Escolar Documentos
Profissional Documentos
Cultura Documentos
1º LINUX PARK 2007 p.22 VIRTUALIZAÇÃO MUDARÁ TI p.20 CEZAR TAURION p.30
O mercado brasileiro Gartner prevê crescentes Código Aberto na
de Linux e SL mudanças no futuro idade da razão
#31 06/07
Linux Magazine
Junho 2007
R$ 13,90
Assinante
€ 7,50
00031 de
ven d a p ro i b i d a
exemplar
PENSE
9 771806 942009
PARALELO
# 31
# 31
A REVISTA DO PROFISSIONAL DE TI
MONITORAMENTO DE REDES
MONITORAMENTO
Agora oferecem a melhor alternativa para criar aplicações multi-thread nos
ambientes Windows*, Linux* ou Mac OS* X. Somente os compiladores Professional
Edition da Intel oferecem recursos de otimização avançado de código e potenciali-
dades multi-threading que incluem vetorização, auto-paralelização, OpenMP*,
DE REDES
prefetching de dados, desmembramento de loops e bibliotecas altamente
otimizadas de rotinas multi-threading prontas, processamento matemático
NAGIOS
p.31
e de multimídia.
CONHEÇA EM PROFUNDIDADE O NAGIOS, A MAIS IMPORTANTE
O Compilador Intel 10.0 Professional Edition possui bibliotecas de software
GROUNDWORK
FERRAMENTA DE CÓDIGO ABERTO PARA MONITORAMENTO
que permitem a você programar no ambiente paralelo como um especialista “Dentro de uma déca-
desde o primeiro dia. Estas bibliotecas são constantemente atualizadas para uso da, um programador
» Instale e configure o Nagios e seus plugins p.32
automáticos de funcionalidades dos novos processadores. que não pensar » Interface profissional com o GroundWork p.40
“paralelo”, não será
LOOKING GLASS
O compilador e bibliotecas são pré-validados para trabalharem juntos: » Plugins personalizados usando Perl p.74
• Compiladores Intel® C++ e Fortran automaticamente paralelizam e otimizam seu código um programador.”
para melhor desempenho, para tirar máximo proveito dos processadores multi-core,
com o mínimo esforço. James Reinders
• Bibliotecas Matemáticas Intel® MKL 9.1 oferecem funções matemáticas para o ambien Evangelista Chefe de Software ACORDO NOVELL-MS p.26
LPI
te multi-thread com o melhor desempenho nas plataformas multi-core. da Intel Software Products CEO da Novell explica o significado da
• Intel® Integrated Performance Primitives 5.2 (somente para C++) são funções paralelas
parceria em entrevista exclusiva
EXT4
altamente otimizadas que aceleram o desenvolvimento de aplicações multimídia, de
criptografia e de processamento de sinais. VIRTUALBOX
VIRTUALBOX p.60
Competência e velocidade no
• Intel® Threading Building Blocks 1.1 (somente para C++) consiste de rotinas otimizadas
rival aberto do VMware
e testadas para simplificar o desenvolvimento de aplicações escaláveis e robustas com
a utilização de recursos multi-thread.
WWW.LINUXMAGAZINE.COM.BR
Enquanto durou
Expediente editorial
Diretor Geral
Rafael Peregrino da Silva
peregrino@linuxmagazine.com.br
Editor-chefe
Tadeu Carmona
EDITORIAL
tcarmona@linuxmagazine.com.br
Editor
Pablo Hess
phess@linuxmagazine.com.br Prezados leitores da Linux Magazine,
Revisão Mahatma Gandhi versou sobre os resultados de seu pro-
Arali Lobo Gomes
agomes@linuxmagazine.com.br testo pacífico contra a tirania britânica: “Primeiro eles o ig-
Assistente de Arte noram. Depois riem de você. Depois o combatem. E então
Renan Herrera
rherrera@linuxmagazine.com.br você vence”. Embora essas palavras possuam um significado
Centros de Competência bem definido no espaço – a Índia – e no tempo - a primeira
Centro de Competência em Software:
Oliver Frommel: ofrommel@linuxnewmedia.de metade do século XX –, elas já foram muito usadas por várias
Kristian Kißling: kkissling@linuxnewmedia.de
Peter Kreussel: pkreussel@linuxnewmedia.de pessoas que se sentiram de alguma forma oprimidas.
Marcel Hilzinger: hilzinger@linuxnewmedia.de
Andrea Müller: amueller@linuxnewmedia.de
Uma das comunidades que mais abraçou tais pensamentos como
algo profético é a do Software Livre e de Código Aberto (SL/CA),
Centro de Competência em Redes e Segurança:
Achim Leitner: aleitner@linuxnewmedia.de como se pode ver no inspiradíssimo vídeo “Truth happens” criado
Jens-Christoph B.: jbrendel@linuxnewmedia.de
Hans-Georg Eßer: hgesser@linuxnewmedia.de pela Red Hat. O opressor referido, nesse caso, era a Microsoft, com
Thomas L.: tleichtenstern@linuxnewmedia.de
Max Werner: mwerner@linuxnewmedia.de suas práticas monopolistas já publicamente punidas.
Correspondentes & Colaboradores
Durante alguns meses, certamente muitos integrantes da comu-
Augusto Campos, Cezar Taurion, Charly nidade do SL/CA acreditaram que a “profecia” não se realizaria,
Kühnast, Emanuel dos Reis Rodrigues, Fa-
brizio Ciacchi, James Mohr, Joe Casad, Julian pois a Microsoft teria parado de combater o Linux. Através do
Hein, Klaus Knopper, Luciano Siqueira, Mar-
cel Hilzinger, Martin Steigerwald, Michael acordo com a Novell, especulava-se que a empresa de Bill Gates
Schilli, Thomas Leichtenstern, Zack Brown
estaria disposta, finalmente, a colaborar com o SL/CA. Como se
Anúncios:
Rafael Peregrino da Silva (Brasil) costuma dizer, essa crença foi boa enquanto durou.
anuncios@linuxmagazine.com.br
Tel.: +55 (0)11 2161 5400 Na entrevista concedida por Ron Hovsepian a Rafael Pere-
Fax: +55 (0)11 2161 5410 grino, publicada à página 26 desta edição, o CEO e Presidente
Osmund Schmidt (Alemanha, Áustria e Suíça)
anzeigen@linux-magazine.com da Novell afirma que sua empresa e a Microsoft concordam que
Brian Osborn (Outros países) processar usuários não faz bem à imagem da autora da ação.
ads@linux-magazine.com
Assinaturas:
Redmond mostrou que essa colocação só se aplica quando há
www.linuxnewmedia.com.br um acordo para tornar obrigatório esse comportamento.
assinaturas@linuxmagazine.com.br
Na Internet:
Até mesmo Bill Hilf, mentor do SL/CA dentro da Microsoft
www.linuxmagazine.com.br – Brasil
www.linux-magazin.de – Alemanha
e coordenador do propalado laboratório de interoperabilida-
www.linux-magazine.com – Portal Mundial de, mostrou um sério desconhecimento da afinidade entre a
www.linuxmagazine.com.au – Austrália
www.linux-magazine.ca – Canadá tecnologia do SL/CA e o mercado corporativo, afirmando que
www.linux-magazine.es – Espanha
www.linux-magazine.pl – Polônia “O Linux está morto. Até Linus tem um emprego.”
www.linux-magazine.co.uk – Reino Unido
www.linux-magazin.ro – Romênia
A ofensiva da fabricante do Windows contra o Linux, in-
Circulação cluindo sua postura após o anúncio inicial de que processaria
Cláudio Guilherme dos Santos os usuários do sistema operacional aberto, reforçou a forte es-
csantos@linuxmagazine.com.br
tratégia de FUD (medo, incerteza e dúvida, na sigla em inglês)
Apesar de todos os cuidados possíveis terem
sido tomados durante a produção desta revista, a iniciada com sua nada memorável campanha “Get the facts”.
editora não é responsável por eventuais impre-
cisões nela contidas ou por conseqüências que
É marcante o contraste com a Sun de Simon Phipps - tam-
advenham de seu uso. A utilização de qualquer bém entrevistado nesta edição -, que mostra uma compreensão
material da revista ocorre por conta e risco do leitor.
Nenhum material pode ser reproduzido em qual- bem mais profunda dessa tecnologia. A fabricante do Open-
quer meio, em parte ou no todo, sem permissão
expressa da editora. Assume-se que qualquer
Solaris e maior contribuidora do SL/CA em 2006 demonstra
correspondência recebida, tal como cartas, emails, compromisso com seus consumidores e desenvolvedores ao
faxes, fotografias, artigos e desenhos, são forneci-
dos para publicação ou licenciamento a terceiros de criar uma licença livre para uso geral - e não apenas em favor
forma mundial não exclusiva pela Linux New Media
do Brasil, a menos que explicitamente indicado. de si mesma –, e também um sólido interesse nessa nova tec-
Linux é uma marca registrada de Linus Torvalds. nologia, ao buscar formas de lucrar com softwares abertos.
Linux Magazine é publicada mensalmente por: Se são essas as armas que se apresentam no combate contra
Linux New Media do Brasil Editora Ltda.
Av. Fagundes Filho, 134 o SL/CA, só nos resta esperar pela validação da conclusão:
Conj. 53 – Saúde
04304-000 – São Paulo – SP – Brasil
“E então você vence”.
Tel.: +55 (0)11 2161 5400
Fax: +55 (0)11 2161 5410
Direitos Autorais e Marcas Registradas © 2004 - 2007:
Linux New Media do Brasil Editora Ltda.
Distribuição: Distmag
Pablo Hess
Impressão e Acabamento: Parma Editor
ISSN 1806-9428 Impresso no Brasil
Nota: A seção Preview da última edição da Linux Magazine infor-
mava que na edição atual seriam publicadas matérias sobre softwares
de groupware e também sobre o Abaqus. Infelizmente, tivemos de
INSTITUTO VERIFICADOR DE CIRCULAÇÃO
reorganizar a pauta da Linux Magazine de junho, e publicaremos
em processo de filiação as matérias sobre esses assuntos na edição de julho (número 32).
CAPA
O verdadeiro Grande Irmão 32
O versátil Nagios monitora sua rede através de plugins,
e emite alertas antes que haja problemas com máqui-
nas e serviços. Aprenda em profundidade como instalar,
usar e gerenciar esse ícone do monitoramento de redes.
Trabalho de base 40
O Nagios possui uma interface web bastante bási-
ca. O GroundWork é uma interface mais amigável e
com visual profissional para essa ferramenta.
PROGRAMAÇÃO
Plugando no Nagios 74
Veja como utilizar a versátil linguagem Perl
para criar plugins personalizados para o dae-
mon de monitoramento de redes Nagios.
4 http://www.linuxmagazine.com.br
Linux Magazine 31 | ÍNDICE
COLUNAS Tutorial
Augusto Campos 08 LPI nível 1: Aula 6 47
Charly Kühnast 10 Configure compartilhamentos de rede e aprenda a ad-
Klaus Knopper 12 ministrar a segurança do sistema na última aula da sé-
Zack Brown 14 rie de preparação para a certificação LPI nível 1.
NOTÍCIAS
Segurança 16
➧ OpenOffice.org
➧ XMMS
➧ File
➧ Libwpd
➧ Biblioteca do KDE
Pronto para o futuro 57
➧ Squid O próximo sistema de arquivos da família Ext ofe-
rece melhor desempenho e sistemas de arqui-
➧ Evolution vo maiores. Você está preparado para o Ext4?
➧ Firefox
➧ NAS
➧ Inkscape
Geral 18
➧ Microsoft: Linux viola patentes
CORPORATE
Notícias 20
➧ Virtualização mudará cenário de TI, diz Gartner
Permissão de Escrita
u
c.h
. sx
EMAILS
ww
Se você tem dúvidas sobre o mundo Linux, críticas ou sugestões
–w
que possam ajudar a melhorar a nossa revista, escreva para o
ro
ne
seguinte endereço: cartas@linuxmagazine.com.br. Devido ao
g je
nja
volume de correspondência, é impossível responder a todas as
sa
dúvidas sobre aplicativos, configurações e problemas de hardware
que chegam à Redação, mas garantimos que elas são lidas e
analisadas. As mais interessantes são publicadas nesta seção.
6 http://www.linuxmagazine.com.br
DPZ
especializado via internet ou pelo telefone, serviços de tuning
e configuração e ainda atendimento nacional on site.
Tem alta tecnologia para os aplicativos como editor de textos,
planilha eletrônica, editor de imagens e apresentações. É mais
facilidade e maior flexibilidade no seu dia-a-dia. Na hora de
trabalhar, não se sinta preso. Seja Librix.
Foto ilustrativa.
Foto ilustrativa.
Servidor Itautec
LX201
PERFORMANCE E SEGURANÇA
PARA A SUA EMPRESA.
Itautec InfoWay
Minitorre Código da oferta: SI-310
IDEAL PARA ENTRETENIMENTO • Processador Intel® Xeon® 5030
(2 x 2 MB L2 cache, 2.67 GHz, 667 MHz)
E ESTAÇÃO DE TRABALHO.
• Librix Server - Distribuição Linux Itautec**
Código da oferta: IN-579 • 1 GB de memória com ECC
• Processador Intel® Celeron® D 315 • 2 HDs SATA de 200 GB
(256 KB L2 cache, 2.26 GHz, 533 MHz) • CD-RW (gravador de CD)
• Librix - Distribuição Linux Itautec • 2 interfaces de rede integradas
• 512 MB de memória • Monitor de 17” • HD de 40 GB • Controladora 6 canais SATA integrada
• Combo (gravador de CD + leitor de DVD) • Teclado e mouse
• Floppy, teclado em português e mouse • Gabinete-pedestal
• Placa de rede integrada • 3 anos de garantia on site***
x R$ 155,28
• Placa de áudio e vídeo integrada
• Fax/Modem 56 Kbps
• 1 ano de garantia balcão**** 36
pelo cartão BNDES*
10x R$ 109,90 ou R$ 4.699,00 à vista
ou 36 x R$ 36,32
pelo cartão BNDES*
ou R$ 1.099,00 à vista
www.itautecshop.com.br
COMPRE DIRETAMENTE DO FABRICANTE
PRESENTE EM MAIS
DE 2.700 CIDADES.
0800 121 444
De 2ª a 6ª, das 8h às 20h. Sábado, das 9h às 18h.
Ofertas válidas até 7/6/2007 ou enquanto durarem os estoques. Celeron, Celeron Inside, Centrino, o logotipo Centrino, Core Inside, Intel, o logotipo Intel, Intel Core, Intel Inside, o logotipo Intel Inside, Intel Viiv, Intel vPro, Itanium, Itanium Inside,
Pentium, Pentium Inside, Xeon e Xeon Inside são marcas comerciais ou marcas registradas da Intel Corporation ou de suas subsidiárias nos Estados Unidos ou em outros países. Consulte nossa Central de Atendimento para informações sobre outras
condições de financiamento para pessoa física ou jurídica pelo telefone 0800-121-444. *Financiamento para pessoa jurídica através do cartão BNDES, com taxa de 1,03% a.m. Necessário possuir o cartão de crédito citado, sujeito à confirmação da
disponibilidade da linha de crédito para as localidades e limite para operação. **Suporte telefônico para o Sistema Operacional Librix - 8 x 5, de segunda a sexta-feira, das 9h às 18h. ***Garantia de três anos on site, de segunda a sexta-feira, das
8h30 às 18h, em um raio de 50 km do Centro de Serviços Itautec mais próximo. ****Garantia balcão de um ano para partes, peças e serviços. A velocidade de comunicação de 56 Kbps depende e pode variar de acordo com o tipo e a qualidade da
linha telefônica utilizada. Para possibilitar o acesso à internet são necessários uma linha telefônica ou banda larga e um provedor à sua escolha. Preços com impostos inclusos para São Paulo. Frete não incluso. Demais características técnicas e de
comercialização estão disponíveis em nosso site e no Televendas. Fica ressalvada eventual retificação das ofertas aqui veiculadas. Quantidade: 10 unidades de cada. Empresa/produto beneficiado pela Lei de Informática. Fotos meramente ilustrativas.
Augusto Campos
COLUNAS
E
sta edição da Linux Magazine traz o último ar- estudo de fato está relacionado às habilidades e talentos
tigo da série que nos meses recentes deu uma exigidos de um administrador de sistemas Linux.
interessante amostra dos temas abordados no Diversos brasileiros fizeram e ainda fazem sua parte
exame da certificação LPI nível 1, voltado para admi- para apoiar os colegas que estão em busca de obter sua
nistradores de sistemas Linux nível júnior. O LPI foi certificação. Merece destaque o exemplo de Bruno Go-
fundado em 1999, na forma de uma organização sem mes Pessanha, que, mesmo trabalhando como adminis-
fins lucrativos, dedicada à certificação de profissionais trador de sistemas em uma empresa de grande porte (e
do Linux, e tem como diferencial o posicionamento de numa rede com necessidades complexas), desde 2002
ser independente de distribuição e fornecedor – o que encontrou tempo e oportunidade para colaborar dire-
significa que na mesma prova você pode ter de resolver tamente com o LPI – especialmente nas atividades de
questões sobre pacotes DEB e RPM, por exemplo. tradução de material – e mais recentemente foi co-autor
O posicionamento do LPI varia ao longo do tem- do livro “Linux Certification in a Nutshell”, que cobre
po: originalmente, as certificações valiam por prazo os níveis 1 e 2 do LPI, e foi escrito pensando em servir
indefinido. Em 2006 decidiu-se que elas passariam a como guia de administração, e não apenas para passar
valer por apenas cinco anos. Mesmo quem obteve cer- nos exames. O livro foi publicado internacionalmente
pela prestigiada editora O’Reilly, e ganhou o prêmio
da escolha dos editores do Linux Journal em 2006, na
Uma característica persistiu: categoria de livros de administração de sistemas.
o LPI continua sendo uma Bruno certamente não é o único: Gleydson Mazioli, o
certificação independente autor do Guia Foca Linux[2] – um dos mais conhecidos
manuais livres sobre Linux em nosso idioma – também
de fornecedores. adaptou sua documentação ao conteúdo programático
das provas do instituto, e coleciona relatos de leitores
que o procuram para contar que passaram no exame
tificação antes da alteração passou a ter de se certificar graças ao seu excelente material.
novamente a cada cinco anos, caso queira continuar Obter uma certificação profissional é importante
contando com o título. para a sua empregabilidade, e o LPI pode ser uma op-
Outra mudança ocorreu na gestão da operação bra- ção digna do seu esforço. A comunidade Linux já se
sileira do LPI, que até 2006 era responsabilidade do LPI encarregou de disponibilizar uma série de guias, livros,
Brasil, entidade integrada por uma série de participantes manuais e até provas simuladas para que você possa se
da comunidade Linux brasileira (eu entre eles). A partir preparar adequadamente – mas o próximo passo pre-
de agosto de 2006, por decisão do LPI mundial, passou a cisa ser seu. ■
ser realizada pela empresa 4Linux. No processo, a ONG
LPI Brasil foi extinta, emitindo um comunicado[1] em
Mais Informações
que divulgou não achar adequado aceitar outro papel [1] Comunicado da LPI Brasil: http://www.lpi.org.br/
que não permitisse manter a coordenação das ações da [2] Guia Foca Linux: http://www.guiafoca.org/
certificação LPI e nem as políticas existentes à época
para os preços das provas no Brasil – que, no fechamento O autor
desta coluna, estão na faixa dos US$ 130. Augusto César Campos é administrador
Uma característica persistiu: o LPI continua sendo de TI e, desde 1996, mantém o site
uma certificação independente de fornecedores, com boa BR-linux.org, que cobre a cena
do Software Livre no Brasil e no mundo.
visibilidade no mercado, e conteúdo programático cujo
8 http://www.linuxmagazine.com.br
O blog do Open Source Software Lab da Microsoft está de cara nova.
Quem quer saber mais sobre open source não pode ficar de fora do Porta 25. Agora na versão 2.0, o site está
ainda mais interativo e aberto à sua participação. Ele tem novas funcionalidades e a navegação está mais
completa, com mais espaço para as iniciativas do mercado brasileiro. Entre agora mesmo: www.porta25.com.br
© 2007 Microsoft Corporation. Todos os direitos reservados. Microsoft e “Seu potencial. Nossa Inspiração.” são
marcas comerciais, registradas ou não, da Microsoft Corporation nos Estados Unidos e/ou em outros países.
www.baixebr.org
CGI:IRC
Charly Kühnast
COLUNA
E
m algumas situações, prefiro conversar on- A variável default_channel contém uma lista de
line do que telefonar para as pessoas. Meu canais, separados por vírgulas, que o usuário do CGI:
cliente IRC preferido é o Irssi[1]. Ele roda IRC tem permissão de usar. O usuário não pode
em uma sessão de tela num servidor que consigo acessar nenhum canal ausente nessa lista.
acessar por SSH de qualquer lugar. Ao entrar no CGI:IRC, é possível escolher um
Às vezes, SSH simplesmente não é uma opção, apelido. Se o usuário preferir não escolher nenhum,
como nos casos em que o firewall de um cliente está o programa simplesmente atribui um nome com
muito restrito, ou quando utilizo algum cybercafé base no esquema especificado na variável default_
nas férias. Uma ferramenta com o tipograficamente nick. O padrão, nesse caso, é CGIxxx, onde xxx é
desafiador nome de CGI:IRC[2] pode ser a solução. substituído por um número, após o login.
O programa oferece uma interface web que passa a
entrada recebida para o servidor IRC (figura 1). Controle de acesso
O que eu gosto no CGI:IRC é sua instalação fá- O arquivo ipaccess lida com o controle de acesso.
cil e rápida, sem no entanto restringir as opções de O CGI:IRC simplesmente ignora quem não possuir
configuração. Para a instalação, apenas é necessário uma entrada nesse arquivo, da seguinte forma:
um servidor web com CGI ativado, além da versão
5 da linguagem Perl. ip_acess_file = ipaccess
Apenas faça o upload do script para o servidor,
e coloque os arquivos de configuração no diretório Para suportar qualquer número de conexões a
CGI deste. A página de instalação[3] dá dicas úteis partir do localhost, é possível apenas acrescentar
a respeito desses passos. uma entrada para 127.0.0.1 ao arquivo ipaccess. Para
O CGI:IRC utiliza uma abordagem incomum, restringir a 50 o número de conexões simultâneas,
porém inteligente, em seus dois arquivos de confi- a entrada seria: 127.0.0.1 50 .
guração. Um deles contém as configurações críticas, Para impedir o acesso a partir de uma rede es-
que podem ser feitas em poucos minutos para que pecífica, como 10.0.0.0/8, por exemplo, a entrada
você já comece a usá-lo imediatamente. O outro seria simplesmente: 10.0.0.0/8 0 .
arquivo, cgiirc.config.full, contém exemplos de Após terminar a configuração, é possível conversar
configurações mais complexas. infinitamente e de forma imediata, independente
Comecei verificando a configuração básica: o de onde se esteja. ■
item default_server abriga o nome do meu servi-
dor IRC, enquanto
default_port guarda o Mais Informações
número da porta. [1] Irssi: http://www.irssi.org
A porta padrão é
[2] CGI:IRC: http://cgiirc.sourceforge.net
6667, apesar de ser-
vidores em portas [3] Dicas de instalação (em inglês):
http://cgiirc.sourceforge.net/docs/install.php
diferentes estarem
crescendo bastante
devido ao bloqueio O autor
das portas de IRC Charly Kühnast é administrador de sis-
Figura 1 Conversa com um diferencial – o CGI:
IRC fornece um cliente IRC acessível de por parte de vários temas Unix no datacenter Moers, per-
qualquer local, através de um servidor provedores de hos- to do famoso rio Reno, na Alemanha. Lá
web. ele cuida, principalmente, dos firewalls.
pedagem.
10 http://www.linuxmagazine.com.br
��������������������������������
����������������������������������������
�����������������������������
��������������������������������������
������������������������������������������������
��������������������������������������������������
���������������������������������������
�����������������������������
����������������������������������
����������������������������������������������
��������������������������
���������������������������������������������������������������
��������������������������������������������
����������������������������
���������������������������������������������������������������������������������
����������������������������������������������������������
www.baixebr.org
Pergunte ao Klaus!
Klaus Knopper
COLUNA
Esta coluna é baseada na seção “Ask Klaus!”, publicada na Linux Magazine International.
por Klaus Knopper
12 http://www.linuxmagazine.com.br
Gabarito
ILIMITADA É A VANTAGEM DE CONTAR COM A PLUG IN.
Plano Standard
Transferência: 50GB • Espaço: 500MB R$ 25, 70 Somente uma empresa como a PLUG IN, uma das líderes do mercado de webhosting no
Brasil, pode oferecer aos profissionais de internet as melhores opções para hospedagem
de sites com preços e franquias imbatíveis. Oferece ainda Data Centers de última
Plano SQL R$ 36,10 geração e uma equipe 100% focada em atender as demandas do mercado digital.
Transferência: 100GB • Espaço: 1GB
0,
A partir de
E-mail 1GB R$ 90
Zack Brown
COLUNA
14 http://www.linuxmagazine.com.br
www.baixebr.org
➧ OpenOffice.org
SEGURANÇA
16 http://www.linuxmagazine.com.br
Segurança | NOTÍCIAS
para gerar um erro de asserção. malicioso, um agressor remoto to, faz de cadeias de caracteres
(CVE-2007-1560) ■ poderia realizar uma varredura de formato. Se um usuário for
Referência no Gentoo: GLSA 200703- de portas nas máquinas da rede enganado de forma a abrir no
27/squid do usuário, levando à divulga- Inkscape uma URI especialmente
Referência no Mandriva: MDKSA- ção de dados privados. ( CVE-2007- criada, um agressor remoto pode-
2007:068 1562) ■ ria executar código arbitrário com
Referência no Ubuntu: USN-441-1 Referência no Slackware: SSA:2007- os privilégios desse usuário. (CVE-
066-03 2007-1463 ) ■
➧ Evolution Referência no Ubuntu: USN-443-1 Referência no Mandriva: MDKSA-
Um erro de formatação de cadeia de 2007:069
caracteres na função write_html() em Referência no Ubuntu: USN-438-1
calendar/gui/e-cal-component-memo- ➧ NAS
preview.c, ao exibir as categorias de Foram descobertos vários proble-
uma nota, pode ser explorado para mas no daemon do NAS (Network ➧ Apache JK Tomcat
executar código arbitrário através
de uma nota compartilhada espe-
Audio System). Agressores remotos
podem enviar requisições de rede
Connector
cialmente criada contendo espe- especialmente criadas, de forma O Apache Tomcat Connector (mod_
cificadores de formato. (CVE-2007- a causar uma negação de serviço jk) contém uma vulnerabilidade de
1002) ■ ou a execução de código arbitrá- estouro de buffer que poderia resul-
Referência no Mandriva: MDKSA- rio. (CVE-2007-1543, CVE-2007-1544, tar na execução remota de código
2007:070 CVE-2007-1545, CVE-2007-1546, CVE- arbitrário.
Referência no Ubuntu: USN-442-1 2007-1547 ) ■ Um agressor remoto pode enviar
Referência no Mandriva: MDKSA- uma requisição de URL longa para
2007:065 um servidor Apache, o que pode
➧ Firefox Referência no Ubuntu: USN-446-1 acionar a vulnerabilidade e levar a
Uma falha foi descoberta na forma um estouro de inteiros baseado em
como o Firefox, um navegador web pilha, resultando, assim, na execu-
de código aberto, lidava com respos- ➧ Inkscape ção de código arbitrário. (CVE-2007-
tas PASV de FTP. Foi descoberta uma falha no uso 0774) ■
Se um usuário for enganado de que o Inkscape, um aplicativo de Referência no Gentoo: GLSA 200703-
forma a visitar um servidor FTP desenho vetorial de código aber- 16/mod_jk
18 http://www.linuxmagazine.com.br
Gerais | NOTÍCIAS
Um estudo do grupo de pesquisas de mercado Gartner Em relação às vendas de servidores, Bittman afir-
concluiu que a virtualização será responsável por mu- mou que “cada servidor virtual tem o potencial de
danças radicais na infra-estrutura de TI nos próximos tirar do mercado mais um servidor físico”, pois “atu-
anos. Segundo o estudo, não apenas o uso da tecnologia almente, mais de 90% dos usuários de máquinas vir-
da informação sofrerá alterações, mas também a forma tuais têm como motivação a redução do número de
como os departamentos de TI gerenciam, compram, servidores, do espaço físico e do custo energético de
planejam e cobram por seus serviços. Até 2010, de acordo máquinas x86 em suas empresas. Acreditamos que
com o Gartner, a virtualização será a tecnologia mais o mercado de servidores já diminuiu 4% em 2006
importante na área de infra-estrutura de TI. devido à virtualização, que terá um impacto bem
Thomas Bittman, vice-presidente e analista do grupo, maior em 2009”.
afirmou durante uma conferência em Sidnei, Austrália, No mercado de virtualização de desktops, que se en-
que a virtualização requer mudanças mais culturais do contra “dois anos atrasado em relação ao de servidores”,
que tecnológicas dentro das empresas. Ainda segundo segundo o vice-presidente, “mas será ainda maior que
o analista, o número de máquinas virtuais instaladas este”, a motivação é outra: isolamento e criação de um
no mundo todo, estimado em 540 mil ao final de 2006, ambiente de gerenciamento intangível pelo usuário,
deve chegar a 4 milhões até 2009, representando, ainda com o potencial de “mudar o paradigma de gerencia-
assim, apenas uma fração do mercado potencial. mento de desktops corporativos”. ■
20 http://www.linuxmagazine.com.br
Notícias | CORPORATE
1º Seminário Linux
CORPORATE
Park 2007
Pela primeira vez fora de São Paulo, o Linux Park 2007 reuniu
no Rio de Janeiro os principais players do mercado nacional
de SL/CA, além de um público qualificado e participativo.
por Pablo Hess
O
s seminários Linux Park, or- médio e superior estiveram presentes, dispositivos embarcados, no qual o
ganizados pela Linux New mobilizadas pela Abrasol (Associa- sistema do pingüim oferece maiores
Media do Brasil, já se con- ção Brasileira de Software Livre). margens de lucro em comparação
sagraram no cenário corporativo Representantes de diversos setores às soluções proprietárias já existen-
nacional do Software Livre e de também marcaram presença, como tes. Os modelos de distribuição de
Código Aberto (SL/CA). Nas últimas varejo, Telecomunicações, Forças software também foram abordados,
edições do evento, ao todo centenas Armadas, Transportes, Indústria e assim como as categorias de serviços
de executivos de TI reuniram-se para Comércio de petróleo, Administra- possibilitadas pelo modelo aberto de
trocar experiências a respeito do uso ção Municipal, Energia, Governo desenvolvimento. A íntegra da apre-
do SL/CA em suas empresas. e, naturalmente, Tecnologia. sentação, incluindo os resultados da
A primeira edição dos seminários Às 9:00, Rafael Peregrino da Silva, pesquisa sobre o mercado nacional de
Linux Park 2007 ocorreu dia 26 de Diretor Geral da Linux New Media SL/CA, pode ser obtida em [1].
abril, pela primeira vez fora da cidade do Brasil, iniciou seu keynote de aber- Finalizando o keynote, Rafael
de São Paulo. A sala de convenções do tura (figura 2) do primeiro Linux Park exibiu as estatísticas da empresa de
Hotel Sofitel, no movimentado bairro do ano. Após explicar os benefícios pesquisas de mercado Chadwick
de Copacabana, no Rio de Janeiro, que a tecnologia do Software Livre Martin Bailey, obtidas a partir de
foi ocupada pelo público numeroso e e de Código Aberto (SL/CA) pode questionários respondidos por ge-
altamente qualificado (figura 1). trazer às empresas, Rafael apresentou rentes de TI, nas quais é possível
Novidade entre os participantes, a Linux New Media, mencionando constatar que o preço não é mais o
instituições de ensino fundamental, a atuação internacional da editora, principal fator na aquisição de so-
que publica conteúdo específico luções de TI.
sobre SL/CA em 67 países. O público respondeu ao keynote
Em seguida, o Diretor Geral apre- com perguntas também de alto ní-
sentou os resultados de uma pesqui- vel. Ao ser questionado a respeito de
sa realizada pela Linux New Media quais necessidades ainda não estão
do Brasil em parceria com a Intel, a supridas pelo SL/CA, Rafael foi rá-
respeito do mercado de Linux e SL/ pido em citar os softwares de frente
CA no Brasil, reforçando o conceito de caixa, automação comercial e ou-
e a importância do ecossistema no tros dos quais as pequenas e médias
contexto do mercado de TI. Inicial- empresas ainda dependem, e que
Figura 1 Como nas outras edições, o evento mente, Rafael listou as inúmeras pla- atualmente não possuem exempla-
contou com a presença de um público taformas em que o Linux está apto res livres. Peregrino aproveitou para
altamente qualificado. a rodar, incluindo o segmento de nomear algumas formas de se de-
22 http://www.linuxmagazine.com.br
Linux Park | CORPORATE
24 http://www.linuxmagazine.com.br
Linux Park | CORPORATE
Cliente em foco
CORPORATE
Linux Magazine» Embora muito já tenha LM» Quanto às indenizações por pa- Nós afirmamos, logo após fechar
sido dito a respeito do acordo entre a tentes, o que exatamente o acordo o acordo, que usaríamos em nossa
Novell e a Microsoft, muitas dúvidas pretende cobrir? defesa as patentes que possuímos.
ainda persistem. Você poderia expli- RH» Novamente o foco é o cliente. Com o surgimento, logo em seguida,
car um pouco melhor como surgiu a O acordo diz que, caso haja litígios da Open Invention Network (OIN),
idéia desse acordo? legais quanto à violação de patentes nós inserimos nossas patentes nessa
Ron Hovsepian» No início de maio de de alguma das empresas pela outra, realidade, justamente com o obje-
2006, telefonei para Kevin Turner, Chief nenhum cliente será envolvido na tivo de protegê-las.
Operating Officer da Microsoft e ex-CIO disputa. As duas companhias ainda O acordo com a Microsoft simples-
da rede Walmart, onde foi meu cliente. têm o direito de processar uma à mente cria mais uma proteção, dessa
Falei sinceramente: “Kevin, acho que outra por qualquer motivo que seja, vez para o cliente. Portanto, é mais um
a Microsoft deveria pensar seriamen- porém os clientes de cada uma não motivo para o cliente não precisar se
te em comercializar o Linux”. Após o serão envolvidos. preocupar com questões de patentes.
choque inicial, expliquei a ele o moti- Esse não é um acordo de troca de Em parte, é por isso que a comu-
vo dessa colocação, do ponto de vista licenças. Isso é o que eu mais desejo nidade e o Linux não crescem mais
do cliente, especialmente em relação que os leitores compreendam. A No- rápido; as empresas e desenvolvedores
à interoperabilidade, e ele compreen- vell e a Microsoft não têm, e prova- envolvidos não conseguem por à parte
deu de verdade. velmente jamais terão, um acordo de suas diferenças e trabalhar para o bem
No dia seguinte, recebi um telefone- troca de patentes. comum. É muito mais fácil criar forks e
ma de Kevin, extremamente interessado Acreditamos que envolver nossos dividir os desenvolvedores e usuários.
em formular um acordo para que esses clientes em questões judiciais faz mal
planos se concretizassem. à imagem de todas as empresas envol- LM» Concorrentes da Novell, no Bra-
Então, tudo foi pensado tendo em vidas na disputa. Um exemplo disso foi sil, afirmaram que a empresa vendeu
vista o favorecimento do cliente. o que ocorreu à SCO, que saiu extre- sua alma à Microsoft. Além disso, es-
mamente prejudicada de suas batalhas pecula-se bastante que a Novell esteja
contra clientes e fornecedores. apenas atuando como um “emissário”
da Microsoft no mercado do SL/CA.
LM» Atualmente, as patentes de Por último, fala-se que a Microsoft
software são uma das maiores ame- cogitou adquirir sua empresa. Você
aças ao Software Livre e de Código poderia esclarecer essas questões?
Aberto. Qual a posição da Novell RH» A aquisição pela Microsoft é com-
a esse respeito? pletamente especulativa. Não posso ga-
RH» Há dois aspectos nessa discussão. rantir que seja impossível, pois ambas
O primeiro é a realidade de cada auto- são empresas de capital aberto, com
ridade reguladora (governos, em última seus próprios conselhos diretores e es-
instância), com importantes diferenças truturas administrativas. Mas posso dizer
entre os diversos países do globo. O que acho muito improvável.
Figura 1 Ron Hovsepian, CEO da segundo é o que nós, como empresa, Quanto a vender a alma, volto a afir-
Novell. estamos fazendo. mar que busco representar os clientes.
26 http://www.linuxmagazine.com.br
Entrevista Novell | CORPORATE
Meus clientes desejam uma melhor fazer com outras companhias acordos A própria Microsoft, na minha visão,
interoperabilidade, e querem ter ape- semelhantes ao que fez com a Novell. tem agido corretamente, ouvindo os
nas uma empresa à qual recorrer para Entretanto, a Novell vinha tratando o pedidos de seus clientes e aproximan-
o fornecimento e suporte tanto ao acordo, ao menos no início, como algo do-se deles. Sua conversa conosco é to-
Windows quanto ao Linux. O acordo exclusivo. Houve erros de interpretação talmente franca. Por exemplo, quando
é a manifestação disso. Nós não vamos por alguma das partes? eles propuseram, há pouco, um acordo
vender nossas almas a ninguém. RH» De minha parte, não vejo qual- de patentes, nós educadamente nega-
quer problema em acordos que envol- mos, pois isso não é estrategicamente
LM» A Microsoft não agiu sempre de vam afastar os clientes dos processos favorável a nós. E esse fato não pertur-
forma ética para eliminar a concor- por violação de patentes. Realmente bou nosso relacionamento.
rência, e a própria Novell já foi pre- não me importo se a Microsoft qui-
judicada por isso. Isso não indicaria ser fazer acordos semelhantes com LM» O acordo possui cinco pilares,
algum tipo de risco em acompanhar nossos concorrentes, ou até mesmo bem definidos, de colaboração en-
a empresa nesse tipo de acordo? outros acordos, de troca de licenças, tre as duas companhias. Em cada
RH» A Microsoft vai competir hones- por exemplo. um deles, quais partes já estão em
tamente em qualquer mercado. Por- No caso da Novell, especificamente, andamento?
tanto, eu enxergo essa questão como: nós possuímos um grande arsenal de RH» Temos que pensar como se
“é possível ter uma relação com uma patentes de alta importância, o que dá fossem três acordos diferentes. Pri-
empresa tão competitiva?”, e acho que um tom diferente às negociações com meiramente, um acordo na área de
a resposta é “sim”. a Microsoft. No entanto, nós jamais negócios, que engloba a participação
Creio que o desejo da Microsoft de usaríamos essas patentes
entrar no mercado de Linux é pequeno,
se é que existe. Porém, o que a motiva é
contra nossos clientes,
embora possamos usá-
A Novell e a
aumentar sua presença frente ao cliente. las como mecanismo Microsoft não têm,
Então, se ela puder unir-se a nós em fa- de defesa contra outras e provavelmente
vor do cliente, sua estratégia pode ficar empresas.
melhor fundamentada. Além disso, outra Na realidade, nós jamais terão, um
conseqüência é a melhora da percepção discordamos da Micro- acordo de troca
da empresa por parte dos clientes. soft quanto à proteção
de direitos de proprie-
de patentes.
LM» Aparentemente, a GPLv3, ainda dade intelectual, e já
em formulação, incluirá cláusulas informamos a eles que não faremos da Microsoft, com várias dezenas de
que impedem a distribuição de seus qualquer tipo de reconhecimento de milhões de dólares e um esforço de
softwares mediante acordos como o da infração de patentes no Linux. vendas dedicado ao acordo (em Re-
Novell com a Microsoft. Como a No- dmond), além dos US$ 240 milhões
vell pretende abordar essa limitação, LM» Como seus clientes mais impor- em cupons de serviços Novell que eles
especialmente em relação ao Samba, tantes reagiram ao acordo? E os no- adquiriram e vêm distribuindo.
que provavelmente a adotará? vos clientes? O segundo trata da cooperação
RH» Estamos obviamente bastante RH» Evidentemente estou muito feliz técnica, passando por virtualização e
atentos a isso. Temos participado no em ver a Novell adquirir novos clientes, ODF. Já publicamos nosso planeja-
Comitê B da formulação da GPLv3. que encararam o acordo como uma mento nessa parte do acordo, e estamos
Estamos aguardando versões públicas ótima notícia. Como você pôde ver há nos primeiros estágios da colaboração.
dos outros comitês, para decidirmos pouco, eles estão muito satisfeitos com Construímos um tradutor do formato
como agir. Claro que há algumas op- o fato de nós assumirmos a função de OpenXML para o OpenOffice.org, e va-
ções técnicas e de negócios das quais buscar a interoperabilidade, em vez mos continuar avançando nesse campo.
podemos lançar mão. O que podemos de eles próprios terem de se preocu- No tocante à virtualização, temos que
garantir é que a Novell permanecerá par com isso. Em troca, eles já fizeram esperar o Vista estabelecer-se e amadu-
profundamente comprometida com o pedidos de inclusão de recursos de recer para que possamos interagir com
Linux e seu mercado. interoperabilidade, que no momento ele de forma sólida.
somam vinte itens. Essa proximidade A terceira nuance do acordo é a que
LM» Steve Ballmer, da Microsoft, afir- com nossos clientes é extremamente trata das patentes, e creio que já falei
mou que a empresa está disposta a bem vinda. demais sobre ela. (risos). ■
Abrindo e aprendendo
CORPORATE
Linux Magazine» Como a Sun se en- Por esses motivos, creio que é um erro E quero que os leitores tenham em
volveu com o Software Livre e de lutar para separar os dois termos. mente que nós sabemos que vamos er-
Código Aberto? rar, mas vamos sempre corrigir nossos
Simon Phipps» Desde 1982, quando a LM» Qual é o envolvimento da Sun com erros da melhor forma possível.
Sun era a startup de Código Aberto do as distribuições do OpenSolaris?
momento, utilizamos o BSD Unix como SP» Temos nossa própria distribui- LM» A CDDL foi lançada após a
base para nosso negócio – workstations –, ção (Solaris Express), feita a partir GPLv2. Por que houve esse esforço de
mas acrescentamos muitos componen- das mesmas ferramentas abertas criação de mais uma licença livre?
tes proprietários nele. Apenas em 2005, que os outros grupos usam. No en- SP» Costumo caracterizar nossa licença
quando a Sun lançou o OpenSolaris, tanto, achamos melhor não inter- CDDL como a Mozilla Public License
voltamos a ter um kernel livre. ferir na forma como a comunidade (MPL) com falhas corrigidas. Ela não
Em relação à diferença entre esses de usuários faz uso das ferramentas é uma nova licença maligna que faz
termos, para mim, o Software Livre é a que disponibilizamos. as pessoas cederem direitos que não
base que os desenvolvedores usam para desejam, nem tampouco é exclusiva
criar softwares que os fazem sentirem- LM» Como a Sun se relaciona com sua da Sun. A CDDL é uma licença de
se no controle. E esse software precisa comunidade de usuários? uso geral, que eu sugiro que se use no
ser licenciado de forma a permitir que SP» Para responder a essa pergunta, é lugar da MPL.
eles tenham direito de desenvolvê-lo, necessário deixar claro que não existe Antes de criarmos a CDDL, busca-
e necessita também de regras que fa- uma comunidade única de usuários, mos os motivos da intensa proliferação
cilitem a contribuição por parte dos pois cada um de nossos produtos de licenças livres, e descobrimos que isso
desenvolvedores. Esse conjunto de tem sua própria comunidade. Isso ocorre devido a falhas não intencionais
regras a respeito da licença e da con- se reflete na forma como lidamos na MPL. Quando advogados corpo-
tribuição é o que eu entendo por Có- com cada uma delas, incluindo as rativos encontram uma dessas falhas,
digo Aberto, que por sua vez é como licenças e regras adotadas para seus afirmam que é necessário corrigi-la.
os desenvolvedores inteligentes usam respectivos softwares. Porém, recorrentemente, a falha é cor-
o Software Livre. rigida apenas para sua própria empresa.
LM» Quais são as maiores dificulda- Por isso, tivemos o cuidado de corrigir
des enfrentadas por vocês na abertura todas essas falhas da MPL para qualquer
de códigos? desenvolvedor ou usuário.
SP» Como não existe experiência a esse
respeito na indústria, temos que asse- LM» Qual a relação da Sun com o
gurar a qualidade de nosso software, ao kernel Linux?
mesmo tempo em que garantimos as SP» Nós sabemos que o Linux roda mui-
vantagens e oportunidades que o Có- to bem em nosso hardware, e muitas
digo Aberto oferece. vezes ele é o mais apropriado no con-
Talvez não pareça, mas é bem com- texto do usuário.
plicado (senão impossível) percorrer Separar nossas comunidades é estu-
esse caminho todo sem cometer erros. pidez, pois temos mais semelhanças do
Então, nós acabamos por avançar um que diferenças. Sabemos que usuários
Figura 1 Simon Phipps, Chief Open tanto e recuar um pouco, tentando de tecnologia tendem a tornar-se apai-
Source Officer da Sun sempre assegurar a qualidade e a xonados pelo que usam, mas isso jamais
Microsystems. liberdade do código. deve ser transformado em raiva. ■
28 http://www.linuxmagazine.com.br
��������������������������
�� ��������� ����� �� ��� ����������� ������� ��� ��������� ��������� ���
���������������������������������������������������������������
��������� ��� ������� �� ��� �������� ������� ���� ��������� ��� �������
����������������������������������������������������������������
�������������������������������������������������
��������������������������������������������
�����������
���������������������������������������
���������������������������������������������������������������������
���������������������������������������������������������
�������������������������������������������������������
����������������������������������������������������
����������������������������������
�����������������������������������
�������������������������������
����������������������������
�����������������
����������
�����������������������������������������������������������������
������������������������������������
���������������
Código Aberto na idade da razão
Cezar Taurion
CORPORATE
N
as últimas semanas participei de alguns gran- avam nos projetos de Código Aberto eram 100% volun-
des eventos de Linux e Código Aberto, como tários, o processo de desenvolvimento era anárquico e
o Linux Park e FISL 8.0. E percebi que está sem um road map claro e nenhuma preocupação com
cada vez mais latente o amadurecimento da comuni- datas para entrega. Havia também a percepção de que
dade de Código Aberto. Mesmo no FISL, onde antes os fundamentos econômicos do Código Aberto eram
havia muito conteúdo ideológico e emotividade, hoje intangíveis, a chamada gift economy.
a maioria das discussões e apresentações já são muito Hoje, sabe-se que nos projetos de maior sucesso,
pragmáticas. Todos saem ganhando com isso. cerca de 90% dos desenvolvedores mais ativos estão na
A maturidade do movimento de Código Aberto pode folha de pagamento da própria indústria de software.
ser simbolizada pelo crescimento e maturidade do Li- Também existe uma organização clara, com road map
nux, que começou sem maiores pretensões. O email definido (os exemplos da Linux Foundation, Eclipse
de Linus Torvalds, em 25 de agosto de 1991, dizia que Foundation e Apache Software Foundation são prova
seu sistema operacional era apenas um hobby, e não disso) e está claro que existem, sim, modelos de negó-
se tornaria nada profissional. cio que podem ser construídos em cima do contexto
de Código Aberto.
A cada dia diminui o A sinergia entre a indústria e a comunidade é positiva
para todo mundo. Uma pesquisa, ainda em rascunho,
número de críticos que em elaboração por pesquisadores da Universidade de
acham que Código Pisa, na Itália, tem gerado dados muito interessantes.
Até o momento, ela está demonstrando que a sinergia
Aberto não é sério. indústria-comunidade é altamente positiva. Os proje-
tos que têm apoio da indústria têm, em média, 19 de-
Hoje, Código Aberto é uma realidade. Diversos soft- senvolvedores ativos, contra cinco dos demais projetos.
wares, como o próprio Linux, Apache, Firefox, Eclipse, Também apresentam maior atividade e demonstram
JBoss, PostgreSQL, MySQL, Sendmail e PHP, para um viés mais focado na tecnologia Java que na família
citar alguns, já fazem parte do portfólio de software de C (C e C++). A pesquisa também mostra um maior
muitas empresas. pragmatismo quanto à escolha das opções de licen-
O movimento de Código Aberto tem em seu con- ciamento: em 45% dos projetos em que empresas de
texto a inovação do processo de desenvolvimento. Exis- software participam ativamente, a licença GPL é a es-
te uma frase emblemática de Eric Raymond, em seu colhida, contra quase 75% quando o projeto é condu-
livro The Cathedral and the Bazaar, que diz: “acredito zido apenas pela comunidade. As outras licenças mais
que o golpe mais inteligente e de maior relevância do usadas são basicamente a BSD, Mozilla Public License
Linux não foi a construção do próprio kernel Linux, e a Apache License.
mas a invenção do seu modelo de desenvolvimento”. A conclusão a que podemos chegar é que está ocor-
Este novo modelo de desenvolvimento colaborativo rendo um maior amadurecimento da comunidade,
permitiu criar diversos novos e inovadores modelos de com conseqüente maior evolução e aperfeiçoamento
negócio que estão afetando e vão afetar ainda mais a do modelo de Código Aberto. Acredito que estamos no
indústria de software. caminho certo. ■
A cada dia diminui o número de críticos que acham
que Código Aberto não é sério. Alguns mitos dos seus O autor
tempos pioneiros e românticos começam a ser elimi- Cezar Taurion é gerente de novas tecno-
nados. Quando começamos a debater Código Aberto logias aplicadas da IBM Brasil. Seu blog está
com mais intensidade, por volta de 2000 ou 2001, havia disponível em http://www-03.ibm.com/de-
veloperworks/blogs/page/ctaurion.
quase um consenso de que os desenvolvedores que atu-
30 http://www.linuxmagazine.com.br
Monitoramento de redes com Nagios
Vigiando os fios
CAPA
Mantenha-se à frente dos problemas de rede com a
versátil ferramenta de monitoramento Nagios.
por Joe Casad e Pablo Hess
S
e você é responsável por mais de uns poucos PCs, provavelmente já
percebeu que seria interessante monitorar o estado da sua rede automa-
ticamente. Você inclusive já deve ter implementado um sistema como
esse. Os administradores profissionais já possuem suas próprias ferramentas
de monitoramento preferidas, e os usuários domésticos não precisam se pre-
ocupar com isso. Então, por que dedicar uma matéria de capa ao Nagios?
O mundo de TI já está cheio de ferramentas comerciais de monitora-
mento. Na verdade, grande parte do pavilhão de exposições durante a Linux
World é dedicado a ferramentas como essas, que monitoram e gerenciam
recursos de rede. Muitas delas são bastante eficientes, e não desencorajamos
ninguém de usar uma solução comercial, caso ela seja a ferramenta certa
para o trabalho.
Entretanto, é possível ir bem longe com o Linux usando produtos livres e
gratuitos, e o Nagios é um exemplo de ferramenta extremamente eficiente
que não exige pagamento. Se você estiver pensando em adquirir uma solu-
ção comercial, você precisa saber quais são as alternativas livres. Visitando os
estandes na LinuxWorld, você encontrará inúmeros folhetos, white papers e
documentos técnicos a respeito de soluções comerciais de monitoramento.
Por isso, estamos oferecendo uma contrapartida igualmente técnica a res-
peito do Nagios.
Se você acredita que não possui qualquer necessidade de usar o Nagios
porque só usa o Linux em casa, é melhor pensar novamente. Como mostra
nosso especialista em Perl Michael Schilli, na seção de programação, é pos-
sível usar o Nagios em uma escala menor, com scripts caseiros para verificar
temperaturas e enviar alertas com informações de status.
Incluímos também o GroundWork, um aplicativo GPL comercial que
facilita a configuração do Nagios e oferece uma interface mais organizada
para o usuário.
Na seção de programação, nosso ás do Perl Michael Schilli mostra como
criar seus próprios plugins para o Nagios.
Continue lendo e desbrave os detalhes do fabuloso Nagios. ■
Índice
O verdadeiro grande irmão p.32
Vigilância de sistemas
A
lgumas soluções avançadas de usuários finais ou chefes o façam”. As máquinas e serviços monitora-
monitoramento de redes são O programa monitora as máquinas dos pelo Nagios são todos definidos
vendidas por milhares de reais, da rede, verificando sintomas de através dos arquivos de configuração
e valem o investimento caso sejam possíveis problemas. Pode-se usá-lo do software. Esses arquivos contêm
capazes de manter a rede de uma em- para monitorar serviços de rede, re- ainda configurações do daemon do
presa funcionando sem interrupções. cursos das máquinas (como carga do programa propriamente dito, assim
Porém, se o objetivo for uma ferramen- processador e espaço disponível em como informações sobre os contatos
ta versátil e confiável que informe o disco) e fatores ambientais, como a que receberão os alertas dele.
administrador sobre eventos na rede, temperatura na sala dos servidores.
sem no entanto estourar o orçamento, O Nagios é facilmente extensível
a ferramenta livre de monitoramento – pode-se fazê-lo monitorar quase Instalação
Nagios pode ser a solução. todos os problemas de rede poten- No momento da redação deste arti-
De acordo com o site do Nagios, ciais. É possível exibir sua saída em go, a versão estável ideal para redes
a proposta desse programa é “...in- um gráfico ou numa tabela HTML. pequenas e médias mais atual do
formar ao administrador os proble- Até mesmo alertas podem ser en- Nagios era a 2.7. Já para monitorar
mas de rede antes que seus clientes, viados através dele, caso apareça grandes redes, com 300 ou 400 má-
Notificação de serviço
algum problema. quinas, pode ser mais interessante
Notificação de máquina
O Nagios não é exatamente uma experimentar a próxima versão, 3.0,
Comando de notificação solução de monitoramento completa, que promete grandes avanços em
de máquina
Contatos
Comando de notificação
de serviço
Comandos Períodos de tempo
mas sim um daemon que gerencia o desempenho, principalmente em
processo de monitoramento (figura 1). ambientes avantajados.
Membro
Grupo de
as máquinas e serviços que ele deve da página do projeto[1]. No entanto,
Contatos
Notific
ação
monitorar, e programas pequenos e muitas distribuições Linux, como
Notificação
Grupos de
máquinas
Membro
Máquinas Serviços plugins, obtêm e retornam as in- prise e Gentoo incluem uma versão
de
formações de status. Vários plugins do programa, e pode-se baixar os
Figura 1 Os arquivos de configuração do Nagios pré-definidos estão disponíveis no pacotes do Suse a partir dos popu-
freqüentemente referem-se a outros site, e também é possível criar os lares mirrors FTP. Muitos usuários
arquivos de configuração. seus próprios. acham mais fácil compilar o progra-
32 http://www.linuxmagazine.com.br
Nagios | CAPA
34 http://www.linuxmagazine.com.br
Nagios | CAPA
define hostgroup {
hostgroup_name linux-servers
alias Linux Server
members linux1,linux2,tux,webse
➥rver,mybox
}
Assim que tiverem sido definidas
as configurações de tempo, má-
quinas e contatos, já será possível
definir os serviços. Uma definição
de serviços especifica os recursos
a serem monitorados. É aí que
tudo que especificamos começa
Figura 2 O Nagios fornece resumos detalhados das informações de status. a se unir (exemplo 5).
36 http://www.linuxmagazine.com.br
www.baixebr.org Nagios | CAPA
cutar o plugin diretamente nela. os plugins nos servidores a serem do programa, a linha de comando
Para isso, a forma mais fácil é criar monitorados. O NRPE consiste para isso é nagios# ./check_snmp -H
conexões SSH entre o servidor em um daemon para os clientes <endereço_ip> -o <OID> -w warning
Nagios e os clientes, sem atribuir Nagios e um plugin de checagem -c critical -m :. O último argu-
senhas, e usar o SSH para chamar para o servidor. mento, -m :, é importante, mas
os plugins. O pacote de plugins É interessante compilar o plugin mal documentado. Ele impede
fornece um plugin chamado che- diretamente no servidor Nagios. Após que o plugin tente carregar MIBs
ck_by_ssh para esse propósito. descompactá-lo, digite simplesmente instalados localmente. Isso ocasio-
Para iniciar o plugin check_disk ./configure && make all. Isso cria o na mensagens de erro com todas
remotamente em outro servidor, arquivo check_nrpe, que depois pode as versões do plugin. Entretanto, é
é necessário encapsulá-lo no che- ser copiado para o diretório local necessário encontrar os OIDs certos
ck_by_ssh. A definição na linha de com os outros plugins, antes de se manualmente, seja verificando os
comando fica assim: prosseguir à configuração de um MIBs do vendedor ou por tentativa
comando respectivo: e erro com o snmpwalk.
define command { Todo esse monitoramento de rede
command_name check_ssh_disk define command{
command_line $USER1$/check_by_ é inútil se o administrador não for no-
command_name check_nrpe
➥ ssh -t 60 -H $HOSTADDRESS$ -C command_line $USER1$/check_nrpe tificado em caso de problemas. Mais
➥ “$USER2$/check_disk -w $ARG1$ -c ➥-H $HOSTADDRESS$ -c $ARG1$ uma vez, o Nagios possui uma cole-
➥ $ARG2$ -p $ARG3$” } ção de sofisticadas funções de alerta.
A cada vez que um erro é detectado
O comando check_by_ssh é iniciado Para economizar esforço, pode-se em algum local do sistema, ele inicia
localmente. Ele estabelece uma co- instalar o serviço NRPE nos clientes um complexo processo de análise. O
nexão com o servidor, e em seguida a partir dos pacotes, ou copiá-lo do software começa verificando se alguém
executa o plugin check_disk, que servidor Nagios. está ciente do erro (veja max_check_at-
se encontra instalado no servidor. Recomenda-se executar o NRPE tempts), se a parada do serviço foi pla-
O caminho com o inetd ou xinetd, e usar um TCP nejada pela interface web e se o alerta
dos plugins wrapper. O arquivo README do pacote está ativado para a hora atual do dia
em servido- NRPE contém instruções. (veja notification_interval).
res remotos Ao final, deve-se informar as checa-
é guardado gens que se deseja que o NRPE faça
na variável remotamente, em nrpe.cfg (exemplo Contatos
$USER2$, para 7). O arquivo sample contém exem- Após fazer isso, o Nagios descobre
que não seja plos (veja o exemplo 6). os contatos atribuídos à máquina, e
necessário es- Embora o NRPE seja a ferramen- confere suas configurações de notifi-
pecificá-lo. ta oficial para checagens remotas, cação para saber se os contatos devem
Outra ele possui algumas desvantagens ser notificados; em caso positivo, que
opção é o em comparação com o SSH; por tipo de notificação é esperado (veja
Nagios Re- exemplo, ele necessita de um da- notification_options).
mote Plu- emon adicional, e também exige a Finalmente, o programa verifica
gin Execu- abertura de mais uma porta. se o contato deseja ser avisado ime-
tor (NRPE), diatamente (veja notification_period).
um progra- Graças a esse esquema, ele suporta
ma cliente- SNMP um controle altamente granular das
servidor para O SNMP é a ferramenta ideal para notificações.
o Nagios que coletar informações de hardware Dependendo da máquina, hora e
executa plu- remoto. Existe um pacote de plu- contato, pode-se enviar diferentes men-
gins remotos. gin para o Nagios que fornece o sagens através de canais distintos. Para
Figura 4 A interface WAP do Para usá-lo check_snmp. enfocar esse mecanismo ainda mais, as
Nagios é capaz de é necessário Pode-se usar o check_snmp para escalas oferecem aos administradores a
enviar um alerta para
telefones celulares instalar o ser- se obter valores através do OID possibilidade de alterar a forma como
aptos a acessar a vidor NRPE, do MIB do vendedor. Seguindo o os alertas subseqüentes para programas
Internet. assim como padrão familiar de outros plugins já existentes serão feitos.
38 http://www.linuxmagazine.com.br
Nagios | CAPA
Trabalho de base
O Nagios possui uma interface web bastante básica. O GroundWork é uma
interface mais amigável e com visual profissional para essa ferramenta.
por James Mohr
A
o instalar um sistema Na- Vários projetos já tentaram Leitores cautelosos devem estar
gios[1], uma solução para criar uma interface assim para céticos quanto a um projeto de
facilitar o trabalho de configu- o Nagios, com variados graus de código aberto que também está
ração é usar um script para adicionar sucesso. Infelizmente, alguns disponível como produto comer-
as máquinas e serviços aos arquivos desses projetos perderam força cial, pois, nesses casos, a versão
responsáveis por isso. Esse método e não conseguiram acompanhar livre costuma ser apenas uma
é rápido e fácil para administradores o desenvolvimento dessa grande amostra da versão comercial, com
experientes que preferem trabalhar ferramenta de monitoramento. funcionalidade bastante reduzida.
com o vi do que clicar em uma in- Uma interface para o Nagios que Porém, felizmente o GroundWork
terface gráfica. ainda está em desenvolvimento ativo Monitor não se enquadra nessa
Porém, se a única necessidade for é o GroundWork[2]. Esse software descrição. Ele oferece toda a fun-
realizar uma pequena mudança, pode é, ao mesmo tempo, uma empresa cionalidade necessária para confi-
ser deveras incômoda a obrigatorie- e um projeto de software de código gurar e gerenciar a sua instalação
dade de se fazer login na máquina aberto. Como empresa comercial, do Nagios.
e caminhar pelos diretórios até en- a GroundWork naturalmente tem No núcleo do sistema fica a pla-
contrar um arquivo de configuração como meta o lucro. Eles oferecem taforma de aplicação Guava, que
específico. Nesses casos, uma inter- duas versões comerciais de seu pro- suporta a interação com usuários
face gráfica é muito útil, principal- duto, além da versão de código aberto através de AJAX. Isso significa que
mente quando depende apenas de disponível para download a partir do as páginas são atualizadas sem a
é um navegador web. SourceForge[3]. necessidade de serem comple-
40 http://www.linuxmagazine.com.br
GroundWork | CAPA
verá uma animação na página tion e Configuration, por exemplo. lecionar os nós e adicioná-los ao
inicial apontando para o Con- Quando se seleciona um item, sistema (ou não). Caso seja neces-
figuration EZ , que oferece uma o painel esquerdo de navegação sário, pode-se carregar nós a partir
forma facilitada de acrescentar muda de acordo. de um arquivo externo, em vez de
máquinas à rede rapidamente, Para inserir dados no sistema passar pela potencialmente demo-
através da descoberta automá- GroundWork, pode-se iniciar do rada descoberta automática.
tica de serviços e máquinas. É zero ou carregar uma instalação Um dos maiores problemas
possível atribuir nós a grupos de pré-existente do Nagios. Em nossa da interface aparece ao se adi-
nós existentes, ou deixá-los sem máquina de testes, ainda não ha- cionar nós. A lista de nós não é
atribuição (“ unassigned ”). víamos instalado o Nagios, então atualizada automaticamente. Em
O Configuration EZ bloqueia escolhemos uma instalação do vez disso, parece ser necessário
as configurações mais detalhadas, zero (fresh install); mas também fechá-la e depois abri-la nova-
mostrando apenas as opções mais testamos a instalação em uma má- mente para que sejam mostrados
básicas. Com algumas exceções, quina já com o Nagios. os novos nós.
fica-se limitado a atribuir con- Não encontramos problemas O GroundWork alega fazer uso
figurações pré-existentes (como ao carregar os arquivos de con- de AJAX para efetuar a atualização
verificações de serviços) a novas figuração pré-existentes. Apesar automática das páginas sem inte-
máquinas. Em redes onde se deseja de a versão do GroundWork tes- ração com o usuário, o que torna
somente acrescentar novos nós ou tada ser baseada na versão 2.5 esse comportamento ainda mais
outros dispositivos, e não um novo do daemon de monitoramento, decepcionante.
serviço ou monitor, essa interface ainda é possível utilizar arquivos Após executarmos a descober-
espartana é muito útil. da versão 1.x a partir da interface ta automática, todas as máquinas
Embora a configuração do mo- do GroundWork. Linux foram corretamente identi-
nitoramento básico seja bem fácil Se alguma diretiva estiver faltando ficadas. Apesar de o GroundWork
com o GroundWork, deve-se estar no Nagios 2.x, a verificação inicial ter reconhecido as estações Win-
ciente de que a tecnologia subja- mostrará o problema, possibilitando dows, ele foi incapaz de identifi-
cente ainda é o Nagios. Administra- a adição dessas diretivas a partir da car seus sistemas operacionais, o
dores experientes compreenderão interface gráfica. que rendeu, ao final, apenas um
o modo de operação do Ground- Se for preferível carregar uma grupo: “Linux Servers”. Todavia,
Work com bastante facilidade. instalação pré-existente do Na- pode-se acrescentar grupos de
Entretanto, os iniciantes devem gios, pode-se atualizar a configu- máquinas literalmente em alguns
dedicar algum tempo a adquirir ração atual do GroundWork com segundos, o que reduz bastante
uma maior familiaridade com o objetos de sua configuração do esse problema.
Nagios antes de usar o Ground- Nagios, ou limpar (ou dar um pur-
Work de forma eficiente. ge) nas informações relacionadas
O GroundWork opera por uma ao Nagios no banco de dados do Administração
interface web. O frame esquerdo da GroundWork, substituindo todo O GroundWork foi feito para ad-
janela abriga o menu de navegação, o conteúdo do arquivo de confi- ministração. É possível criar gru-
e a área de trabalho propriamente guração do Nagios. pos de usuários, o que dá acesso
dita fica à direita (figura 1). Ao adicionar nós pela descober- ao sistema. Os privilégios depois
No alto da janela fica a barra de ta automática, pode-se selecionar são determinados pelos papéis.
navegação (chamada de menu em uma rede inteira, ou simplesmente Para cada papel, são definidas
vários pontos). Ela se modifica de um bloco de endereços IP. Como subscriptions. Embora os papéis
acordo com a parte do sistema que a rede usada no teste era relativa- sejam cumulativos, eles definem
estiver sendo visualizada. mente pequena, configuramos o somente as aplicações (porções
Ao entrar no sistema, o ad- GroundWork para varrer apenas do sistema) que o usuário pode
ministrador começa na página os primeiros 50 endereços IP, o acessar. Por exemplo, pode-se
identificada como Home no can- que foi completado em menos de conceder a um papel acesso à in-
to superior esquerdo da tela. Ao um minuto. terface do Nagios, permitindo que
clicar no logo do GroundWork, Cada nó encontrado pelo ele veja o status das máquinas e
um menu se abre, mostrando as GroundWork é listado na inter- serviços, mas impedindo que ele
principais áreas, como Administra- face gráfica; depois, é possível se- faça alterações.
42 http://www.linuxmagazine.com.br
�������������������
���������������������
���������������������������������������������������������������������������������
���������������������������������������������������������������������������������
�����������������������������������������������������������
��������������������������������������������������������
���������������������������
�����������������������������������������
��������������������������������
CAPA | GroundWork
44 http://www.linuxmagazine.com.br
www.baixebr.org
Desktop 3D
Outra visão
ANÁLISE
O ambiente desktop 3D Looking Glass oferece
uma nova visão da área de trabalho.
por Fabrizio Ciacchi Th
ais
Ro
ch
a-
ww
w.
sx
c.h
u
O
s ambientes desktop 3D, como Usuários do Ubuntu têm pacotes indivi- as de trabalho podem habitar regiões
Compiz[1] e Beryl[2], são um duais para cada componente disponível de uma única imagem panorâmica
novo tópico popular na comu- no mesmo site, e outros usuários podem (figura 2). Clicando-se com o botão
nidade Linux. Porém, esses dois softwares usar o pacote genérico para Linux. esquerdo no lado direito ou esquer-
apenas começaram a explorar as possibi- Após instalar o Looking Glass atra- do da área de trabalho, o usuário é
lidades de uso da terceira dimensão para vés do script de instalação contido no levado à parte adjacente da imagem.
exibir e organizar informações. pacote baixado, é possível executá-lo Um clique direito na barra de tarefas
Um dos primeiros – e mais sofistica- de três formas diferentes. A primeira mostra a imagem inteira, a partir da
dos – projetos de desktop 3D é o Looking requer que já haja um gerenciador qual é possível escolher uma área de
Glass[3] (LG3d), criado por um pro- de janelas em execução, e abrirá o trabalho (como mostra a figura 2).
gramador da Sun, Hideya Kawahara. LG3D com o comando lg3d-app, di- O uso da perspectiva é mais um re-
Após mostrar seu passatempo a seus gitado em um terminal. A segunda curso interessante do LG3D. Não apenas
superiores, Hideya foi agraciado com forma é semelhante, porém abre o os objetos possuem profundidade, como
uma equipe de desenvolvedores para gerenciador da Sun em tela cheia, também a própria área de trabalho. O
auxiliá-lo na criação do LG3D. com o comando lg3d-app-full. Por eixo Z acrescentado à área de trabalho
O Looking Glass teve sua primeira último, para incluir no GDM ou
versão estável (1.0) liberada recente- KDM a opção de iniciar o LG3D,
mente. Vamos analisar alguns de seus são necessários os comandos:
recursos mais interessantes.
# ln -s /caminho/até/o/lg3d /usr/
➥ share
Instalação /usr/share/lg3d/bin
Por ser inteiramente feito em Java, o ./postinstall
LG3D pode rodar em Linux, Windows
e Solaris. Para apenas conhecer o am-
biente, é possível utilizar o LiveCD Visual Figura 1 A barra de tarefas fica localizada no
disponível em [4]. Os nada modes- Na parte de baixo da tela do Looking centro do ambiente do Looking Glass.
tos requisitos mínimos de instalação Glass fica a barra de tarefas (figura 1). À
incluem um processador de 1.4 GHz, esquerda localiza-se o menu do LG3D,
512 MB de memória e uma placa ace- oferecendo o acesso a aplicativos da
leradora 3D com 128 MB de memória, mesma forma que qualquer ambiente
além de um driver de vídeo (no Linux) desktop. Ao lado do menu há ícones para
com suporte a OpenGL 1.2 (sendo a as ferramentas mais usadas, seguidos
versão 1.3 a recomendada). dos ícones dos aplicativos abertos. No
Também é possível baixar o Mega canto direito da barra fica a bandeira
Bundle[5], um pacote espaçoso (aproxi- pirata usada para sair do LG3D.
madamente 150 MB) que inclui a JDK, Um recurso muito interessante desse Figura 2 É possível selecionar uma área de traba-
as bibliotecas java3d e o LG3D, e deve ambiente desktop é o suporte ao papel lho movendo-se entre as regiões de uma
funcionar em qualquer distribuição. de parede panorâmico. Múltiplas áre- única imagem panorâmica.
46 http://www.linuxmagazine.com.br
Sexta e última aula da preparação LPI
TUTORIAL
Configure compartilhamentos de rede e aprenda a
administrar a segurança do sistema na última aula da
série de preparação para a certificação LPI nível 1.
por Luciano Siqueira
48 http://www.linuxmagazine.com.br
www.baixebr.org LPI | TUTORIAL
50 http://www.linuxmagazine.com.br
LPI | TUTORIAL
bluefish-1.0.5.tar.bz2: A soma
➥ coincide Por exemplo, para alterar as valida- Os atributos da senha também po-
des de senha para a conta “ataliba”: dem ser alterados através do comando
Como no caso das assinaturas PGP, chage, através dos argumentos:
é fundamental que o arquivo MD5 # passwd -x 30 -n 1 -w 7 -i 7 ➧ -m: Mínimo de dias até que o
➥ ataliba
tenha sido copiado de fonte segura, usuário possa trocar uma senha
indicada pelo próprio desenvolvedor modificada;
do programa. A opção -e provoca a expiração ➧ -M: Número máximo de dias que
imediata da senha e -d apaga a senha a senha permanecerá válida;
Senhas para a conta especificada. ➧ -d: Número de dias decorridos
As definições sobre a vida útil de Quando a opção -g é usada, a em relação a 01/01/1970 em que
senhas e aspectos relacionados são senha do grupo especificado é alte- a senha foi mudada. Também
armazenadas no arquivo /etc/shadow rada; seguido de -r, remove a senha pode ser expresso no formato
(quando usado o sistema de senhas e, de -R, restringe o acesso a todos de data local (dia/mês/ano).;
shadow). Cada linha corresponde a usuários. Essa tarefa só pode ser re- ➧ -E: Número de dias decorridos
uma conta, em campos separados alizada pelo superusuário ou pelo em relação a 01/01/1970 a partir
por :, representando: administrador do grupo. do qual a conta não estará mais
➧ Nome de acesso; A conta especificada pode ser disponível. Também pode ser
➧ Senha criptografada; bloqueada através da opção -l e li- expresso no formato de data
➧ Dias decorridos entre 1º de janei- berada pela opção -u. O estado da local (dia/mês/ano);
ro de 1970 e a última alteração conta pode ser verificado fornecen- ➧ -I: Inatividade, tolerância de
da senha,; do-se a opção -S: dias após a senha ter expirado até
➧ Número de dias até que a senha que a conta seja bloqueada;
deva ser alterada; # passwd -S ataliba ➧ -W: Dias anteriores ao fim da va-
ataliba P 05/03/2006 1 30 7 7
➧ Número de dias após o qual a lidade da senha nos quais será
senha deve ser alterada; Essa saída representa: emitido um aviso a respeito.
➧ Número de dias antes da expira- ➧ ataliba: Login referente à conta; Por exemplo, para determinarmos
ção da senha quando o usuário ➧ P: Um P significa que o usuário a data de bloqueio de uma conta, o
será avisado; possui uma senha utilizável; NP comando adequado seria:
➧ Número de dias após a expiração significa que ele não possui qual-
da senha quando a conta deve quer senha; L representa uma # chage -E 04/05/2006 ataliba
ser bloqueada; conta bloqueada;
➧ Dias decorridos entre 1 de ja- ➧ 05/03/2006: Data da última mu- O uso do chage é restrito ao super-
neiro de 1970 e a data em que dança de senha; usuário (root). Porém, usuários co-
a conta foi bloqueada; ➧ 1: Limite mínimo de dias da muns podem usar o chage com a
➧ Campo reservado. senha; opção -l para checar as definições
Além de alterar senhas, o coman- ➧ 30: Limite máximo de dias da de suas respectivas contas, como
do passwd também pode alterar essas senha; mostra o exemplo 10.
definições, através das opções: ➧ 7: Dias de aviso Tanto passwd quanto chage entram
➧ -x dias: Número máximo de ➧ 7: Limite de dias de inatividade em modo de configuração interati-
dias que a senha permanecerá após a senha ter expirado até a va se não forem passadas opções.
válida; conta ser bloqueada. O usuário assumido será sempre o
➧ -n dias: Mínimo de dias até que
o usuário possa trocar uma se- Exemplo 10: Verificação das definições
nha modificada; de conta por um usuário comum
➧ -w dias: Dias anteriores ao fim $ chage -l ataliba
da validade da senha, nas quais Maximum: 30
será emitido um aviso a respeito Minimum: 1
Warning: 7
da expiração de senha;
Inactive: 1
➧ -i dias: Inatividade, tolerân- Last Change: Mai 03, 2006
cia de dias após a senha ter Password Expires: Jun 02, 2006
expirado até que a conta seja Password Inactive: Jun 03, 2006
Account Expires: Abr 05, 2006
bloqueada.
52 http://www.linuxmagazine.com.br
www.baixebr.org LPI | TUTORIAL
atual, caso um usuário não seja es- host local), FORWARD (para pa- a regra intercepta os pacotes que
pecificado como argumento. cotes sendo roteados pelo host não corresponderem à condição;
local) e OUTPUT (para pacotes ➧ -p <protocolo> ou --protocol
Atualização de programas gerados no host local). Essa é <protocolo>: Define o protocolo.
Como nenhum programa é imune a a tabela utilizada para cons- Pode ser tcp, udp, icmp ou all. Se
falhas, é recomendado instalar todas trução de firewalls; o protocolo for precedido de !, a
as correções disponibilizadas pelos ➧ nat: Para pacotes que criam no- regra intercepta os pacotes que não
desenvolvedores. Programas desatu- vas conexões. Contém as chains corresponderem à condição;
alizados com falhas conhecidas são embutidas PREROUTING, OUTPUT e ➧ -i <interface> ou --in-interface
alvos fáceis para invasão e possível POSTROUTING; <interface>: Interface através da
dano ao sistema. ➧ mangle: Para alterações especia- qual o pacote chegou. Se o nome
Todas as principais distribui- lizadas de pacotes. Contém as da interface for seguido do sinal
ções mantêm atualizações para chains INPUT, OUTPUT, PREROUTING, + (interface+) aplicará a todas
seus programas compilados. O FORWARD e POSTROUTING. interfaces cujos nomes come-
anúncio das atualizações geral- A tabela de atuação é indicada cem por interface. Se o nome
mente é feito através de email, através da opção -t do comando da interface for precedido de !,
recebido mediante cadastro no iptables. Se nenhuma tabela for a regra intercepta os pacotes que
site da distribuição. especificada, a tabela assumida será não corresponderem à condição.
Grupos especializados em se- a filter. As operações dentro de uma Se -i interface não existir, todas
gurança também informam sobre chain são determinadas através dos as interfaces serão assumidas;
falhas e procedimentos necessários seguintes argumentos-comando: ➧ -o <interface> ou --out-interface
para correção. O CERT (Computer ➧ -A: Adicionar regra na chain; <interface>: Interface através da
Emergency Response Team)[3] e o ➧ -I: Inserir regra numa posição qual o pacote será enviado. Se o
BUGTRAQ[4] divulgam questões específica dentro da chain; nome da interface for seguido
pertinentes a falhas e correções ➧ -R: Substituir regra na chain; do sinal + (interface+) aplicará a
de sistemas. ➧ -D: Apagar chain; todas interfaces cujos nomes co-
➧ -N: Criar chain personalizada; mecem por interface. Se o nome
Filtragem de Pacotes – iptables ➧ -X: Apagar chain vazia; da interface for precedido de !, a
A filtragem de pacotes de dados em rede ➧ -P: Definir política para uma regra intercepta os pacotes que
permite controlar o fluxo das transmis- chain embutida; não corresponderem à condição.
sões através de regras específicas. Dessa ➧ -L: Listar a(s) regra(s) inscritas Se -i interface não existir, todas
forma, é possível criar um firewall ou em uma chain; as interfaces serão assumidas;
um redirecionamento do tipo NAT ➧ -F: Apagar todas as regras em ➧ -j <ação> ou --jump <ação>: Tar-
(Network Address Translation). uma chain; gets (ações) para o(s) pacote(s)
O programa utilizado para criação ➧ -Z: Zerar os contadores de pacotes. interceptados.
dessas regras é o iptables. É necessá- em todas as regras de uma chain Targets comuns para firewalls
rio que o kernel em uso seja capaz de Especificações de regras (intercep- são:
trabalhar com filtragem de pacotes, tam os pacotes que corresponderem ➧ ACCEPT: Permite a passagem
o que é regra nos kernels recentes. a descrição dada): normal do pacote;
O item de configuração do kernel ➧ -s <endereço> ou --source <ende- ➧ DROP: Descarta o pacote;
para filtragem de pacotes é Network reço>: Endereço de origem do pa- ➧ -m <módulo> ou --match <módulo>:
Packet Filtering. cote. Pode ser um nome de rede, Usar módulo estendido módulo.
Para cada tipo de operação há uma nome de host, IP de rede/másca- Há muitos tipos de módulos de
tabela específica. Cada tabela contém ra de rede ou simplesmente um controle adicionais e opções extras
chains (correntes), onde são definidos endereço IP. Se um endereço for para cada um deles. Um muito
targets (ações) para os pacotes que precedido de !, a regra intercepta usado para firewalls é o módulo
corresponderem a determinada regra os pacotes que não corresponde- state, cuja opção --state <estado>
na corrente. São as tabelas naturais rem à condição; permite determinar qual a relação
filter, nat e mangle: ➧ -d <endereço> ou --destination de um pacote com as conexões
➧ filter: É a tabela padrão. Con- <endereço>: Endereço de destino existentes. Possíveis valores para
tém as chains embutidas INPUT do pacote. Mesmo formato de -s. estado são INVALID (o estado não
(para pacotes que chegam ao Se o endereço for precedido de !, pode ser determinado), ESTABLI-
Liberar para entrar pela interface eth0 somente os pacote pertencentes (ESTABLISHED) ou relacionados (RELATED) a uma conexão existente:
iptables -t filter -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED \
-s 0/0 -d 0/0 -j ACCEPT
54 http://www.linuxmagazine.com.br
LPI | TUTORIAL
authpriv.* /var/log/secure
➧ -l: Mostra todas as portas abertas (que devem ser nomes de contas de
a conexões; Essa entrada fará com que todas usuários existentes no sistema).
➧ -c: Execução contínua, renova as as mensagens relativas a authpriv
informações a cada segundo. sejam armazenadas no arquivo Sistema de senhas shadow
O netstat é capaz de obter e /var/log/secure . O uso do sistema de senhas shadow
mostrar várias outras informações É importante que os arquivos de proporciona maior segurança, visto que
(tabelas de rotas, estatísticas de log críticos em /var/log/* não pos- o arquivo onde as senhas são armaze-
interface etc.). Mais detalhes so- sam ser lidos ou escritos por usuários nadas (/etc/shadow) não oferece leitura
bre sua operação podem ser con- comuns. Portanto, devem ter a per- para usuários comuns (-rw-r-----) e
sultados na página manual (man missão octal 600 (-rw-------). essas estão sob forte criptografia.
netstat). Algumas mensagens mais graves O uso de senhas shadow é verifi-
são enviadas por email para o usu- cado pela letra x no campo de senha
Objetivo 1.114.2: ário root. Para que outro usuário do usuário em /etc/passwd. Caso o
Segurança do Host também receba essas mensagens sistema não use senhas shadow, é
de segurança, basta acrescentá-lo necessário instalar o pacote shadow
syslog como um alias de root em /etc/ password suite (já presente na grande
Em geral, todas as mensagens do aliases (ou /etc/mail/aliases): maioria das distribuições) e executar
serviço de sistema syslog são impor- o comando pwconv para converter as
tantes para checar e garantir o bom root: ataliba, palimercio senhas antigas para o novo formato.
funcionamento do sistema. Porém,
a facilidade authpriv é especialmen- Para que o redirecionamento tenha Desativando serviços de rede
te importante, pois é responsável efeito, deve ser executado o coman- Daemons de serviços de rede que não
por informar questões relativas à do newaliases. estão sendo utilizados representam
mudança e autenticação de usuá- No exemplo, as mensagens de segu- um risco adicional de invasões que
rios. Configuração de authpriv no rança destinadas a root serão enviadas pode ser evitado. Uma das maneiras
arquivo /etc/syslog.conf: para os usuários ataliba e palimercio de desativar servidores desnecessários é
�����
������
�������������
���������
TUTORIAL | LPI
Exemplo 12: Saída do comando nmap aumentado até o limite hard. Se não for
$ nmap localhost especificado -S ou -H, o limite indicado
será definido para ambos.
Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-05-08 01:39 BRT
Interesting ports on localhost (127.0.0.1): Opções comuns de ulimit:
(The 1666 ports scanned but not shown below are in state: closed) ➧ -a: Mostra os limites atuais;
PORT STATE SERVICE ➧ -f: Especifica o número máxi-
631/tcp open ipp mo de arquivos que poderão ser
6000/tcp open X11
criados pelo shell;
➧ -u: O número máximo de pro-
Exemplo 13: Uso detalhado do nmap cessos disponíveis ao usuário;
# nmap -sS -O localhost ➧ -v: O montante máximo de me-
mória virtual disponível ao shell
Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-05-08 01:50 BRT Para se estabelecer em 100 o limite
Interesting ports on localhost (127.0.0.1):
(The 1666 ports scanned but not shown below are in state: closed) máximo de processos:
PORT STATE SERVICE
631/tcp open ipp ulimit -Su 100
6000/tcp open X11
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X Permitir que o usuário acresça esse
OS details: Linux 2.4.0 - 2.5.20, Linux 2.6.3 - 2.6.7 (X86) limite até o máximo de 200:
Nmap finished: 1 IP address (1 host up) scanned in 3.240 seconds ulimit -Hu 200
tirar a permissão de execução do script Objetivo 1.114.3: Segurança Se nenhuma opção for fornecida,
que os inicia. Primeiro, o serviço deve a Nível de Usuário o recurso assumido será -f (limite de
ser terminado, e depois executado o Além do cuidado com as permissões arquivos criados). Sem um valor de
comando chmod -x script. e senhas do usuário, controlados limite, ulimit mostrará o limite soft
Para serviços disparados pelo servi- com as ferramentas passwd, usermod, atual para a opção fornecida.
dor inetd, basta comentar (acrescen- umask etc., outras medidas podem
tar o caractere #) à linha referente ao ser tomadas para aumentar a dispo- Considerações finais
serviço em /etc/inetd.conf. nibilidade da máquina, seja ela uma Apenas as configurações mais funda-
Por exemplo, para desativar o ser- estação ou servidor. mentais do Samba serão exigidas para
vidor telnet em /etc/inetd.conf: Usuários comuns podem provo- a prova, como compartilhar o diretório
car lentidão e até panes no sistema do usuário e impressoras. Quanto ao
#telnet stream tcp nowait se utilizarem exageradamente os re- NFS, é necessário conhecer a sintaxe
➥ root /usr/sbin/tcpd in.telnetd
cursos da máquina. Semelhante ao do arquivo /etc/exports e a utilização
controle de espaço em disco exercido do comando exportfs.
De forma semelhante, os serviços através do uso de cotas, os limites de Em relação a segurança, aparece-
controlados pelo servidor xinetd podem memória, a criação de arquivos e os rão na prova questões como bloqueio
ser desativados no arquivo de configura- processos também podem ser limita- de serviços e inspeção de pacotes
ção /etc/xinetd.conf, na opção disable dos através do comando ulimit. instalados. Alguns comandos pouco
correspondente ao serviço. O ulimit é um comando embutido conhecidos também são abordados,
Para desativar o servidor FTP em no bash. Os limites são válidos para como chage e ulimit. ■
/etc/xinetd.conf, a entrada corres- a sessão do shell atual, assim como
pondente no arquivo seria: para sessões e processos disparados Mais Informações
a partir dela. Geralmente, os limites
ftp { [1] Internic:
são estabelecidos no login, através http://www.internic.net/
disable = yes
socket_type = stream do arquivo /etc/profile.
[2] Fapesp, Registro-BR:
protocol = tcp Para cada recurso, pode ser estipu- http://www.registro.br/
wait = no lado um limite soft e um limite hard,
user = root [3] CERT: http://www.cert.org
especificados pelas opções -S e -H, res-
server = /usr/sbin/vsftpd [4] BUGTRAQ:
} pectivamente. O limite hard não poderá
http://www.securityfocus.com
ser aumentado, e o limite soft poderá ser
56 http://www.linuxmagazine.com.br
www.baixebr.org Ext4 | TUTORIAL
TUTORIAL
O próximo sistema de arquivos da família Ext oferece melhor desempenho
e sistemas de arquivo maiores. Você está preparado para o Ext4?
por Marcel Hilzinger
O
Linux ganhou muito com Enquanto isso, diversas iniciativas um fork do código, com a conse-
a introdução do Ext2, e o ofereciam a esse sistema de arqui- qüente criação do Ext4. Essa es-
Ext3 foi o primeiro sistema vos avanços fundamentais demais tratégia permite que os usuários
de arquivos com journal a entrar para serem facilmente integrados por todo o mundo continuem
no kernel. Ao longo dos anos, a ao código, porém importantes de- usando o Ext3 estável, enquanto
família Ext (Extended, estendi- mais para serem ignorados. os desenvolvedores integram e
da) de sistemas de arquivo teve A solução proposta pelos de- testam uma nova rodada de me-
um importante lugar no Linux, e senvolvedores foi a realização de lhorias. O Ext4, próxima geração
continua sendo uma
escolha bastante po-
pular por parte dos
usuários ao redor do
mundo. Porém a ve-
nerável base de có-
digo por trás do Ext
está mostrando sinais
da idade. Vários me-
ses atrás, desenvolve-
dores começaram a
debater o problema
de acrescentar no-
vos recursos ao Ext3,
mantendo sua esta-
bilidade e a compa-
tibilidade com códi- Figura 1 O Ext4 grava um arquivo de 1 GB mais rápido que o ReiserFS em uma operação de gravação
gos mais antigos[1]. em bloco. O Ext4 é bem mais veloz que o Ext3.
Figura 2 Um teste de resistência do Bonnie++ avalia quantos arquivos o sistema de arquivos consegue criar ou apagar em um
segundo. O Ext4 alcança as melhores marcas.
58 http://www.linuxmagazine.com.br
Ext4 | TUTORIAL
Caixinha virtual
TUTORIAL
A
virtualização vem ganhando algumas versões do VMware [1], sistema Windows® (incluindo o
popularidade como técnica para ou difíceis de usar, como o Xen. Vista). Os sistemas hospedeiros
simplificar a administração de Alternativas como o Qemu geral- incluem o Windows XP e distribui-
sistemas. As ferramentas de virtualiza- mente não conseguem oferecer ções Linux com kernel 2.4 ou pos-
ção simulam uma máquina autônoma desempenho adequado em am- terior, mas apenas em plataformas
independente do sistema hospedeiro. bientes de produção. de 32 bits (aparentemente, há uma
Infelizmente, vários programas A empresa alemã Innotek[2] re- versão para 64 bits em desenvolvi-
de virtualização são caros, como centemente deu um passo à frente no mento). Testamos a versão 1.3.8 do
preenchimento desse VirtualBox (a mais recente até o
nicho, lançando seu fechamento deste artigo), para ve-
sistema de virtualiza- rificar se o programa corresponde
ção VirtualBox[3] sob aos ambiciosos objetivos de seus
a GPL (veja também desenvolvedores.
o quadro 1). A empresa
descreve o VirtualBox
como uma ferramenta Recursos
gratuita e amigável, Diferentemente do VMware Works-
que oferece suporte a tation , o VirtualBox não gerencia
uma grande variedade máquinas virtuais como abas dentro
de sistemas hóspedes de uma janela; em vez disso, ele
e hospedeiros. mostra os sistemas hóspedes em
Podem ser hóspe- múltiplas janelas independentes
des do VirtualBox ( figura 1). Mas há semelhanças
todas as distribui- entre as duas ferramentas: assim
Figura 1 O VirtualBox abre máquinas virtuais como instâncias inde- ções Linux popula- como o VMware, o VirtualBox
pendentes em janelas separadas, permitindo que o usuário res, além dos BSD’s, trata os sistemas virtuais como
rode diferentes sistemas operacionais ao mesmo tempo. o OS/2 e qualquer instâncias independentes.
60 http://www.linuxmagazine.com.br
VirtualBox | TUTORIAL
Quadro 1: Questões de shots, ou Hostkey para deixar a má- finidas (figura 2). No lado direito da
licenciamento quina virtual (que por padrão é a janela, há mais configurações para
A Innotek oferece dois “sabores” do Virtu- tecla [Ctrl] direita) estão disponíveis a máquina virtual, na aba Details. É
alBox: a Open Source Edition (OSE), com no menu File | Global Settings. possível ativar mais funções, como o
código-fonte sob a GPL, e a versão binária Para criar uma nova máquina suporte a áudio (as opções são ALSA
de código fechado, lançada sob a VirtualBox
Personal Use and Evaluation License. virtual, clique no menu VM e em e OSS), a quantidade de memória
seguida no botão New. Isso inicia de vídeo (configurável até 32 MB),
A empresa permite que se use essa variante
com propósitos pessoais e acadêmicos, o Virtual Machine Wizard, um as- e compartilhamentos RDP.
gratuitamente; todos os outros usos estão sistente para configurar parâmetros O software possui uma abordagem
sujeitos ao pagamento de uma licença, como o nome da máquina virtual, muito interessante para o gerencia-
após um “razoável” período de avaliação o espaço em disco que ela poderá mento de dispositivos USB (figura
de “algumas semanas”. A vantagem da
variante paga é que ela oferece recursos utilizar e a alocação de memória, 3). Para listar todos os dispositivos
valiosos, como diretórios compartilha- além de se especificar o sistema USB ligados à máquina, junto com
dos e suporte a USB, RDP e iSCSI. operacional hóspede. seus descritores de fabricante e pro-
Como o VirtualBox não verifica o duto, apenas clique no ícone Add
usbfs /proc/bus/usb usbfs devgid=
➥<GID_do_grupo_vboxusers>,de espaço disponível na partição física from, na barra de ferramentas do
➥vmode=664,noauto 0 0 ao criar discos dinâmicos, é neces- lado direito.
sário certificar-se de que há espaço Para usar o dispositivo necessá-
Após um mount usbfs, os pre- físico suficiente antes de informar rio na máquina virtual, basta cli-
parativos já estão terminados, e um tamanho de disco virtual para a car nele. O menu Remote permite
é possível rodar o VirtualBox. Po- criação de uma nova máquina. aos usuários especificar se desejam
rém, no caso do OpenSuse 10.0, Ao se configurar a memória, tam- compartilhar o dispositivo para uso
que ignora as instruções para o bém é necessário tomar cuidado, pois remoto (via USB sobre RDP). Se
sistema de arquivos USBFS pre- o software de cada máquina virtual essa opção for ativada, é possível
sentes em /etc/fstab, é necessá- vai usar sua memória alocada de plugar um dispositivo, como um
rio remontar o USBFS com um forma exclusiva. Se forem iniciadas pendrive, por exemplo, ao com-
pequeno script que pode ser exe- múltiplas máquinas virtuais que, em putador remoto em uma sessão
cutado na inicialização: conjunto, ultrapassem o espaço de RDP, e acessar o dispositivo pela
memória disponível, uma das máqui- máquina hóspede.
#!/bin/bash nas pode vir a travar ou fechar, e até Em nosso laboratório, o supor-
/bin/umount usbfs
/bin/mount usbfs mesmo os processos do hospedeiro te a USB causou alguns efeitos
exit 0 podem vir a ser terminados. colaterais incomuns. Em um dos
Clicar em Finish informa o Vir- casos, o mouse USB do sistema
Salve o script como usbfsstart. tual Machine Wizard para acres- hóspede parou de funcionar após
sh em /etc/init.d/, e crie um link centar a nova máquina virtual com iniciarmos uma máquina virtual,
simbólico para o diretório de runlevel os parâmetros básicos especificados voltando apenas após desligarmos
adequado (normalmente, /etc/init. para a lista de máquinas virtuais de- o sistema hóspede e recarregarmos
d/rc5.d/).
Configurações
Para iniciar a interface gráfica do
VirtualBox ( figura 2), é possível
selecionar tanto Sistema | Inno-
tek | VirtualBox no menu do seu
ambiente desktop, quanto digitar
VirtualBox (virtualbox, no Gentoo)
na linha de comando; não são ne-
cessários privilégios de root.
As configurações globais (Global Figura 4 A função de redimensionamento automático do desktop modifica auto-
Settings), como os diretórios padrão maticamente o tamanho da janela do sistema hóspede, de acordo com o
(Default Folders) de imagens e snap- tamanho da janela.
62 http://www.linuxmagazine.com.br
VirtualBox | TUTORIAL
Acesso mais
SYSADMIN
seguro
Use o sistema de autenticação por Digest no
Squid e evite a exposição de senhas.
por Emanuel dos Reis Rodrigues
64 http://www.linuxmagazine.com.br
Squid | SYSADMIN
à rede mundial de computadores, Em termos de segurança, a au- dos vários formatos: crypt, md5, sha,
garantindo a transparência sobre o tenticação por Digest não substitui a blowfish, clear e outros. Contudo,
uso da Internet corporativa. criptografia por SSL/TLS, pois esses nenhum desses é compatível com
últimos são muito mais confiáveis. O o hash do método Digest. O Squid
Serviço de acesso Digest não é capaz de resolver todos
os problemas de insegurança na au-
irá pesquisar o login na base LDAP,
solicitando o retorno de um campo
à Internet tenticação do Squid, mas aumenta-a para comparação com a resposta
Para servir Internet aos usuários de uma significativamente, com baixo custo enviada pelo Digest. Esse campo é
rede, o software livre mais utilizado é e pouca sobrecarga. simplesmente um atributo do usuário
o Squid. Esse proxy web é capaz de que possa armazenar uma cadeia de
prover acesso à Internet sem que os
usuários precisem buscar diretamente
Funcionamento do caracteres com o tamanho mínimo
de REALM:{hha1} mais os 32 caracteres
o conteúdo das páginas, permitindo Digest com Squid do hash. Esse campo é passado para
com isso o armazenamento das pági- O Digest é um sistema de autenti- o squid_ldap_digest, e deve conter o
nas num cache – com a conseqüente cação baseado em desafio e resposta seguinte formato: realm:{hha1}hash,
aceleração do acesso às mesmas – e o (figura 1). No caso do Squid, que não como por exemplo:
controle de acesso dos usuários, com é diferente das demais implementa-
filtros e mecanismos de autenticação. ções de Digest, o usuário, utilizando Planeta Terra:{hha1}253a0909ab7dbb
A tabela 1 mostra as categorias de au- um navegador, faz uma requisição ➥dba534f46b8d52d5e7
tenticação disponíveis para o Squid. ao proxy para uma página, www.linu-
É importante lembrar que cada uma xmagazine.com.br/faq/, por exemplo, Ao obter uma resposta, o Squid
dessas categorias possui vários módu- que retorna o desafio: Proxy Authenti- compara os realms; se forem diferen-
los de autenticação. cation Required tipo Digest, o realm, tes, ele informa que a senha é inválida,
o nonce e o qop (tabela 2). e se forem iguais, o restante é testa-
O problema e a Após receber o desafio, o navegador
solicita ao usuário seu login e senha,
do em seguida. O segmento {hha1}
é necessário, mas o squid_ldap_di-
escolha do mecanismo e emprega o seguinte algoritmo: gest o elimina, mantendo apenas o
A maioria das implementações do hash, que é md5(login:realm:senha),
Squid com OpenLDAP são feitas A1 = login:realm:senha ou a senha em texto puro, no caso
A2 = GET:/faq/
usando o método basic de autentica- do uso sem criptografia (não reco-
ção HTTP (basic_auth). Apesar de hashA1 = md5(A1) mendado).
manterem a conexão entre o Squid hashA2 = md5(A2) De posse do hash do valor A1 vindo
e o LDAP em SSL ou loopback, o do servidor LDAP, o Squid calcula
reponse = md5(hashA1:nonce:nc:
tráfego de senhas entre o navegador ➥cnonce:qop:hashA2) novamente o valor:
e o proxy ocorre em Base64, permi-
tindo que invasores consigam cap- Isso significa que o mecanismo md5(hashA1_vindo_do_LDAP:nonce:nc:
turar e reverter as senhas para uso Digest gera um hash MD5 do valor ➥cnonce:qop:hashA2)
indevido. Somado à presença dos especificado em A1 e outro daquele
inseguros hubs, esse cenário pode de A2. Em seguida, gera um terceiro e o compara com o valor de respon-
se tornar altamente perigoso. hash, dessa vez com os valores do se calculado previamente, tendo
O método de autenticação NTLM primeiro hash de A1, nonce, nc, cnon- assim o resultado da autenticação
possui a vantagem da facilidade de inte- ce qop e o segundo hash, de A2. Esse (figura 1).
gração com máquinas Windows, porém, terceiro hash é a resposta (response)
em redes heterogêneas, com máquinas que será enviada ao Squid, que é o Implementação
Linux e Windows, esse modelo pode que realmente lhe interessa. Vamos agora implementar esse méto-
comprometer as máquinas Linux. Uma do de autenticação para o proxy Squid.
boa alternativa aos dois métodos citados
é o Digest. O Digest utiliza o algoritmo
Integração com Como o digest do Squid 2.5 não suporta
LDAP, e é o mais recente no momento
HMAC, que faz uso de hashes MD5 da OpenLDAP da escrita deste artigo, demonstraremos
combinação de informações dinâmicas A senha do usuário no OpenLDAP como implementar essa solução usando
com a senha e o login do usuário, para costuma ser guardada em um cam- partes do código da versão 3 do proxy
transportar seus dados na rede. po chamado userPassword, em um web, ainda em desenvolvimento.
66 http://www.linuxmagazine.com.br
Squid | SYSADMIN
➥e,dc=com,dc=br
Senha: suasenha
$base = “dc=linuxmagazine,dc=com,dc=br”;
$dn = “uid=fulano,ou=usuarios,dc=linuxmagazine,dc=com,dc=br”;
$server = “localhost”;
$dn_admin = “cn=admin,dc=linuxmagazine,dc=com,dc=br”;
$senha_admin = “suasenha”;
$realm = “Planeta Terra”;
$user = “fulano”;
$senha = “senhalogin”;
$ds=ldap_connect($server) or die (“Nao foi possivel estabelecer conexao com $server !”);
ldap_set_option($ds,LDAP_OPT_PROTOCOL_VERSION,3);
if ($r) {
echo “Inclusao do Digest executada com sucesso para o usuario $user : “;
echo $realm . “:” . “{hha1}” . $hash;
} else {
echo “erro ao incluir Attributo Digest!”;
}
?>
ticação será solicitada: Forneça a trada do login e realm incluindo Considerações Finais
senha para o proxy: Planeta Terra as aspas. Se correr tudo bem, ele A principal intenção deste artigo
em 10.0.0.1:3128 trará o hash: é exemplificar o modelo de au-
Evidentemente, o nome e tenticação Digest, suportado por
a senha do usuário devem ser "fulano": "Planeta Terra" um grande número de serviços, e
aqueles que criamos nos passos d7e7a8f04c18cc1e0ad5ac83798d452c capaz de proporcionar uma maior
anteriores. segurança na validação de senhas
O exemplo 1 mostra um script em trânsito pelas redes. Em caso
Problemas? em PHP que pode ser usado de problemas durante os procedi-
O script digest_ldap_auth precisa para adicionar o campo digest mentos, o autor deste artigo ficará
receber como parâmetro o login e ao LDAP. feliz em ajudar. ■
a realm. É possível testar seu fun-
cionamento na linha de comando, Recomendações
com o comando: Toda estrutura deve possuir suas Mais Informações
políticas. Seria interessante agre- [1] Squid: http://www.
# /usr/lib/squid/digest_ldap_auth gar a possibilidade de implanta- squid-cache.org/
➥-b “ou=usuarios,dc=linuxmagazine ção de um mecanismo para troca [2] OpenLDAP: http://
➥,dc=com,dc=br” -F “uid=%s” -D “c de senhas dentro de um tempo www.openldap.org/
➥n=admin,dc=linuxmagazine,dc=com, determinado, garantindo que os
➥dc=br” -W /etc/secret -h usuários troquem suas senhas e,
➥localhost -v 3 -A gecos -e se possível, que elas sejam testa- O autor
das por outro mecanismo, como Emanuel dos Reis Rodrigues é assessor
Logo após entrar com o co- a Cracklib, por exemplo, para ga- de TI no Centro de Tecnologia da Informa-
ção do Governo do Estado de Roraima.
mando, o script irá esperar a en- rantir sua segurança.
68 http://www.linuxmagazine.com.br
www.baixebr.org
Barreiras de escrita
Organizando a fila
SYSADMIN
Um bom disco rígido e um sistema de arquivos com journal não
eliminam totalmente a perda de dados. É preciso ir além.
por Martin Steigerwald
Stephanie - www.pixelio.de
S
istemas de arquivos com de armazenamento, enquanto o dos podem não estar tão seguros
journal oferecem alguns dispositivo pode fazer alterações quanto se imagina.
importantes benefícios aos na ordem das requisições de escrita Os desenvolvedores de sistemas
usuários, mas também põem alguns de forma a otimizar o desempenho. de arquivos e os fabricantes de dis-
problemas sutis, como a necessida- Se o sistema falhar em um ponto cos rígidos estão cientes desse pro-
de do sistema de arquivos manter em que o journal não esteja em blema, e várias soluções e ajustes
um registro que reflita o estado das compasso com a seqüência real já foram empregados. Uma solução
operações de escrita no dispositivo das operações de gravação, os da- no estilo “força bruta” consiste
simplesmente em
Transação 1 Transação 2 Transação 3 esvaziar o cache de
escrita antes e depois
Adiciona entrada no diretório Aloca espaço de memória Muda entrada no diretório
Aumenta espaço na memória Grava dados de cada operação de
gravação, o que efe-
tivamente elimina
Adiciona arquivo Adiciona mais dados Renomeia o arquivo o cache sem desati-
INICIA APLICA INICIA APLICA INICIA APLICA vá-lo na camada de
hardware.
Uma solução me-
lhor e mais veloz, e
que vem recebendo
bastante atenção dos
Figura 1 O sistema de arquivos grava transações individuais, como a criação de um arquivo, de forma
desenvolvedores, é
sucessiva no journal. As transações podem ter o estado de completadas ou não iniciadas. As garantir que as re-
completadas são marcadas por uma operação de gravação contígua. quisições de grava-
70 http://www.linuxmagazine.com.br
Barreiras de escrita | SYSADMIN
72 http://www.linuxmagazine.com.br
www.baixebr.org Barreiras de escrita | SYSADMIN
�����������
��������� ����������� ��� ����������� ������
���
���� ��� ��� ������� �� ��� ��� ��������� ��� ����
��� ���������� �� ���� ��� ���������
������ ������ �������
�� ������ �� ����
�� ������ �� ����
�� ������� �� ������ �����
�� �����
�� ������ �� ���� �� ��
�� �����������
�� ������� ��� ������
� ���� �� ������ �����
������������ ������
������
����������� ������� ������
Plugins
Plugando no Nagios
PROGRAMAÇÃO
M
uitos administradores de Na maioria dos casos, a insta- Ao ser ativado por uma requisição
redes já experimentaram lação de um agente do Nagios no HTTP, o script chama o comando
aquela situação em que o servidor a ser monitorado requer iostat do Linux, enviando parte
colega não técnico na sala ao lado acesso a sua shell. Entretanto, se da saída gerada de volta para o
de repente grita: “Minha Internet desejarmos monitorar a atividade cliente, que no caso é o plugin do
caiu!”. Evidentemente, uma possível de um servidor web contratado que Nagios. O plugin examina essa sa-
solução para isso seria verificar se o não permite acesso por SSH, ainda ída e utiliza o código de saída para
roteador realmente está se comuni- há uma saída. informar ao Nagios se há ou não
cando com o provedor de acesso, e um problema.
se os servidores DNS estão respon- Estatísticas de I/O O script CGI iostat.cgi utiliza a
dendo. Porém, usar o Nagios para O exemplo 1 mostra o script agente função tap para chamar o comando
monitorar esses fatores (figura 1)é iostat.cgi, que pode ser inserido iostat com os valores 1 e 2 (linha 8).
muito mais racional e eficiente. no diretório CGI do servidor web. Devido aos valores de intervalo (1) e
Exemplo 1: iostat.cgi
01 #!/usr/bin/perl -w
02 use strict;
03 use Sysadm::Install qw(:all);
04 use CGI qw(:all);
05 use Regexp::Common;
06
07 my ($saida, $erro, $rc) =
08 tap “iostat”, 1, 2;
09
10 $saida =~
11 /avg-cpu.*?avg-cpu/gs;
12
13 print header();
14
15 for my $chave (
16 qw(user nice sys
17 iowait idle)
18 ) {
19 if ($saida =~
20 /\G.*?($RE{num}{real})/gs) {
21 printf “%s %s “, $saida, $1; Figura 1 A página de visualização geral do Nagios mostra que os testes locais foram
22 } completados com sucesso, mas o roteador e tudo além dele encontram-se
23 } incomunicáveis.
74 http://www.linuxmagazine.com.br
Plugins de Nagios | PROGRAMAÇÃO
Exemplo 2: check_iostat
01 #!/usr/bin/perl
02 use strict;
03 use LWP::Simple;
04 use Log::Log4perl qw(:easy);
05 use Nagios::Clientstatus;
06
07 my $versao = “0.01”;
08 my $cliente =
09 Nagios::Clientstatus->new(
10 help_subref => sub {
11 print “Uso: $0 “,
12 “url\n”;
13 },
14 version => $versao,
15 mandatory_args =>
16 [“url”],
17 );
18
19 my $url =
Figura 2 O iostat mostra quanto tempo a CPU esteve ociosa, e com que freqüência foi 20 $cliente->get_given_arg(
necessário esperar o disco rígido. 21 “url”);
do contador (2), ele mede o desempe- Carga máxima 22
23 my $dados = get $url;
nho da CPU e de I/O do disco rígido No lado do Nagios, o plugin do 24
duas vezes a cada segundo, criando exemplo 2 usa o LWP::Simple para 25 if (! $dados) {
26 print
a saída mostrada na figura 3. chamar o script CGI do servidor 27 “Falha ao obter $url\n”;
O primeiro teste retorna o valor mencionado acima, captura a linha 28 exit $cliente->exitvalue(
médio desde a última reinicialização de saída e executa um split para 29 “unknown”);
da máquina, enquanto o segundo separá-la em campos, que então 30 }
31
é mais interessante para o Nagios, são guardados na hash valores. Se 32 my %valores = split ‘ ‘,
pois coleta dados de desempenho a disponibilidade da CPU estiver 33 $dados;
por um segundo, enquanto o co- abaixo de 50, o plugin retorna um 34
35 my $status =
mando está em execução. A coluna estado crítico, enquanto valores até 36 $valores{idle} < 50
%ocioso mostra por quanto tempo 80% retornam apenas um alerta. O 37 ? “critical”
a CPU permaneceu disponível, e mesmo princípio pode ser aplicado 38 : $valores{idle} < 70
%esperaIO mede quanto tempo a ao valor de iowait, mas os valores 39 ? “warning”
40 : $valores{iowait} > 20
CPU precisou esperar pelo disco rí- limite são 10 e 20 porcento. 41 ? “critical”
gido. Do ponto de vista do usuário, O módulo do CPAN Nagios:: 42 : $valores{iowait} > 10
altos valores em %ocioso e baixos Clientstatus elimina parte da car- 43 ? “warning”
valores em %esperaIO são o melhor ga sobre o plugin, verificando se 44 : “ok”;
45
cenário possível. ele recebeu todos os parâmetros 46 print “IOSTAT “, uc($status),
O script do exemplo 1 lê a saída do necessários. O método exitvalue() 47 “ - $dados\n”;
comando iostat e descarta o primei- também entende cadeias de carac- 48
49 exit $cliente->exitvalue(
ro conjunto de valores. Para isso, ele teres, como warning, e não apenas 50 $status);
usa a expressão regular $RE{num}{real} os valores numéricos que o Nagios
do repositório Regexp::Common para exige. Se o plugin for executado na
examinar os valores numéricos. Após linha de comando, com check_iostat na saída padrão. Note que o Nagios::
o cabeçalho HTTP obrigatório, ele -url=http://servidor/cgi/iostat.cgi, Clientstatus exige a versão 2.35 ou
retorna uma cadeia como user 2.99 ele retorna as seguintes linhas: mais recente do Getopt::Long.
nice 0.00 sys 0.00 iowait 0.00 idle
96.52. O chamado termo de largu- IOSTAT OK - user 2.99 nice 0.00
ra zero, \G (linha 20), evita que o
➥ sys 0.00
iowait 0.00 idle 96.52 Integração do plugin
mecanismo de regex volte ao início Para adicionar o novo plugin a uma ins-
do texto a cada vez, e ordena que O Nagios chama o plugin dessa talação pré-existente do Nagios, o usuá-
ele continue a busca após a última mesma forma, interpreta o valor de rio administrador precisa copiar o script
coincidência. saída e depois exibe a saída de texto check_iostat para o diretório /usr/local/
Exemplo 3: verifica_temperatura
01 #!/usr/bin/perl -w 39 $i++
02 use strict; 40 )
03 use RRDTool::OO; 41 {
04 use Getopt::Std; 42 if (
05 use Pod::Usage; 43 $dsnames->[$i] eq
06 use Nagios::Clientstatus; 44 $cliente->get_given_arg(
07 45 “dsname”)
08 my $N = “TEMPERATURA”; 46 )
09 47 {
10 my $cliente = 48 $temp = $valores[$i];
11 Nagios::Clientstatus->new( 49 last;
12 help_subref => 50 }
13 sub { pod2usage() }, 51 }
14 mandatory_args => [ 52 }
15 qw( crit warn dsname) 53
16 ], 54 my $status = “ok”;
17 ); 55
18 56 if (!defined $temp) {
19 my $rrd = 57 $status = “unknown”;
20 RRDTool::OO->new(file => 58 } elsif ($temp >=
21 “/tmp/temperature.rrd”); 59 $cliente->get_given_arg(“crit”))
22 60 {
23 my $dsnames = 61 $status = “critical”;
24 $rrd->meta_data(“dsnames”); 62 } elsif ($temp >=
25 63 $cliente->get_given_arg(“warn”))
26 $rrd->fetch_start( 64 {
27 start => time() - 6 * 60, 65 $status = “warning”;
28 end => time() 66 }
29 ); 67
30 68 printf “$N %s - %s: %s\n”,
31 my $temp; 69 uc($status),
32 70 $cliente->get_given_arg(
33 if (my ($hora, @valores) = 71 “dsname”),
34 $rrd->fetch_next()) 72 defined $temp
35 { 73 ? sprintf(“%.1f”, $temp)
36 for ( 74 : “NODATA”;
37 my $i = 0 ; 75
38 $i < @$dsnames ; 76 exit $nc->exitvalue($status);
76 http://www.linuxmagazine.com.br
www.baixebr.org Plugins de Nagios | PROGRAMAÇÃO
78 http://www.linuxmagazine.com.br
Linux.local | SERVIÇOS
Índice de anunciantes
Empresa Pág.
Celepar 15
Dextra 39
Easy Linux 43
Fracto 02
Intel 84
Itautec 07
Linux New Media 11
Linux Park 83
Linux Solutions 77
Linux World 81
LPI 55
Microsoft 09
Plugin 13
Xandros 29
80 http://www.linuxmagazine.com.br
�������������������������������
����������������
����������������������������������������������������������������� ���������������������������
Na Linux Magazine #32…
PREVIEW
DESTAQUE ANÁLISE
Wireshark
O Wireshark (antigo Ethereal) é o capturador
gráfico de pacotes mais usado em sistemas Li-
nux. Porém, o roubo de informações não é sua
única aplicação. Mostramos múltiplas utili-
dades do Wireshark em situações comuns em
ambientes de rede corporativos. ■
Na EasyLinux #09…
DESTAQUE LABORATÓRIO
82 http://www.linuxmagazine.com.br
06/2007
1º LINUX PARK 2007 p.22 VIRTUALIZAÇÃO MUDARÁ TI p.20 CEZAR TAURION p.30
O mercado brasileiro Gartner prevê crescentes Código Aberto na
de Linux e SL mudanças no futuro idade da razão
#31 06/07
Linux Magazine
Junho 2007
R$ 13,90
Assinante
€ 7,50
00031 de
ven d a p ro i b i d a
exemplar
PENSE
9 771806 942009
PARALELO
# 31
# 31
A REVISTA DO PROFISSIONAL DE TI
MONITORAMENTO DE REDES
MONITORAMENTO
Agora oferecem a melhor alternativa para criar aplicações multi-thread nos
ambientes Windows*, Linux* ou Mac OS* X. Somente os compiladores Professional
Edition da Intel oferecem recursos de otimização avançado de código e potenciali-
dades multi-threading que incluem vetorização, auto-paralelização, OpenMP*,
DE REDES
prefetching de dados, desmembramento de loops e bibliotecas altamente
otimizadas de rotinas multi-threading prontas, processamento matemático
NAGIOS
p.31
e de multimídia.
CONHEÇA EM PROFUNDIDADE O NAGIOS, A MAIS IMPORTANTE
O Compilador Intel 10.0 Professional Edition possui bibliotecas de software
GROUNDWORK
FERRAMENTA DE CÓDIGO ABERTO PARA MONITORAMENTO
que permitem a você programar no ambiente paralelo como um especialista “Dentro de uma déca-
desde o primeiro dia. Estas bibliotecas são constantemente atualizadas para uso da, um programador
» Instale e configure o Nagios e seus plugins p.32
automáticos de funcionalidades dos novos processadores. que não pensar » Interface profissional com o GroundWork p.40
“paralelo”, não será
LOOKING GLASS
O compilador e bibliotecas são pré-validados para trabalharem juntos: » Plugins personalizados usando Perl p.74
• Compiladores Intel® C++ e Fortran automaticamente paralelizam e otimizam seu código um programador.”
para melhor desempenho, para tirar máximo proveito dos processadores multi-core,
com o mínimo esforço. James Reinders
• Bibliotecas Matemáticas Intel® MKL 9.1 oferecem funções matemáticas para o ambien Evangelista Chefe de Software ACORDO NOVELL-MS p.26
LPI
te multi-thread com o melhor desempenho nas plataformas multi-core. da Intel Software Products CEO da Novell explica o significado da
• Intel® Integrated Performance Primitives 5.2 (somente para C++) são funções paralelas
parceria em entrevista exclusiva
EXT4
altamente otimizadas que aceleram o desenvolvimento de aplicações multimídia, de
criptografia e de processamento de sinais. VIRTUALBOX
VIRTUALBOX p.60
Competência e velocidade no
• Intel® Threading Building Blocks 1.1 (somente para C++) consiste de rotinas otimizadas
rival aberto do VMware
e testadas para simplificar o desenvolvimento de aplicações escaláveis e robustas com
a utilização de recursos multi-thread.
WWW.LINUXMAGAZINE.COM.BR