authby=rsasig j mostrada anteriormente. No se assuste com o tamanho dos nmero, eles realmente sero enormes. O exemplo de 128 bits apenas ilustrativo, as chaves de 1024 podero ter at 4 ou 5 linhas de texto numa janela texto de 80 colunas. Mantenha estes nmeros sempre numa linha s, cada um deles, nunca deixe o editor quebrar a linha em vrias. Acrescente "alias ipsec0 ipsec" no arquivo /etc/conf.modules. Ao nal, reinicialize a mquina, e deixe que ela carregue tudo automaticamente. Observe se houve alguma mensagem de erro durante o carregamento da mquina.

Testes Ps-instalao
Em primeiro lugar, tenha em mente que as mquinas gateway A e gateway B no conseguem acessar as mquinas que esto atrs do outro gateway. Isto uma

244

Captulo 14. FreeS/WAN

impossibilidade tcnica. Um gateway acessa o outro diretamente (pelos ips reais, sem criptograa) e as mquinas host 1 e host 2 se acessam normalmente (atravs de um tunel criptografado), mas gateway A no acessa host 2 diretamente, e gateway B no acessa host 1 diretamente. Isto ser normal. Durante a fase de testes, talvez seja interessante manter a conexo como auto=add no arquivo ipsec.conf ao invs de auto=start, pois assim voc poder iniciar e parar a conexo manualmente quantas vezes desejar. Ao nal, mude novamente para auto=start dos dois lados para que as coisas voltem a ser automticas. Sempre olhe os arquivos de registro. Se possvel tenha sempre uma janela aberta com os arquivos de registro de tudo o que est acontecendo, para no perder tempo com coisas que podem estar bem esclarecidas nas mensagens de erro que o programa ir jogar para estes arquivos. O arquivo padro de registro o /var/log/messages. Para vericar se tudo foi feito de maneira correta:

Verique se existem arquivos com o nome de ipsec* no diretrio /proc/net; Verique o relacionamento entre o IPSec e se as suas interfaces esto corretas, fazendo:
cat /proc/net/ipsec_tncfg

Execute o comando:
ipsec look

245

Captulo 14. FreeS/WAN

e verique se existe uma tabela com rotas e conexes (deve indicar que a outra rede est saindo atravs de um tunnel). A qualquer momento que for necessrio paralisar ou iniciar uma interface, podese usar os seguintes comandos (substitua o nome con123 pelo nome usado na congurao):
# ipsec auto -up con123 # ipsec auto -down con123

246

Captulo 15. Backup


Apresentao

Figura 15-1. Backup

Qualquer administrador de sistemas sabe que est sob constante risco de sofrer

247

Captulo 15. Backup

uma perda de dados. As conseqncias da perda de dados podem variar desde uma queda do sistema temporria at perdas irrecuperveis de recursos para a empresa. Para evitar maiores problemas, todo o administrador de sistema deve ter uma boa poltica de backup em seu sistema. Para facilitar a vida de seus usurios, o Conectiva Linux oferece o Amanda, um software de backup bastante popular. O Amanda pode operar em diversos tipos de meios fsicos de backup (tas DAT, discos CD-R). Por simplicidade, neste captulo nos referimos sempre a ta, embora possa ser substitudo por outro tipo de mdia.

Pr-requisitos
Para a instalao do Amanda, voc precisa:

algum conhecimento sobre o sistema de arquivos do Linux e os dispositivos; que a rede esteja corretamente congurada; um meio adequado para backup como uma unidade de ta; um utilitrio de backup como o GNU Tar ou o Dump+Restore; o Perl deve estar instalado para as ferramentas de documentao do Amanda;

248

Captulo 15. Backup

o GNU readline deve estar instalado para poder ser utilizado com o utilitrio de recuperao de dados; o GNU awk e o gnuplot devem estar instalados para que a ferramenta amplot possa ser utilizada.

Instalao
Para instalar o Amanda:
1. Acesse o diretrio de pacotes do CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

2. Instale o pacote do Amanda:


# rpm -ivh amanda-2* amanda ################################################

3. Instale o gnuplot se ele ainda no estiver instalado:

249

Captulo 15. Backup

# rpm -ivh gnuplot-* gnuplot ###############################################

4. Instale o Amanda Server:


# rpm -ivh amanda-server-* amanda-server #########################################

5. Se voc pretende utilizar o Dump+Restore em vez do GNU Tar, voc deve instalar o pacote:
# rpm -ivh dump-* dump ##################################################

Congurao
A congurao do Amanda deve ser realizada atravs da edio de trs arquivos

250

Captulo 15. Backup

de congurao. Antes de partir para a congurao do software, voc dever decidir qual mquina ser o servidor Amanda. Para tomar essa deciso, voc deve levar em conta que o Amanda pode consumir bastante processamento, especialmente se ele for congurado para comprimir dados. Alm disso, o Amanda consumir bastante recursos de rede e E/S de disco. O Amanda no utiliza uma grande quantidade de memria RAM, mas necessita acesso direto a uma unidade de ta (ou outra mdia equivalente) com espao suciente para o backup. Voc deve escolher um dispositivo que no rebobine automaticamente. No Conectiva Linux, estes dispositivos geralmente contm uma letra n no nome, como, por exemplo, /dev/nst0. possvel fazer a compresso de dados diretamente no cliente ou deixar que o hardware de ta a faa. A compresso via software permite que o Amanda tenha controle sobre o uso das faixas da ta e faa melhores estimativas quanto aos tamanhos das imagens. Porm, a compresso via hardware muito mais eciente em termos de utilizao de CPU. Voc dever desativar a compresso por hardware se for utilizar compresso por software. Acesse a documentao do seu hardware de ta para informaes sobre como ativar ou desativar a compresso. Seria interessante que voc tentasse alocar espao no disco rgido do seu servidor Amanda para que o backup seja acelerado. O Amanda pode utilizar este espao em disco para realizar dumps1 enquanto a unidade de ta est ocupada com um dump anterior.
1. um dump o mesmo que backup dos dados.

251

Captulo 15. Backup

Os Arquivos de Congurao
O Amanda pode possuir qualquer nmero de conguraes. Neste captulo, vamos criar uma congurao chamada de Diario, que ser utilizada para fazer um backup dirio. Voc deve criar um usurio para o Amanda. Neste captulo, vamos usar um usurio chamado amanda, que pode ser criado assim:
# useradd amanda

Note que as conguraes so sempre guardadas em subdiretrios abaixo de /etc/amanda. Esse diretrio, porm, no criado durante a instalao. Voc deve cri-lo antes de comear a congurar o Amanda:
# mkdir /etc/amanda # chown amanda.amanda /etc/amanda

Perceba que alm de criar o diretrio, voc dever permitir que o usurio criado para o Amanda (mais informaes sobre isso abaixo) possa acessar este diretrio com permisses de escrita. Como o nome da congurao Diario, o arquivo de congurao do Amanda ser /etc/amanda/Diario/amanda.conf. Abaixo lhe mostraremos as opes mais comuns do arquivo amanda.conf seguidas

252

Captulo 15. Backup

por uma breve explicao de cada uma:


org "Backup diario da Minha Organizacao"

Isso identica a congurao. Este texto ser utilizado como o assunto das mensagens de correio eletrnico que sero enviadas pelo Amanda.
mailto "suporte@minhaorganizacao"

Este parmetro indica um ou mais (separados por espaos) endereos de correio eletrnico para onde o Amanda enviar seus relatrios.
dumpuser "amanda"

Indica que o Amanda deve ser executado com as permisses de um usurio que no o root. Pode ser interessante para o administrador ter um usurio exclusivo para o Amanda. Isso pode ajudar em termos de segurana, j que quanto menos tiver de ser executado pelo root, melhor.

Lembre-se que, se voc decidir que o Amanda dever executar como no superusurio, o usurio escolhido deve ter acesso aos dispositivos de ta assim como aos arquivos a serem salvos. Para garantir isso, voc pode colocar o usurio do Amanda no grupo disk. Para fazer isso voc precisa utilizar o Linuxconf. Consulte a documentao do Linuxconf para mais informaes. Se preferir no utilizar o Linuxconf, voc pode fazer o seguinte:

253

Captulo 15. Backup

1. Descubra quais os grupos do usurio do Amanda:


# id amanda uid=501(amanda) gid=501(amanda) grupos=501(amanda),50(ftp)

2. Use o comando usermod para adicionar o usurio amanda ao grupo disk. Note que voc deve colocar o usurio nos mesmos grupos aos quais ele j pertencia anteriormente, alm do grupo disk. No exemplo, o usurio amanda j pertencia ao grupo ftp:
# usermod -G ftp,disk amanda

dumpcycle 2 weeks

O parmetro dumpcycle especica o ciclo de dumps. Este ciclo o tempo mximo de um ciclo de backups. Ele indica de quanto em quanto tempo o Amanda deve fazer um backup completo2.
2. full dump

254

Captulo 15. Backup

runtapes 2

O Amanda sempre assume que utilizar um nica ta a cada execuo do backup. Porm, se voc possui um trocador de ta, pode especicar um nmero de tas a serem utilizadas.
tapedev "/dev/nst0"

Especica o dispositivo de ta a ser utilizado para o backup. Note que ele deve ser um dispositivo que no rebobine automaticamente.
tapetype SDT-9000

Especica o tipo de dispositivo de ta instalado.


netusage 5000 Kbps

Esta opo especica um limite mximo de banda de rede a ser utilizada pelo Amanda. O valor tem de ser expresso em kilobits por segundo.
labelstr "^Diario[0-9][0-9]*$"

A opo labelstr uma expresso regular utilizada para assegurar que todas as tas esto alocadas para esta congurao.

255

Captulo 15. Backup

Espao em Disco Rgido


Como mencionado anteriormente neste captulo, possvel (e recomendado) alocar espao no servidor de backup para acelerar o processo de backup. Alm disso, este espao em disco garante uma maior segurana, j que se a ta falhar, o Amanda continua o backup normalmente em disco, podendo ser mandando posteriormente para ta atravs do comando amush (mais sobre este comando no nal deste captulo).
holdingdisk disco1 { comment "main holding disk" directory "/backup" # diretorio a utilizar use 2048 Mb } # quanto espao utilizar

Voc pode ter vrias sees holdingdisk. Em cada uma delas, voc deve especicar um diretrio para ser utilizado pelo Amanda e a quantidade mxima de espao a ser utilizado.

Embora no seja exigido, recomenda-se a utilizao de um disco dedicado ao Amanda para possibilitar uma melhor performance.

256

Captulo 15. Backup

Tipos de Fita
Voc deve especicar algumas informaes sobre a unidade de ta sendo utilizada. Voc indica que tipo de unidade voc est usando com a opo tapetype, explicada anteriormente neste captulo. O parmetro para aquela opo deve corresponder a uma entrada denida no arquivo.
define tapetype SDT-6000 { comment "SDT-6000 SONY" length 4000 mbytes filemark 100 kbytes speed 366 kbytes } # tamanho da fita # valor ideal para a maioria das fitas # idem

A nica parte que voc provavelmente ter de alterar o parmetro length que indica o tamanho da ta. Os outros parmetros normalmente no precisam ser alterados.

Tipos de Dump
Voc deve denir tipos de dumps que o Amanda far. Essa denio feita atravs de blocos define dumptype. Por exemplo:
define dumptype sempre-completo {

257

Captulo 15. Backup

global comment "Sempre backups completos" compress none priority high dumpcycle 0 }

Os parmetros utilizados para se denir um tipo de dump so:

auth: o tipo de autenticao a ser utilizada pelo Amanda. Os parmetros podem ser bsd e krb4. Padro: auth bsd; comment: apenas um comentrio sobre este tipo de dump; comprate: uma estimativa de como car o tamanho dos dados aps a compactao. So necessrios dois valores; o primeiro a estimativa quando de um dump completo e o segundo dos dumps parciais. Padro: comprate 0.5 0.5; compress: o tipo de compresso a ser utilizado. Os valores possveis so:

none:

no comprimir; compactar no cliente utilizando a melhor compresso (e menor veloci-

client best:

dade);

client fast:

compactar no cliente utilizando a compresso mais rpida (e menos

eciente);

258

Captulo 15. Backup

server best:

compactar na ta utilizando a melhor compresso (e menos veloci-

dade);

server fast:

compactar na ta utilizando a compresso mais rpida (e menos e-

ciente).

Padro: compress

client fast;

dumpcycle: congura o nmero de dias em um ciclo de dump, ou seja, o nmero de dias entre dumps completos. exclude: lista de arquivos e diretrios a serem excludos do backup. S utilizado quando o backup feito atravs do GNU Tar. Pode ser um padro de arquivos a serem ignorados ou pode ser list "arquivo", onde arquivo o nome de um arquivo no cliente contendo os nomes dos arquivos e diretrios a serem excludos; holdingdisk: especica se o espao alocado no disco rgido deveria ser utilizado por este tipo de dump. Padro: holdingdisk: yes; ignore: se esta diretiva aparece, o sistema de arquivos ao qual ele se refere ser ignorado (no far parte do backup); index: especica se o Amanda deve criar e manter um ndice dos arquivos neste backup; kencrypt: especica se os dados devem ser encriptados entre o cliente e o servidor. Padro: kencrypt no;

259

Captulo 15. Backup

maxdumps: nmero mximo de dumps concorrentes. Padro: maxdumps 1; priority: nvel de prioridade do Amanda. Pode ser low, medium e high. Estes valores s so utilizados pelo Amanda quando ele no tem como gravar em nenhuma ta por causa de algum erro. Quando o Amanda est neste estado, ele comea a realizar os backups apenas na rea alocada no disco rgido, comeando com os dumps marcados como high, depois os medium e, nalmente, se houver possibilidade, os low. program: especica qual programa a ser utilizado para realizar os dumps. Pode ser GNUTAR para utilizar o GNU Tar; ou DUMPS para usar o Dumps. Padro: program DUMPS. record: especica se o Amanda deve gerar um registro em record yes;
/etc/dumpdates.

Padro:

skip-full: especica que este dump deve ser efetuado apenas durante dumps parciais; skip-incr: especica que este dump deve ser efetuado apenas durante dumps completos; strategy: especica a estratgia do dump. Pode ser:

standard:

utiliza a estratgia normal do Amanda;

nofull: especica que o Amanda deve fazer apenas dumps parciais. Isso pode ser til quando se trata de backup de um pequeno sistema de arquivos em que poucas modicaes so feitas, assim, pode-se gravar apenas as modicaes; noinc:

especica que o Amanda deve fazer apenas dumps completos;

260

Captulo 15. Backup

skip: especica que este dump deve ser ignorado. Isso til quando se compartilha um mesmo arquivo disklist com diversas conguraes.

Listas de Discos
Em cada diretrio de congurao do Amanda voc dever criar um arquivo disklist. Este arquivo controla os sistemas de arquivos a serem includos no backup. O arquivo disklist contm qualquer nmero de linhas especicando sistemas de arquivos. O formato destas linhas bastante simples:
MAQUINA SISTARQ TIPODUMP

onde:

MAQUINA: nome da mquina onde o sistema de arquivos est; SISTARQ: o sistema de arquivos a ser includo. Note que este pode ser um nome de dispositivo ou partio, ou um diretrio; TIPODUMP: tipo de dump a ser feito neste sistema de arquivos. Este tipo deve corresponder a um tipo criado no arquivo amanda.conf, conforme instrues acima.

261

Captulo 15. Backup

Assim, um exemplo de arquivo disklist poderia ser:


kepler.minhaorganizacao sda1 imp-melhor

newton.minhaorganizacao newton.minhaorganizacao

hda1 imp-low /usr/local nao-imp

O exemplo acima indica que o Amanda dever fazer um backup do sistema de arquivos sda1 (primeira partio do primeiro disco SCSI) da mquina kepler, utilizando o tipo de dump imp-melhor, que deve ter sido denido no arquivo amanda.conf. Alm disso, foi denido que o Amanda deve fazer um backup de dois sistemas de arquivos da mquina newton: o hda1 e o diretrio /usr/local (supostamente localizado fora de hda1). Ambos os sistemas de arquivos utilizam conguraes de backup diferentes.

Inicializando as Fitas
Antes de fazer o backup voc dever inicializar as tas. Para fazer isso, utilize o comando amlabel, que deve ser executado pelo usurio do Amanda ou pelo root, se um usurio no houver sido criado.
amlabel Diario Diario-12

Este comando inicializa a ta

Diario-12.

O primeiro parmetro no nome da

262

Captulo 15. Backup

congurao a se utilizar e o segundo o nome (etiqueta) da ta.

Criando Tarefas no Cron


Para utilizar o Amanda voc dever agendar tarefas no Cron. Para instalar uma tarefa no Cron:
1. Efetue o login com o usurio do Amanda, se voc houver criado um, caso contrrio, execute como root. Supondo que voc tenha criado um usurio chamado amanda:
# su amanda Password: $

2. Edite a crontab:
$ crontab -e

3. Adicione uma linha para executar o amdump:


* 23 * * 1-5 /usr/sbin/amdump Diario

263

Captulo 15. Backup

Isso far com que o amdump seja executado de segunda a sexta-feira, s 11 horas da noite utilizando a congurao Diario. Para mais informaes sobre como congurar a crontab, consulte a documentao do Cron.

O Comando amush
Se uma ta falha, o Amanda pode utilizar o espao alocado em disco para fazer o backup. Para poder gravar os dados que caram em disco rgido em uma ta voc deve utilizar o comando amush.
# amflush Diario

Este comando ir gravar os dados do backup Diario, que caram em disco rgido para tas.

O Comando amcheck
O amcheck um comando que deveria ser utilizado antes do amdump. Ele testa se os clientes esto prontos para o backup.
amcheck Diario

264

Captulo 15. Backup

O comando acima ir efetuar a checagem para o backup Diario. Ele envia um relatrio via email para o endereo especicado na congurao (voc pode denir um email alternativo com a opo -m). Voc pode colocar este comando para ser executado pelo cron automaticamente trs horas antes do horrio do backup, por exemplo, para que, em caso de problemas, haja tempo para solucion-los antes do incio do backup.

Recuperao de Dados
De nada adiantaria a criao e manuteno de backups se voc no pudesse recuperar os dados perdidos. Para recuperar dados de um backup criado pelo Amanda voc vai utilizar o comando amrestore. O comando amrestore pode ser utilizado para recuperar todos os dados no backup ou apenas uma parte dele. Por exemplo, imagine que a mquina newton tenha tido um problema e perdeu os dados. Para recuperar todos os dados daquela mquina, voc utilizaria o seguinte comando:
# amrestore /dev/nst0 newton

O exemplo acima assume que o dispositivo de ta o /dev/nst0.

265

Captulo 15. Backup

O amrestore pode tambm recuperar apenas parte do backup da mquina newton. Por exemplo, para recuperar apenas os dados de /dev/hda1:
# amrestore /dev/nst0 newton hda1

A sintaxe do amrestore :
amrestore DISPFITA [ MAQUINA [ DISP [ DATA ] ] ]

onde:

DISPFITA: dispositivo da unidade de ta; MAQUINA: expresso regular identicando a mquina cujos dados se quer recuperar. Este parmetro opcional; DISP: expresso regular identicando o sistema de arquivos da mquina especicada que se quer recuperar. Este parmetro opcional e s pode ser utilizado junto a um nome de mquina; DATA: til quando se tem mltiplos dumps na mesma ta. Identica qual o dump a ser recuperado. Este parmetro s pode ser utilizado em conjunto com um dispositivo a ser recuperado.

266

Captulo 15. Backup

Congurando os Clientes
Para congurar as mquinas clientes voc deve:
1. Acessar o diretrio de pacotes do CD 1 do Conectiva Linux:
# cd /mnt/cdrom/conectiva/RPMS

2. Instalar o pacote do cliente Amanda:


# rpm -ivh amanda-client amanda-client ##############################

3. Criar um usurio para o Amanda (deve ser o mesmo criado no servidor):


# useradd -G disk amanda

4. No diretrio home do usurio do Amanda crie um arquivo chamado .amandahosts com o seguinte formato:
MAQUINA.DOMINIO USUARIO

267

Captulo 15. Backup

MAQUINA.DOMINIO: o nome completo do servidor Amanda; USUARIO: o nome do usurio do Amanda no servidor.

Este arquivo cria uma relao de conana entre o cliente e o servidor, permitindo que o usurio do Amanda possa conectar-se mquina cliente sem senha.
5. Edite o arquivo /etc/inetd.conf e insira a seguinte linha:
amanda dgram udp wait amanda /usr/lib/amanda/amandad amandad

Note que a segunda ocorrncia de amanda pode mudar de nome caso voc tenha criado o usurio do Amanda com outro nome. Ou seja, se voc tiver criado o usurio como outronome, a linha seria:
amanda dgram udp wait outronome /usr/lib/amanda/amandad amandad

Referncias
Para mais informaes sobre os tpicos desde captulo, visite os links abaixo:

268

Captulo 15. Backup

Amanda (http://www.cs.umd.edu/projects/amanda/) - esta a pgina ocial do software de backup Amanda. Contm alguma documentao e links. FAQ do Amanda (http://www.ic.unicamp.br/~oliva/snapshots/amanda/FAQ) - perguntas mais freqentes sobre o Amanda. UNIX Backup & Recovery (http://www.backupcentral.com/thebook.html) - um livro online com um captulo dedicado ao Amanda.

269

Captulo 15. Backup

270

Apndice A. Licenas Gerais

Introduo
Praticamente todos os softwares contidos no CD-ROM do Conectiva Linux so de livre distribuio. Poucos requerem algum tipo de autorizao especial para utilizao, obtidos pela Conectiva S.A. (http://www.conectiva.com.br) e alguns softwares desenvolvidos pela prpria Conectiva so disponibilizados sob licena comercial de uso. A maioria dos softwares distribuda sob uma das trs licenas apresentadas neste captulo. Por favor verique em cada software quais so os seus componentes e quais os termos de sua distribuio. Todos os softwares no CD-ROM produzido pela so copyright da Conectiva S.A. (http://www.conectiva.com.br). A menos que exista manifestao expressa, os softwares contidos no CD so de livre distribuio sob a Licena Pblica GNU (GPL). Os termos Red Hat e rpmso marcas de propriedade da Red Hat Software, Inc. Os termos Conectiva e WebBatch so marcas de propriedade da Conectiva S.A. (http://www.conectiva.com.br).

271

Apndice A. Licenas Gerais

O BSD Copyright
Copyright 1991, 1992, 1993, 1994 The Regents of the University of California. Todos os direitos reservados. Redistribuio e uso nas formas de cdigo-fonte ou binrios, com ou sem modicao so permitidos dentro das seguintes condies:
1. A redistribuio do software deve conter todas as informaes sobre direitos autorais, esta lista de condies e o aviso abaixo; 2. A redistribuio de binrios ou executveis deve conter todas as informaes sobre direitos autorais, listas de condies e o aviso abaixo, na documentao e/ou em outros materiais constantes da distribuio; 3. Todos os comerciais e anncios mencionando funcionalidades deste software devem apresentar o seguinte texto: Este produto inclui software desenvolvido pela Universidade da Califrnia, Berkeley e seus contribuintes; 4. O nome da Universidade ou de seus contribuintes no pode ser utilizado para endossar ou promover produtos derivados deste software sem expressa autorizao por escrito.

ESTE SOFTWARE DISTRIBUDO POR SEUS MONITORES E CONTRIBUINTES NA FORMA EM QUE SE ENCONTRA, E QUALQUER GARANTIA EXPRESSA OU IMPLCITA, INCLUINDO, MAS NO LIMITADAS, S GARANTIAS COMERCIAIS E ATENDIMENTO DE DETERMINADOS PROPSITOS, NO SO RECONHECIDAS. EM NENHUMA

272

Apndice A. Licenas Gerais

HIPTESE OS MONITORES OU SEUS CONTRIBUINTES SERO RESPONSVEIS POR QUALQUER DANO DIRETO, INDIRETO, ACIDENTAL, ESPECIAL, INCLUINDO, MAS NO LIMITADO, SUBSTITUIO DE MERCADORIAS OU SERVIOS, IMPOSSIBILIDADE DE USO, PERDA DE DADOS, LUCROS CESSANTES OU INTERRUPO DE ATIVIDADES COMERCIAIS, CAUSADOS EM QUALQUER BASE PELO USO DESTE SOFTWARE.

X Copyright
Copyright 1987 X Consortium concedida e garantida a qualquer pessoa, livre de custos, a obteno de cpia deste software e dos arquivos de documentao associados (o Software), podendo lidar com o Software sem restries, incluindo os direitos de uso, cpia, modicao, unicao, publicao, distribuio, sublicenciamento e/ou venda de cpias do Software, e a permisso para as pessoas s quais o Software for fornecido, dentro das seguintes condies: As informaes de direitos autorais a seguir devem estar presentes em todas as cpias ou partes substanciais do Software: O SOFTWARE SER DISPONIBILIZADO NA FORMA EM QUE SE ENCONTRA, SEM GARANTIAS DE QUALQUER ESPCIE, EXPRESSAS OU MPLICITAS, INCLUDAS, MAS NO LIMITADAS, S GARANTIAS

273

Apndice A. Licenas Gerais

COMERCIAIS, O ATENDIMENTO A DETERMINADOS FINS E O ATENDIMENTO DE DETERMINADA FUNCIONALIDADE. DE FORMA ALGUMA O CONSRCIO X (X CONSORTIUM) SER RESPONSVEL POR QUALQUER RECLAMAO, DANO OU OUTRAS PERDAS, A MENOS QUE EXPRESSO EM CONTRATO, ACORDO OU OUTRAS FORMAS, NO QUE SE REFERE A UTILIZAO, COMERCIALIZAO, CONEXO OU OUTROS CONTATOS COM ESTE SOFTWARE. Exceto pelo contido nesse aviso, o nome do Consrcio X (X Consortium) no poder ser utilizado em qualquer comercial ou outra forma de promoo de vendas, uso ou outras negociaes deste Software, sem a expressa autorizao do X Consortium. Copyright 1987 Digital Equipment Corporation, Maynard, Massachusetts. Todos os direitos reservados. Permisso de uso, cpia, modicao e distribuio deste software e sua documentao com qualquer objetivo e sem nus garantida, desde que o copyright abaixo aparea em todas as cpias e que tanto o copyright, como este aviso e o nome da Digital apaream, no podendo ser usados em anncios, publicidade referentes distribuio do software sem autorizao expressa por escrito. A DIGITAL NO FORNECE QUALQUER TIPO DE GARANTIA NO USO DESTE SOFTWARE, INCLUINDO TODAS AS COMERCIAIS E DE ATENDIMENTO A DETERMINADOS PROPSITOS, E EM HIPTESE ALGUMA A DIGITAL SER RESPONSVEL POR QUALQUER RECLAMAO, DANO OU OUTRAS PERDAS, A MENOS QUE EXPRESSO EM CONTRATO, ACORDO OU OUTRAS FORMAS, NA UTILIZAO, COMERCIALIZAO, CONEXO OU OUTROS CONTATOS COM ESTE SOFT-

274

Apndice A. Licenas Gerais

WARE.

275

Apndice A. Licenas Gerais

276

Apndice B. Licena de Uso e Garantia de Produto


Por favor leia este documento cuidadosamente antes de instalar o Conectiva Linux, ou qualquer um de seus pacotes, ou qualquer programa includo com este produto em seu computador. Este documento contm informaes importantes sobre seus direitos legais. Ns fortemente lhe encorajamos a considerar os pontos apresentados aqui, e a entender e aceitar os termos e condies pelos quais este programa est licenciado a voc. Instalando qualquer programa includo com este produto, voc aceita os termos e condies a seguir.

Geral
O Sistema Operacional Conectiva Linux tem seu direito autoral baseado na Licena Pblica Geral GNU (GPL). Ns acreditamos que a GPL disponibiliza os melhores mecanismos para todos os benefcios e liberdades disponibilizados pelos programas de livre distribuio. Uma cpia da GPL pode ser encontrada no manual de instalao do Conectiva Linux, em http://www.conectiva.com.br e em diversos sites na Internet. O Conectiva Linux um sistema operacional modular feito de centenas de outros programas componentes, cada um destes escrito por pessoas diferentes e com seu prprio direito autoral. Neste documento eles so

277

Apndice B. Licena de Uso e Garantia de Produto

referenciados, individualmente e coletivamente, como Programas. Vrios Programas tm seu direito autoral baseados na GPL e outras licenas que permitem a cpia, modicao e redistribuio. Por favor, verique a documentao online que acompanha cada um dos Programas inclusos no Conectiva Linux para vericar sua licena especca. Ns sugerimos ler estas licenas cuidadosamente para entender seus direitos e utilizar melhor os benefcios disponibilizados pelo Conectiva Linux.

Licena Restrita de Produtos


Adicionalmente aos Programas de livre distribuio, a Conectiva pode incluir neste produto diversos Programas que no esto sujeitos a GPL ou outras licenas que permitem modicao e redistribuio. Alguns destes programas esto citados abaixo:

AcuCobol-4.3 Aker Arkeia BR

278

Apndice B. Licena de Uso e Garantia de Produto

Bru Dataex FlagShip JRE MZS Oracle8i perfwcol SpoolView VMware webintegrator

Geralmente, cada um destes componentes licenciado a voc unicamente em sua forma binria de maneira restrita, ou seja, voc poder instalar estes componentes em um nico computador para seu uso individual. A cpia, redistribuio, engenharia reversa e/ou modicao destes componentes proibida. Qualquer violao dos termos das licenas, imediatamente cancela sua licena. Para saber os termos precisos das licenas destes componentes, por favor, verique a documentao on-line que acompanha cada um destes componentes. Se voc no concorda em aceitar os termos da licena destes componentes, ento no os in-

279

Apndice B. Licena de Uso e Garantia de Produto

stale em seu computador. Se voc gostaria de instalar estes componentes em mais que um computador, por favor, contate o distribuidor dos programas para adquirir licenas adicionais.

Antes da Instalao
LEIA ATENTAMENTE OS TERMOS E CONDIES A SEGUIR ANTES DE INSTALAR O CONECTIVA LINUX OU QUALQUER UM DOS PROGRAMAS INCLUDOS COM ELE. INSTALAR QUALQUER UM DESTES PROGRAMAS INDICA SUA ACEITAO AOS TERMOS E CONDIES A SEGUIR. SE VOC NO CONCORDA COM ESTES TERMOS E CONDIES NO INSTALE ESTES PROGRAMAS. OS PROGRAMAS, INCLUINDO OS CDIGOS-FONTE, DOCUMENTAO, APARNCIA, ESTRUTURA E ORGANIZAO, SO PRODUTOS PROPRIETRIOS DA CONECTIVA S.A.; INC; ORACLE, SUN E OUTROS E SO PROTEGIDOS PELO DIREITO AUTORAL E OUTRAS LEIS. ESTES PROGRAMAS E QUALQUER CPIA, MODIFICAO OU PARTE ORIGINADA DESTES PROGRAMAS, DEVEM A QUALQUER TEMPO PERMANECER COM OS ACIMA MENCIONADOS, SUBMETIDOS AOS TERMOS E CONDIES DA GPL OU OUTRA LICENA RELACIONADA COM OS PROGRAMAS EM CONSIDERAO.

280

Apndice B. Licena de Uso e Garantia de Produto

Garantia Limitada
EXCETO SE ESPECIFICAMENTE DITO NESTE ACORDO, OS PROGRAMAS SO DISPONIBILIZADOS E LICENCIADOS COMO ESTO, SEM GARANTIA DE QUALQUER TIPO SEJA ELA EXPRESSA OU IMPLCITA, INCLUINDO, MAS NO LIMITADA, PARA AS GARANTIAS DE COMERCIALIZAO E CONVENINCIA PARA UM PROPSITO PARTICULAR. A Conectiva S.A. (http://www.conectiva.com.br) garante que a mdia na qual os Programas esto gravados livre de defeitos de fabricao e manufatura sob uso normal durante um perodo de 30 dias da data da compra. A Conectiva S.A. (http://www.conectiva.com.br)& no garante que as funes contidas nos Programas sero compatveis com os requisitos que voc espera delas ou que a operao dos Programas ser inteiramente livre de erros ou aparecero precisamente como descritos na documentao que acompanha o produto.

Limitao de Reparao e Responsabilidade


Pelo mximo permitido pelas leis aplicveis, as reparaes descritas a seguir so aceitas por voc como nicas, e devem ser disponveis somente se voc registrou este produto com a Conectiva S.A., de acordo com as instrues disponibilizadas

281

Apndice B. Licena de Uso e Garantia de Produto

com este produto, at dez dias depois de ter recebido o mesmo. A inteira responsabilidade da Conectiva S.A. (http://www.conectiva.com.br), e sua reparao exclusiva, devem ser: se a mdia que disponibiliza os Programas estiver com defeito, voc pode retorn-la dentro de 30 dias da data da compra, juntamente com uma cpia da nota scal e a Conectiva S.A. (http://www.conectiva.com.br), a seu critrio, ir troc-la ou proceder a devoluo do dinheiro. PELO MXIMO PERMITIDO PELAS LEIS APLICVEIS, EM NENHUM EVENTO OU MOMENTO A CONECTIVA S.A. SER RESPONSVEL POR QUALQUER DANO, INCLUINDO LUCROS CESSANTES, PERDAS ECONMICAS OU OUTROS DANOS ACIDENTAIS OU DANOS CONSEQENTES, PELO USO OU INAPTIDO PARA O USO DOS PROGRAMAS, MESMO QUE A CONECTIVA S.A. OU QUALQUER DISTRIBUIDOR AUTORIZADO NO TENHA ADVERTIDO ESTES TIPOS DE PROBLEMAS.

Bug do Ano 2000


O Conectiva Linux tem sido testado desde seu incio para trabalhar sem problemas no Ano 2000 bem como depois dele. A certicao para o bug do Ano 2000 refere-se mais sobre testes, boas prticas e a educao do usurio do que a garantia do produto. Ns continuaremos a disponibilizar informaes detalhadas aos clientes sobre a compatibilidade com o Ano 2000, mas garantias contratuais especcas para o problema do Ano 2000 no so apropriadas dada a natureza do bug do Ano 2000 e pelo simples fato que uma nica tecnologia, mesmo uma bem preparada para o Ano 2000 como o Conectiva Linux, no pode resolver todos os itens relacionados transio para o Ano 2000. A informao

282

Apndice B. Licena de Uso e Garantia de Produto

que disponibilizamos sobre a compatibilidade com o Ano 2000 no constitui uma extenso qualquer garantia para os produtos da Conectiva. A Conectiva S.A. (http://www.conectiva.com.br) disponibiliza esta informao para assistir voc na avaliao e correo de potenciais conseqncias do uso de datas para o prximo sculo.

Geral
Se qualquer clusula deste Acordo for considerada invlida, as outras clusulas no devero ser afetadas pela mesma. Este Acordo deve ser legislado pelas leis Brasileiras. Direitos autorais2000 Conectiva S.A. (http://www.conectiva.com.br). Todos os direitos reservados. Conectiva e Conectiva Linux so marcas registradas da Conectiva S.A. (http://www.conectiva.com.br). Linux uma marca registrada de Linus Torvalds em diversos pases.

283

Apndice B. Licena de Uso e Garantia de Produto

284

Apndice C. Licena Pblica Geral GNU


GNU GENERAL PUBLIC LICENSE Version 2, June 1991 This is an unofcial translation of the GNU General Public License into Portuguese. It was not published by the Free Software Foundation, and does not legally state the distribution terms for software that uses the GNU GPL only the original English text of the GNU GPL does that. However, we hope that this translation will help Portuguese speakers understand the GNU GPL better. Copyright (C) 1989, 1991 Free Software Foundation, Inc. 675 Mass Ave, Cambridge, MA 02139, USA permitido a qualquer pessoa copiar e distribuir cpias desse documento de licena, sem a implementao de qualquer mudana.

Introduo
As licenas de muitos softwares so desenvolvidas para cercear a liberdade de uso, compartilhamento e mudanas. A GNU Licena Pblica Geral, ao contrrio,

285

Apndice C. Licena Pblica Geral GNU

pretende garantir a liberdade de compartilhar e alterar softwares de livre distribuio - tornando-os de livre distribuio tambm para quaisquer usurios. A Licena Pblica Geral aplica-se maioria dos softwares da Free Software Foundation e a qualquer autor que esteja de acordo com suas normas em utiliz-la (alguns softwares da FSF so cobertos pela GNU Library General Public License). Quando nos referimos a softwares de livre distribuio, referimo-nos liberdade e no ao preo. Nossa Licena Pblica Geral foi criada para garantir a liberdade de distribuio de cpias de softwares de livre distribuio (e cobrar por isso caso seja do interesse do distribuidor), o qual recebeu os cdigos-fonte, que pode ser alterado ou utilizado em parte em novos programas. Para assegurar os direitos dos desenvolvedores, algumas restries so feitas, proibindo a todas as pessoas a negao desses direitos ou a solicitao de sua abdicao. Essas restries aplicam-se ainda a certas responsabilidades sobre a distribuio ou modicao do software. Por exemplo, ao se distribuir cpias de determinado programa, por uma taxa determinada ou gratuitamente, deve-se informar sobre todos os direitos incidentes sobre aquele programa, assegurando-se que os fontes estejam disponveis assim como a Licena Pblica Geral GNU. A proteo dos direitos envolve dois passos: (1) copyright do software e (2) licena que d permisso legal para cpia, distribuio e/ou modicao do software. Ainda para a proteo da FSF e do autor, importante que todos entendam que no h garantias para softwares de livre distribuio. Caso o software seja modicado por algum e passado adiante, este software no mais reetir o trabalho original do autor no podendo portanto ser garantido por aquele.

286

Apndice C. Licena Pblica Geral GNU

Finalmente, qualquer programa de livre distribuio constantemente ameaado pelas patentes de softwares. Buscamos evitar o perigo de que distribuidores destes programas obtenham patentes individuais, tornado-se seus donos efetivos. Para evitar isso foram feitas declaraes expressas de que qualquer solicitao de patente deve ser feita permitindo o uso por qualquer indivduo, sem a necessidade de licena de uso. Os termos e condies precisas para cpia, distribuio e modicao seguem abaixo.

Termos e Condies para Cpia, Distribuio e Modicao

1. Esta licena se aplica a qualquer programa ou outro trabalho que contenha um aviso colocado pelo detentor dos direitos autorais dizendo que aquele poder ser distribudo nas condies da Licena Pblica Geral. O Programa refere-se a qualquer software ou trabalho e a um trabalho baseado em um Programa e signica tanto o Programa em si como quaisquer trabalhos derivados de acordo com a lei de direitos autorais, o que signica dizer, um trabalho que contenha o Programa ou uma parte deste, na sua forma original ou com modicaes ou traduzido para uma outra lngua (traduo est includa sem limitaes no termo modicao).

287

Apndice C. Licena Pblica Geral GNU

Atividades distintas de cpia, distribuio e modicao no esto cobertas por esta Licena, estando fora de seu escopo. O ato de executar o Programa no est restringido e a sada do Programa coberta somente caso seu contedo contenha trabalhos baseados no Programa (independentemente de terem sidos gerados pela execuo do Programa). Se isso verdadeiro depende das funes executadas pelo Programa.
2. O cdigo-fonte do Programa, da forma como foi recebido, pode ser copiado e distribudo, em qualquer media, desde que seja providenciado um aviso adequado sobre os copyrights e a negao de garantias, e todos os avisos que se referem Licena Pblica Geral e ausncia de garantias estejam inalterados e que qualquer produto oriundo do Programa esteja acompanhado desta Licena Pblica Geral.

permitida a cobrana de taxas pelo ato fsico de transferncia ou gravao de cpias, e podem ser dadas garantias e suporte em troca da cobrana de valores.
3. Pode-se modicar a cpia ou cpias do Programa de qualquer forma que se deseje, ou ainda criar-se um trabalho baseado no Programa, copi-lo e distribuir tais modicaes sob os termos da seo 1 acima e do seguinte:

[a.] Deve existir aviso em destaque de que os dados originais foram alterados nos arquivos e as datas das mudanas; [b.] Deve existir aviso de que o trabalho distribudo ou publicado , de forma total ou em parte derivado do Programa ou de alguma parte sua, e que pode ser licenciado totalmente sem custos para terceiros sob os termos desta Licena. [c.] Caso o programa modicado seja executado de forma interativa, obri-

288

Apndice C. Licena Pblica Geral GNU

gatrio, no incio de sua execuo, apresentar a informao de copyright e da ausncia de garantias (ou de que a garantia corre por conta de terceiros), e que os usurios podem redistribuir o programa sob estas condies, indicando ao usurio como acessar esta Licena na sua ntegra. Esses requisitos aplicam-se a trabalhos de modicao em geral. Caso algumas sees identicveis no sejam derivadas do Programa, e podem ser consideradas como partes independentes, ento esta Licena e seus Termos no se aplicam quelas sees quando distribudas separadamente. Porm ao distribuir aquelas sees como parte de um trabalho baseado no Programa, a distribuio como um todo deve conter os termos desta Licena, cujas permisses estendem-se ao trabalho como um todo, e no a cada uma das partes independentemente de quem os tenha desenvolvido. Mais do que tencionar contestar os direitos sobre o trabalho desenvolvido por algum, esta seo objetiva propiciar a correta distribuio de trabalhos derivados do Programa. Adicionalmente, a mera adio de outro trabalho ao Programa, porm no baseado nele nem a um trabalho baseado nele, a um volume de armazenamento ou media de distribuio no obriga a utilizao desta Licena e de seus termos ao trabalho. So permitidas a cpia e a distribuio do Programa (ou a um trabalho baseado neste) na forma de cdigo-objeto ou executvel de acordo com os termos das Sees 1 e 2 acima, desde que atendido o seguinte: [a.] Esteja acompanhado dos cdigos-fonte legveis, os quais devem ser distribudos na forma da Sees 1 e 2 acima, em mdia normalmente utilizada para manuseio de softwares ou;

289

Apndice C. Licena Pblica Geral GNU

[b.] Esteja acompanhado de oferta escrita, vlida por, no mnimo 3 anos, de disponibilizar a terceiros, por um custo no superior ao custo do meio fsico de armazenamento, uma cpia completa dos cdigos-fonte em meio magntico, de acordo com as Sees 1 e 2 acima; [c.] Esteja acompanhado da mesma informao recebida em relao oferta da distribuio do cdigo-fonte correspondente (esta alternativa somente permitida para distribuies no comerciais e somente se o programa recebido na forma de objeto ou executvel tenha tal oferta, de acordo com a subseo 2 acima). O cdigo-fonte de um trabalho a melhor forma de produzirem-se alteraes naquele trabalho. Cdigos fontes completos signicam todos os fontes de todos os mdulos, alm das denies de interfaces associadas, arquivos, scripts utilizados na compilao e instalao do executvel. Como uma exceo excepcional, o cdigo-fonte distribudo poder no incluir alguns componentes que no se encontrem em seu escopo, tais como compilador, cerne, etc. para o sistema operacional onde o trabalho seja executado. Caso a distribuio do executvel ou objeto seja feita atravs de acesso a um determinado ponto, ento oferta equivalente de acesso deve ser feita aos cdigosfonte, mesmo que terceiros no sejam obrigados a copiarem os fontes juntos com os objetos simultaneamente.
1. No permitida a cpia, modicao, sub-licenciamento ou distribuio do Programa, exceto sob as condies expressas nesta Licena. Qualquer tentativa de cpia, modicao, sublicenciamento ou distribuio do Programa proibida, e os direitos descritos nesta Licena cessaro imediatamente. Terceiros que tenham recebido cpias ou direitos na forma desta Licena no tero seus direitos cessados desde que permaneam dentro das clusulas desta Licena.

290

Apndice C. Licena Pblica Geral GNU

2. No necessria aceitao formal desta Licena, apesar de que no haver documento ou contrato que garanta permisso de modicao ou distribuio do Programa ou seus trabalhos derivados. Essas aes so proibidas por lei, caso no se aceitem as condies desta Licena. A modicao ou distribuio do Programa ou qualquer trabalho baseado neste implica na aceitao desta Licena e de todos os termos desta para cpia, distribuio ou modicao do Programa ou trabalhos baseados neste. 3. Cada vez que o Programa seja distribudo (ou qualquer trabalho baseado neste), o recipiente automaticamente recebe uma licena do detentor original dos direitos de cpia, distribuio ou modicao do Programa objeto destes termos e condies. No podem ser impostas outras restries nos recipientes. 4. No caso de decises judiciais ou alegaes de uso indevido de patentes ou direitos autorais, restries sejam impostas que contradigam esta Licena, estes no isentam da sua aplicao. Caso no seja possvel distribuir o Programa de forma a garantir simultaneamente as obrigaes desta Licena e outras que sejam necessrias, ento o Programa no poder ser distribudo.

Caso esta Seo seja considerada invlida por qualquer motivo particular ou geral, o seu resultado implicar na invalidao geral desta licena na cpia, modicao, sublicenciamento ou distribuio do Programa ou trabalhos baseados neste. O propsito desta seo no , de forma alguma, incitar quem quer que seja a infringir direitos reclamados em questes vlidas e procedentes, e sim proteger as premissas do sistema de livre distribuio de software. Muitas pessoas tm feito contribuies generosas ao sistema, na forma de programas, e ne-

291

Apndice C. Licena Pblica Geral GNU

cessrio garantir a consistncia e credibilidade do sistema, cabendo a estes e no a terceiros decidirem a forma de distribuio dos softwares. Esta seo pretende tornar claro os motivos que geraram as demais clusulas desta Licena.
5. Caso a distribuio do Programa dentro dos termos desta Licena tenha restries em algum Pas, quer por patentes ou direitos autorais, o detentor original dos direitos autorais do Programa sob esta Licena pode adicionar explicitamente limitaes geogrcas de distribuio, excluindo aqueles Pases, fazendo com que a distribuio somente seja possvel nos Pases no excludos. 6. A Fundao de Software de Livre Distribuio (FSF - Free Software Foundation) pode publicar verses revisadas ou novas verses desta Licena Pblica Geral de tempos em tempos. Estas novas verses mantero os mesmos objetivos e o esprito da presente verso, podendo variar em detalhes referentes a novas situaes encontradas.

A cada verso dado um nmero distinto. Caso o Programa especique um nmero de verso especco desta Licena a qual tenha em seu contedo a expresso ou verso mais atualizada, possvel optar pelas condies daquela verso ou de qualquer verso mais atualizada publicada pela FSF.
7. Caso se deseje incorporar parte do Programa em outros programas de livre distribuio de softwares necessria autorizao formal do autor. Para softwares que a FSF detenha os direitos autorais, podem ser abertas excees desde que mantido o esprito e objetivos originais desta Licena. 8. UMA VEZ QUE O PROGRAMA LICENCIADO SEM NUS, NO H QUAL-

292

Apndice C. Licena Pblica Geral GNU

QUER GARANTIA PARA O PROGRAMA. EXCETO QUANDO TERCEIROS EXPRESSEM-SE FORMALMENTE, O PROGRAMA DISPONIBILIZADO EM SEU FORMATO ORIGINAL, SEM GARANTIAS DE QUALQUER NATUREZA, EXPRESSAS OU IMPLCITAS, INCLUINDO MAS NO LIMITADAS, S GARANTIAS COMERCIAIS E DO ATENDIMENTO DE DETERMINADO FIM. A QUALIDADE E A PERFORMANCE SO DE RISCO EXCLUSIVO DOS USURIOS, CORRENDO POR SUA CONTA OS CUSTOS NECESSRIOS A EVENTUAIS ALTERAES, CORREES E REPAROS JULGADOS NECESSRIOS. 9. EM NENHUMA OCASIO, A MENOS QUE REQUERIDO POR DECISO JUDICIAL OU POR LIVRE VONTADE, O AUTOR OU TERCEIROS QUE TENHAM MODIFICADO O PROGRAMA, SERO RESPONSVEIS POR DANOS OU PREJUZOS PROVENIENTES DO USO OU DA FALTA DE HABILIDADE NA SUA UTILIZAO (INCLUINDO MAS NO LIMITADA A PERDA DE DADOS OU DADOS ERRNEOS), MESMO QUE NO TENHA SIDO EMITIDO AVISO DE POSSVEIS ERROS OU DANOS.

FIM DA LICENA

Como Aplicar Estes Termos a Novos Programas?

293

Apndice C. Licena Pblica Geral GNU

Caso voc tenha desenvolvido um novo programa e deseja a sua ampla distribuio para o pblico, a melhor forma de consegu-lo torn-lo um software de livre distribuio, onde qualquer um possa distribu-lo nas condies desta Licena. Para tanto basta anexar este aviso ao programa. aconselhvel indicar ainda no incio de cada arquivo fonte a ausncia de garantias e um apontamento para um arquivo contendo o texto geral desta Licena, como por exemplo:
(uma linha para dar o nome do programa e uma breve idia do que ele faz.) Copyright 19yy nome do autor

Este programa um software de livre distribuio, que pode ser copiado e distribudo sob os termos da Licena Pblica Geral GNU, conforme publicada pela Free Software Foundation, verso 2 da licena ou (a critrio do autor) qualquer verso posterior.

Este programa distribudo na expectativa de ser til aos seus usurios, porm NO TEM NENHUMA GARANTIA, EXPLCITAS OU IMPLCITAS, COMERCIAIS OU DE ATENDIMENTO A UMA DETERMINADA FINALIDADE. Consulte a Licena Pblica Geral GNU

294

Apndice C. Licena Pblica Geral GNU

para mais detalhes.

Deve haver uma cpia da Licena Pblica Geral GNU junto com este software em ingls ou portugus. Caso no haja escreva para Free Software Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.

Inclua tambm informaes de como contatar voc atravs de correio eletrnico ou endereo comercial/residencial. Caso o programa seja interativo, apresente no incio do programa um breve aviso. Por exemplo:
Gnomovision verso 69, Copyright nome do autor Gnomovision

NO POSSUI NENHUMA GARANTIA; para detalhes digite mostre garantia. Este um software de livre distribuio e voc est autorizado a distribu-lo dentro de certas condies. Digite mostre condio para mais detalhes.

Os comandos hipotticos mostre garantia e mostre condio apresentaro as partes apropriadas da Licena Pblica Geral GNU. Evidentemente os comandos podem variar ou serem acionados por outras interfaces como clique de mouse, etc.. Esta Licena Pblica Geral no permite a incorporao de seu programa em programas proprietrios. Se o seu programa uma subrotina de biblioteca, voc pode

295

Apndice C. Licena Pblica Geral GNU

achar mais interessante permitir a ligao de aplicaes proprietrias com sua biblioteca. Se isso que voc deseja fazer, use a Licena Pblica Geral GNU para Bibliotecas no lugar desta Licena.

296

ndice Remissivo

inicializando as tas, 262 instalando, 249 lista de discos, 261 pr-requisitos, 248 recuperao de dados, 265 referncias, 268

A
Amanda

tipos de dump, 257 tipos de ta, 257 utilizando o cron, 263


Apache, 45

arquivo /etc/inetd.conf, 268 arquivo amanda.conf, 252 comando amcheck, 264 comando amush, 256, 264 comando amrestore, 265 congurando, 250 congurando mquinas clientes, 267 editando o crontab, 263 espao em disco rgido, 256

arquivo httpd.conf, 62 congurando, 47, 62 congurando DNS, 65 diretrio dos domnios, 65 documentao, 62 inicializando, 50 instalando, 46 mdulo php3, 53

297

pr-requisitos, 46 reinicializando, 54, 64 testando conguraes, 65 teste de congurao, 55


apelidos de email, 114

arquivo ipsec.secrets, 240 arquivo login.cong, 170 autenticao, 238

adicionando, 120 arquivo de listagem, 121 congurando, 118 editando, 120 programa de ltros, ??
aplicativos

B
backup, 247 BIND, 27

congurao, 29 instalao, 28
boot remoto

Amanda, 248 Apache, 45 Dump e Restore, 248 GNU Tar, 248


arquivo /etc/inetd.conf, 268 arquivo httpd.conf, 62 arquivo inittab, 169

broadcast, 215 congurando as estaes, 219 congurando o servidor, 212 criando disquetes, 217 DNS, 215 domnio NIS, 215

298

faixa de IPs, 215 gerenciamento de pacotes, 220 instalando, 222 removendo, 226 instalao, 211 mdulo do linuxconf, 212 pacotes rpm, 216 pr-requisitos, 210 referncias, 227 soluo, 209 uma rede com, 209 utilitrio setup, 219

pr-requisitos, 189
correio eletrnico, 115

congurando pelo linuxconf, 118


criptograa, 233 cron, 263

D
DNS, 27

adicionando domnios virtuais, 42 adio de mquinas, 37, 37 cadastrando estaes, 32 congurando

C
CIPE, 231 compartilhamento de recursos, 189

mapa de IPs reversos, 40 congurando com linuxconf, 29 congurando o domnio, 31 congurao, 29

299

especicando nome de mquina, 34 incluso de domnios, 34

F
frees/wan

instalao, 28 opo edio rpida de mquinas, 38 selecionando um domnio, 33


domnios virtuais, 60

arquivo ipsec.conf, 235 arquivo ipsec.secrets, 240 autenticao, 238 congurando, 235 congurando gateway, 239 instalando, 234

E
email

keywords, 238 pr-requisitos, 233

congurando mltiplas contas, 118 criando mltiplas contas, 115 pr-requisitos, 116
exportando sistema de arquivos, 194 gateway, 239 GPL, 285

300

I
IMAP, 92 IP masquerading

habilitando a autenticao, 244 RSA, 231 testes ps-instalao, 245 apresentao, 154 arquivo ipchains, 156 ativando DNS, 165 congurando, 156 congurando estaes, 161 congurando pelo linuxconf, 161 estaes Windows, 163 inicializando automaticamente, 160 instalando, 155 pr-requisitos, 155 roteamento, 162

L
licena

GPL, 285
listas de discusso

(Ver mailman)
LPD

adicionando volumes, 199 congurando impressoras, 202 instalando, 192 opes de ltro, 204 selecionando um driver, 205

IPSec

criptograa, 233 ferramentas, 231 gerando chaves RSA, 242

301

M
mailman

inicializando, 191 instalando, 190 montando um diretrio remoto, 196

apresentao, 123 comandos, 132 congurao, 125 criando uma lista, 129 instalao, 124 pr-requisitos, 123
mapas de IPs reversos, 40

P
php3, 53 pop, 86 Portslave, 174

adicionando, 40

arquivo pslave.conf, 183 congurando, 183 instalando, 182

N
NFS

opes, 185 servidor de autenticao e contabilidade, 184 teste de congurao, 187


PPP

acessando volumes, 197 adicionando volumes, 198 congurando, 193

arquivo inittab, 169

302

arquivo login.cong, 170 congurando, 169 congurando endereos IP, 171 instalando, 168 placa serial, 170 pr-requisitos, 167
protocolo de autenticao, 175 proxy, 136 pslave.conf, 183

congurando, 177 inicializando o servidor, 181 instalando, 176 pr-requisitos, 176 teste de instalao, 181 tipo de servidor de acesso, 179
recuperao de dados, 265 relay, 80 roteadores, 155 RSA

vantagens, 241

R
Radius, 174

arquivo clients, 177 arquivo naslist, 178 arquivo users, 179 autenticao de usurios, 179

S
segurana

servios de alto nvel, 231 servios de baixo nvel, 232

303

segurana de conexes, 230 sendmail

servidor PPP, 167 servidor proxy

apresentao, 67 congurando, 118 congurando pelo Linuxconf, 69 congurando relay, 80 controle de envio de mensagens, 73 domnio virtual, 75 domnios autorizados, 80 ltros de spam, 78 inicializando, 122 instalando, 68, 117 intervalo de envio de mensagens, 73 pr-requisitos, 67 remetentes bloqueados, 79 tamanho da caixa postal, 76 tamanho mximo das mensagens, 76
servidor de nomes, 61

cache, 137 squid, 137


servidor web, 45, 61

congurando, 47 instalando, 46, 62 pr-requisitos, 46, 61


squid

acls, 145 adicionando usurios, 142 arquivo /etc/squid/squid.conf, 139 opes, 139, 144 arquivo de registro, 141 autenticador, 142 congurando, 139 congurando a estao, 148 congurando o proxy pelo Netscape,

304

150 congurando pelo StarOfce, 151 criando listas de acesso, 146 diretiva httpd_access, 146 diretrio de cache, 140 FTP, 150 HTTP, 150 HTTPS, 150 inicializando, 152 instalando, 138 memria da cache, 140 Netscape, 149 opes de segurana, 144 porta para requisies, 139 pr-requisitos, 137 relay de SMTP, 147 restrio de acesso, 141 restrio de acessos, 148

tamanho mximo de arquivos na cache, 140 valores para limite da cache, 140
STunnel, 231

V
VTun, 231

W
webmail, 83

acessando a pgina de webmail, 111 arquivo inetd.conf, 86 cabealhos de email, 107 checagem de mensagens, 104 congurando, 85

305

congurando IMP, 89 cookies, 97 IMP, 83 instalando, 84 linguagem PHP3, 87 POP, 86

programas binrios, 99 pr-requisitos, 83 selecionando o idioma, 91 servidor IMAP, 92 suporte a banco de dados, 109