Expediente editorial

Diretor Geral
Rafael Peregrino da Silva
Super-hiper-ultra-mega-blaster
rperegrino@linuxmagazine.com.br
Editores
Gostou do título? Foi mesmo para chamar sua atenção para o quebra-quebra
Flávia Jobstraibizer
fjobs@linuxmagazine.com.br
que está ocorrendo entre as grandes empresas rivais do mercado de celula-
Kemel Zaidan res – encrenca cujas dimensões podem realmente ser caracterizadas como

EDITORIAL
kzaidan@linuxmagazine.com.br
Editora de Arte
“super-hiper-ultra-mega-blaster”. De um lado do ringue, Apple; do outro, fa-
Larissa Lima Zanini
llima@linuxmagazine.com.br
bricantes de celulares equipados com a distribuição Linux Android (Samsung,
Estagiário Motorola – agora Google –, HTC e quem mais se aventurar). Na prática,
Felipe Brumatti Sentelhas
fsentelhas@linuxmagazine.com.br entretanto, os canhões jurídicos da empresa de Steve Jobs estão apontados
Colaboradores atualmente para a Samsung e o seu Galaxy Tab, Motorola e HTC, apesar
Andrej Radonic, Alexandre Borges, Alexandre Santos,
Augusto Campos, Ben Martin, Charly Kühnast, Chris de (ainda) não estarem na linha de frente no que se refere às acusações da
Binnie, Dan Frost, Jon ‘maddog’ Hall, Klaus Knopper,
Kurt Seifried, Ludger Schmitz, Mike Adolphs, Ralf Apple, já estão recebendo mensagens “sutis” de que haverá encrenca pela
Spenneberg, Thorsten Scherf, Timo Dreger, Zack Brown.
Tradução
frente. Em miúdos, a Apple acusa a Samsung de ter copiado o iPad no Galaxy
Rodrigo Afonso Garcia Tab, bem como ter violado direitos autorais da empresa de Cupertino. Neste
Revisão
Ana Hunger caso, estamos falando apenas do “design” e do desenho externo do tablet, e
Editores internacionais não de violação de patentes da empresa da maçã. Como resultado, a corte
Uli Bantle, Andreas Bohle, Jens-Christoph Brendel,
Hans-Georg Eßer, Markus Feilner, Oliver Frommel, alemã proibiu a comercialização do Galaxy Tab, a priori, em toda a União
Marcel Hilzinger, Mathias Huber, Anika Kehrer,
Kristian Kißling, Jan Kleinert, Daniel Kottmair, Europeia – à exceção da Holanda, onde corre outro processo em paralelo –,
Thomas Leichtenstern, Jörg Luther, Nils Magnus.
proibição essa que ficou limitada posteriormente “apenas” à Alemanha. E,
Anúncios:
Rafael Peregrino da Silva (Brasil)
correndo por fora, encontramos uma acuada Microsoft, tentando extorquir
anuncios@linuxmagazine.com.br
Tel.: +55 (0)11 3675-2600
de fabricantes de smartphones equipados com Android a bagatela de US$
Penny Wilby (Reino Unido e Irlanda)
15 por aparelho vendido, sob o pretenso argumento de que seria dona de vá-
pwilby@linux-magazine.com rias tecnologias usadas pelo sistema operacional desenvolvido pelo Google.
Amy Phalen (América do Norte)
aphalen@linuxpromagazine.com Já escrevi alhures (http://migre.me/5vIWR) o que penso a respeito de paten-
Hubert Wiest (Outros países)
hwiest@linuxnewmedia.de
tes de software (e de patentes em geral), mas os desdobramentos da guerra
Diretor de operações de patentes deflagradas nesse segmento, além de confirmarem minha opi-
Claudio Bazzoli
cbazzoli@linuxmagazine.com.br nião a respeito desse câncer da inovação, merecem algumas considerações.
Na Internet:
A meu ver, o jogo todo tem por função a manutenção do monopólio das
www.linuxmagazine.com.br – Brasil
www.linux-magazin.de – Alemanha
ideias e, com isso, a instauração de monopólios no mercado. Dane-se o con-
www.linux-magazine.com – Portal Mundial
www.linuxmagazine.com.au – Austrália
sumidor, que não pode ter o melhor produto possível, uma vez que a empresa
www.linux-magazine.es – Espanha
www.linux-magazine.pl – Polônia
X, que teria o melhor produto, não poderá comercializá-lo com o recurso Y,
www.linux-magazine.co.uk – Reino Unido
www.linuxpromagazine.com – América do Norte
pois o mesmo foi patenteado pela empresa W, e a empresa X é muito pequena
e não tem como pagar à empresa W pela licença ou pelos royalties que lhe
Apesar de todos os cuidados possíveis terem sido tomados
durante a produção desta revista, a editora não é responsável garantiriam o direito de usar uma ideia que ela já havia tido antes para um
por eventuais imprecisões nela contidas ou por consequências
que advenham de seu uso. A utilização de qualquer material da determinado recurso, mas que não protegeu a tempo, usando o “maravilhoso”
revista ocorre por conta e risco do leitor.
Nenhum material pode ser reproduzido em qualquer meio, em
sistema de concessão de patentes. Ou, se a empresa tiver condições de pagar
parte ou no todo, sem permissão expressa da editora. Assu-
me-se que qualquer correspondência recebida, tal como car-
pelos royalties, o preço do produto ficará 10% mais caro, o que prejudicará
tas, emails, faxes, fotografias, artigos e desenhos, sejam for-
necidos para publicação ou licenciamento a terceiros de forma
a sua competitividade, deixando-o em desvantagem frente a concorrência.
mundial não-exclusiva pela Linux New Media do Brasil, a me-
nos que explicitamente indicado.
Já pararam para analisar o absurdo disso tudo? Quer coisa mais an-
Linux é uma marca registrada de Linus Torvalds. ticapitalista? Trata-se da institucionalização do monopólio de ideias,
Linux Magazine é publicada mensalmente por: pura e simplesmente, o que deixa alijados do mundo uma série de em-
Linux New Media do Brasil Editora Ltda.
Rua São Bento, 500 preendedores que não têm cacife para bancar esse jogo. A brincadeira
Conj. 802 – Sé
01010-001 – São Paulo – SP – Brasil toda acontece no Olimpo das megacorporações, que podem se dar ao
Tel.: +55 (0)11 3675-2600
Direitos Autorais e Marcas Registradas © 2004 - 2011–:
luxo de gastar somas incalculáveis em ações judiciais monumentais. E,
Linux New Media do Brasil Editora Ltda.
Impressão e Acabamento: RR Donnelley
no caso do Android, praticamente todas as vantagens que lhe confere o
Distribuída em todo o país pela Dinap S.A., fato de o sistema ser em grande parte de código aberto, acabam escor-
Distribuidora Nacional de Publicações, São Paulo.
Atendimento Assinante rendo pelo ralo do esgoto das patentes, que terminam por encarecer o
www.linuxnewmedia.com.br/atendimento produto, dificultando a sua adoção por diversos fabricantes.
São Paulo: +55 (0)11 3675-2600
Rio de Janeiro: +55 (0)21 3512 0888 Sou só eu, ou mais alguém acredita que há algo de muito podre
Belo Horizonte: +55 (0)31 3516 1280
ISSN 1806-9428 Impresso no Brasil em tudo isso? ■

Rafael Peregrino da Silva

Diretor de Redação

Linux Magazine #82 | Setembro de 2011 3

ÍNDICE

CAPA
Sempre disponível 31

Cada vez mais acessíveis, as tecnologias utilizadas por data centers

espalhados pelo mundo, hoje estão disponíveis para usuários domésticos.

Pulp: a sensação dos administradores 32

Se você usa software livre, provavelmente precisa gerenciar múltiplos

repositórios de software e manter todas as informações atualizadas. O
Pulp dá a você uma abordagem centralizada da gestão de repositórios.

Xen automatizado 36

Algumas técnicas básicas ajudam os administradores a alcançar

um bom nível de instalação do hypervisor comercial XenServer.

Gerenciamento centralizado 41

Se você gerencia muitos computadores idênticos em um parque

computacional, não gostaria de ter que atualizar cada um deles
individualmente somente para instalar uma atualização de segurança.
O Citrix Provisioning Services 5.0 oferece uma alternativa conveniente.

Cruzamento de nuvens 44

Ao configurar hospedagem em múltiplas infraestruturas de nuvem, você

evita aprisionamento ao fornecedor e ainda ganha benefícios adicionais.

4 www.linuxmagazine.com.br
 Linux Magazine 82 | ÍNDICE

COLUNAS ANÁLISE
Klaus Knopper 08 Costura dupla 48

Charly Kühnast 10
Zack Brown 12
Augusto Campos 14
Kurt Seifried 16
Alexandre Borges 18

NOTÍCIAS Por mais de 10 anos, especialistas vêm prevendo a

Geral 20 inevitável mudança do IPv4 para IPv6. NAT e CIDR
mantiveram o IPv4 no topo desde então, mas isso irá
➧ Google e Mozilla trabalham juntos para que aplicativos web se integrem
mudar no final deste ano. Para onde devemos ir?
➧ Nova versão do Ruby traz mudanças em sua licença
➧ Uma nova linguagem para consultas NoSQL
Hardware sob controle 52
➧ Twitter irá liberar o código fonte do Storm O Udev executa e gerencia seu hardware no Linux.
Explore o poderoso sistema e saiba como customizar a
configuração de seu hardware dentro das regras de udev.
CORPORATE
Notícias 22 Valor agregado 60
➧ Google compra patentes da IBM
➧ Dell abre código de sua solução para o OpenStack
➧ Red Hat lança o JBoss Application Server 7
➧ Canonical anuncia um novo programa de parcerias

Entrevista: Jon Melamut 26

Em sua primeira participação no FISL, o vice-presidente de
operações e produtos da Canonical nos concedeu uma entrevista
exclusiva onde falou dos planos da empresa para o Brasil.

Coluna: Jon “maddog” Hall 28

Coluna: Alexandre Santos 30

A ferramenta Opsi permite que administradores
gerenciem clientes Windows a partir de um servidor
TUTORIAL Linux. A versão 4.0.1 ganhou novos recursos.

Hipergerenciamento 67
REDES
Olhar atento 64

A inovadora ferramenta de gerenciamento Archipel usa o protocolo

Jabber para conversar com servidores Xen, KVM, openvZ e VMware.

PROGRAMAÇÃO
Mistura de códigos 72
É claro que você tem um firewall, mas e se um
intruso começar o seu trabalho de dentro da rede? As
ferramentas de monitoramento ARP fiscalizam mudanças
súbitas que podem indicar um ataque local.

SERVIÇOS
Editorial 03
A mistura de linguagens de programação não deve
restringir seu projeto de software. Aprenda a expor Emails 06
objetos e templates C++ ao código PHP e como registrar Linux.local 78
chamadas PHP que o código C++ possa utilizar. Preview 82

Linux Magazine #82 | Setembro de 2011 5

 Tecnologia para data centers

Sempre disponível

CAPA
Cada vez mais acessíveis, as tecnologias utilizadas por data centers espalhados
pelo mundo, hoje estão disponíveis para usuários domésticos.
por Flávia Jobstraibizer

V
ocê estranharia saber que pode possuir em sua rede
doméstica os mesmos recursos e ferramentas utili- Matérias de capa
zadas por grandes data centers? Se a sua resposta
Pulp: a sensação dos administradores 32
é sim, então saiba que isso é uma realidade cada vez mais
presente no dia a dia dos usuários domésticos. AutomatiXendo 36
Atualmente, as empresas que provêem serviços de cloud Gerenciamento centralizado 41
computing (computação em nuvem), segurança de infor-
Cruzamento de nuvens 44
mação, e outros segmentos, estão cada vez mais atualiza-
das com o mercado e utilizando ferramentas que, uma vez
sendo softwares livres, estão acessíveis para que você, usuá-
rio e leitor da Linux Magazine possa testá-las, aprender a
utilizá-las e com isso, atestar a segurança do que você poderá
potencialmente utilizar e contratar em um futuro próximo.
Nesta edição da Linux Magazine, você vai conhecer al-
gumas das ferramentas utilizadas por data centers, como é o
caso do Archipel, inovadora ferramenta de gerenciamento que
trabalha em conjunto com Xen, KVM, openVZ e VMware.
Outro destaque desta edição, e que interessará muito aos
profissionais de virtualização, é o artigo sobre XenServer,
no qual são abordadas técnicas para realizar a instalação
em larga escala – e de forma automatizada – da ferramenta.
Um aplicativo popular e muito útil, é o Arpwatch. Co-
nhecida e utilizada há muitos anos, a ferramenta possui
diversas e melhoradas versões desenvolvidas por diversos
desenvolvedores ao longo dos anos e é imprescindível no
arsenal de armas de monitoramento de rede. E se você pre-
cisa checar e manter sistemas sempre disponíveis, estude-a
e verá todo o potencial que terá nas mãos.
Os fãs de programação, também não precisam mais reclamar.
Nesta edição, trouxemos um completo tutorial de PHP com
C++. A mistura de códigos é uma realidade em diversas empresas
que possuem sistemas legados e isso não deve ser um fator limi-
tante para a continuidade de um projeto. Aprenda como obter
o máximo das duas linguagens trabalhando conjuntamente.
Com a facilidade de acesso às ferramentas utilizadas por
empresas e líderes do segmento de tecnologia, os usuários
atualmente possuem maiores chances de tornarem-se es-
pecialistas e utilizar melhor os recursos oferecidos pelos
provedores. Aproveite esta facilidade e especialize-se! ■

Linux Magazine #XX | Mês de 200X 31

 ANÁLISE | IPv4/IPv6 em dual-stack
IPv4/IPv6 em dual-stack
ANÁLISE
Costura dupla
Por mais de 10 anos, especialistas vêm prevendo a inevitável mudança do IPv4 para IPv6. NAT e CIDR
mantiveram o IPv4 no topo desde então, mas isso irá mudar no final deste ano. Para onde devemos ir?
por Ralf Spenneberg
M
uitos administradores de
sistemas não terão que en-
frentar o assunto IPv6 du-
rante os próximos dois anos, porque
eles têm endereços IPv4 suficientes
para garantir o seu acesso à Internet
4, graças a tradução de endereços de
rede (NAT). O acesso à Internet 6 não
é necessário para esses administrado-
res, porque eles não oferecem serviços
críticos para os negócios no momento.
No entanto, esse não é o caso de
todos os administradores em todas as
redes. Em alguns casos, faria sentido
para um administrador se familiarizar
com o IPv6 e adotá-lo, mas algo que
deve ficar claro para todo administra-
dor é que uma migração completa do
IPv4 para o IPv6 é algo improvável
de acontecer nos próximos 10 anos.
Posto isso, alguns novos serviços
devem ser oferecidos na Internet 6
somente em alguns anos e os adminis-
tradores vão precisar deles. Eles não
têm alternativa senão introduzir IPv6
nas suas redes. E por quais razões?
1. Sua empresa quer oferecer mais
serviços na rede e necessita de en-
dereços IPv4 adicionais para tanto.
Solicitar novos endereços não tem
sido um problema até agora, mas a
organização European IP Networks
(RIPE), em particular, só emite en-
dereços IPv4 para provedores em
48
considerável necessidade até que
os estoques sejam completamente
finalizados – o que deve acontecer
em breve. Nesse caso, empresas não
têm alternativa se não usar endereços
IPv6. No momento, essa não é uma
solução muito boa porque apenas
um pequeno percentual de usuários
com acesso a IPv6 pode ter acesso
às ofertas de sua empresa.
2. A empresa trabalha com clien-
tes e parceiros na Ásia. Em muitos
casos, corporações asiáticas introdu-
ziram uma solução de duplo NAT
há muitos anos. E por muitos anos,
alguns fornecedores na região asi-
ática atribuíram somente endere-
ços IP privados para seus clientes
e mascararam esses endereços. Os
clientes, por outro lado, usam rote-
adores para converter os endereços
IP privados usados internamente, o
que frequentemente causa proble-
mas. VPN e VoIP, em particular, são
dois serviços que causam grandes
problemas para administradores.
Com IPv6, clientes têm acesso glo-
bal a todos os sistemas, o que garante
conectividade descomplicada. Mas para
acessar os serviços da empresa, o com-
putador deve executar em dual stack
(pilha dupla). Os sistemas, que antes
só eram acessíveis via IPv4, precisam
receber um endereço IPv6 também.
Simplicidade é tudo
Os administradores devem estar se
perguntando onde conseguir endere-
ços IPv6. As pessoas com as quais você
conversa são fornecedores de endereços
IPv4. No entanto, apenas alguns ofere-
cem acesso nativo a IPv6. No momento,
esta é uma questão a ser resolvida atra-
vés de um túnel: usar o IPv4 para criar
um túnel para um provedor de túnel
IPV6, que oferece acesso à Internet 6
por meio dele. Eles também oferecem
endereços IPv6 (tipicamente na forma
de um prefixo /48) e os roteiam por
meio do túnel. A SixX [1] e a Hurrica-
ne Electric [2] servem principalmente
a consumidores corporativos.
Após o registro, irão lhe oferecer o
túnel e alguns endereços IPv6 de for-
ma gratuita (até o presente momento).
Então eles inserem esses endereços
em seus servidores whois, mantendo
a atribuição dos endereços detectá-
veis para terceiros. As maneiras de
se configurar os túneis mudam prin-
cipalmente de acordo com a ponta
do túnel no lado do cliente, caso esta
possua endereço IPv4 estático, dinâ-
mico ou mascarado de forma privada.
No primeiro caso, tudo o que
você precisa fazer no Debian é criar
um dispositivo de túnel adicional
ao criar a seguinte entrada para seu
/etc/network/interfaces:
www.linuxmagazine.com.br

iface ipv6tunnel inet6 v4tunnel
endpoint <EndIPv4doProvTunel>
local <EndIPv4Local>
address <EndIPv6Local>
netmask 64
mtu 1480
gateway <EndIPv6doProvTunel>
ttl 255
Essas linhas dão ao sistema acesso à
Internet 6 por meio do túnel. Se o pro-
vedor do túnel roteia um prefixo IPv6
através do túnel, o administrador pode
usar um daemon de anúncio de rotea-
mento ou um DHCPv6 em sua rede.
Uma alternativa é vincular en-
dereços IPv6 estáticos. Já que os
hosts agora têm conectividade IPv4
e IPv6, a solução recebe o nome de
operação em dual-stack.
Dual-Stack Lite
ou NAT64?
Apesar da escassez de endereços
IPv4, os métodos Dual-Stack Lite
(DS-Lite) e NAT64 precisam garantir
a possibilidade de os clientes acessa-
rem a Internet 4. Nos dois casos, o
provedor fornece a seus clientes um
endereço IPv6 global para o roteador
e um prefixo para os sistemas que
estiverem por trás dele. No caso do
DS-Lite (figura 1), o provedor atribui
um endereço IPv4 privado adicional
para o roteador do cliente.
O roteador, em si, usa DHCP para
distribuir endereços IPv4 privados na
rede interna. O sistema agora tem
um endereço IPv6 global e um IPv4
privado, cada um com seus gateways
que apontam para o roteador. Quan-
do um usuário acessa um website, o
sistema primeiro desempenha uma
resolução de nome. Se a resposta
contém somente um endereço IPv6,
o host usa o endereço IPv6 global para
acessar o sistema-alvo. Se a resposta
do DNS contém tanto um endere-
ço IPv4 quanto um IPv6, o sistema
operacional atual prefere IPv6 e, de
novo, utiliza-o para acessar o sistema-
-alvo. O DS-Lite entra na jogada no
caso de alvos somente com IPv4. O
Linux Magazine #82 | Setembro de 2011
Figura 1 No Dual-Stack Lite, o fornecedor economiza endereços IPv4 globais
ao manipular NAT de endereços IPv4 privados, para endereços IPv4
globais (NAT44).
cliente envia um pacote IPv4 com
seu endereço privado de origem. O
roteador então encapsula o pacote
em um pacote IPv6, utilizando a
conexão IPv6 para enviá-lo a um sis-
tema especial no lado do provedor,
que extrai o pacote IPv4 e usa NAT44
para convertê-lo em um endereço
IPv4 global. Para que isso aconteça,
o fornecedor precisa implementar
componentes Carrier-Grade NAT
(CGN) extremamente poderosos.
O sistema também costuma ser
chamado de Address Family Transition
Router (AFTR). Um administrador que
trabalhe no provedor pode implemen-
tar ATFR usando Linux e um pacote
de software AFTR do Internet Soft-
ware Consortium [3]. Uma vez que o
roteador do lado do cliente não mais
tem posse de endereços IPv4 globais,
não posso utilizar serviços como o
DynDNS ou port folding; no entanto,
quem cuida disso tudo é o IPv6, mas
de uma forma bem superior.
No caso da segunda variante,
NAT64, um fornecedor usa uma
abordagem diferente para dar aos
clientes acesso à Internet 4. O clien-
te só ganha endereços IPv6 globais
IPv4/IPv6 em dual-stack | ANÁLISE
para seu roteador e os sistemas que
residem nele. A questão importante é
que esses sistemas só usam o servidor
DNS do provedor para a resolução
de nomes, de três maneiras:
• A resolução de nomes atribui apenas
um endereço IPV6: clientes usam
seus endereços IPv6 globais para
acessar o sistema-alvo;
• A resolução de nomes retorna tan-
to um endereço IPv4 quanto um
endereço IPv6: o cliente prefere
o endereço IPv6 e o utiliza para
acessar o sistema-alvo;
• A resolução de nome retorna apenas
um endereço IPv4: nesse caso, o ser-
vidor DNS do provedor intervém:
ele faz o spoof de um endereço IPv6
adicional e acrescenta ele à resposta.
Para que isso aconteça, o servidor
depende de uma representação hexa-
decimal do endereço IPv4 e do prefixo
IPv6 previamente definido. O admi-
nistrador do servidor DNS pode usar
tanto o prefixo reservado 64:FF9B::/96
ou um espectro livre de seu próprio
estoque de endereços IPv6. O cliente
recebe os dois endereços na resposta
DNS e preferirá o endereço IPV6.
O cliente manda os pacotes corres-
49
 ANÁLISE | IPv4/IPv6 em dual-stack
pondentes para o gateway padrão do
lado do provedor, quando o roteador
identifica o endereço IPv6 que pas-
sou pelo spoof ao analisar o prefixo.
O sistema extrai o endereço IPv4
encapsulado e desempenha NAT ao
efetuar a tradução do protocolo de
IPv6 para IPv4. Os desenvolvedores se
referem a esse método como NAT64
(figura 2) e a camada necessária
de aplicação de um gateway DNS
como DNS64. Várias implementa-
ções desse tipo existem para Linux.
Um exemplo é a última versão do
BIND, que já suporta o uso como
um servidor DNS64. O componente
NAT64 pode ser manipulado tanto
pelo aplicativo que é executado no
espaço do usuário (userspace) Tay-
ga [4], quanto pelo componente
do kernel Ecdysis [5].
Um dos problemas com a imple-
mentação de NAT64 é a crescente po-
pularidade do DNSSEC, que detecta
qualquer modificação e falsificação
nas respostas DNS, ignorando-as.
NAT-PT
O documento RFC 2766 defi-
niu um NAT/tradutor de protocolo
(NAT-PT) em 2000. Ao contrário
do NAT64, ele também suporta
NAT46, o que torna possível que
não apenas sistemas IPv6 acessem
quaisquer alvos IPv4, mas também
que sistemas IPv4 acessem quais-
quer endereços IPv6. Uma vez que
o IPv4 pode ser facilmente embarca-
do em endereços IPv6 com spoof, o
NAT64 é bem simples de implemen-
Figura 2 No NAT64, o provedor faz a intermediação de um endereço IPv6
para mascará-lo para IPv4.
50
tar, mas o sentido oposto pode ser
bem mais complicado.
Os endereços IPv4 não possuem
espaço suficiente para encapsular
endereços IPV6 em endereços IPv4
com spoof, evitando que o DNS46
e NAT46 funcionem independentes
um do outro porque eles precisam
trocar informações constantemente.
Embora algumas implementações vi-
áveis existam, o RFC 2766 NAT-PT
foi alterado em 2007 (sendo mantido
apenas por razões históricas) por con-
ta de vários problemas (RFC 4966).
Para um sistema somente em IPV4,
não há atualmente uma solução dis-
ponível para o acesso a hosts disponí-
veis somente via IPv6. Um proxy em
dual-stack pode oferecer uma forma
de contornar isso: os clientes usariam
IPv4 para contatar o proxy e acessar
o sistema IPv6 alvo. No entanto, essa
técnica suporta somente protocolos
que permitem o uso de gateways na
camada de aplicação, como DNS,
SMTP, HTTP ou HTTPS.
O futuro
Já que somente uma pequena por-
centagem dos roteadores DSL exis-
tentes suportam IPv6, os provedores
precisam substituir os dispositivos
terminais do lado dos consumidores
antes de poder introduzir o IPv6 de
forma abrangente – um processo caro
o qual os consumidores não querem
pagar. Por essa razão, provedores
atrasarão a substituição o quanto
for possível, o que levará muitos
provedores de acesso a evitar a dor
de cabeça administrativa que será
oferecer seus serviços também via
IPv6. Apesar do bem-sucedido dia
do IPv6, em junho, no qual muitos
provedores ofereceram seus serviços
em IPv6 por um dia, participantes
proeminentes como Facebook, Goo-
gle e YouTube descontinuaram suas
operações em dual-stack.
Conclusão
Enquanto os maiores provedores de
serviço se recusarem a suportar o
acesso IPv6 a seus serviços, o formato
continuará desinteressante para os
consumidores. Até que isso mude,
provedores DSL provavelmente co-
meçarão a emitir endereços IPv4
privados para seus clientes, como
aconteceu na Ásia. ■
O autor
Ralf Spenneberg é instrutor free-
lancer de Unix/Linux, consultor, au-
tor e CEO de sua própria empresa de
treinamento. Ralf publicou diversos
livros sobre detecção de invasão,
SELinux, firewall e VPNs. A segunda
edição de seu último livro, VPN on Li-
nux, foi publicada recentemente.
Mais informações
[1] SixXs: http://www.sixxs.net/
[2] Hurricane Electric:
http://www.he.net/
[3] AFTR: http://www.isc.
org/software/aftr
[4] Tayga: http://www.
litech.org/tayga/
[5] Ecdysis: http://ecdysis.
viagenie.ca/
Gostou do artigo?
igo?
Queremos ouvir sua opinião.
Fale conosco em
m
cartas@linuxmagazine.com.br
zine.com r
Este artigo no nosso
osso ssite::
http://lnm.com.br/article/5693
r/artic 569
www.linuxmagazine.com.br
 ANÁLISE | Gerenciamento de hardware com Udev

Entenda o Udev

Hardware sob controle

ANÁLISE

O Udev executa e gerencia seu hardware no Linux. Explore o poderoso sistema e saiba
como customizar a configuração de seu hardware dentro das regras de udev.
por Klaus Knopper

N
os velhos tempos, drivers de seus subdiretórios. Os dois tipos prin- (sda), que tem 0 (zero) como “minor
hardware faziam com que cipais de arquivos de dispositivos são device ID” para todo o disco. Os núme-
os dispositivos se tornassem os block devices e os character devices. ros 1 e 2 são os identificadores “minor”
operacionais e acessíveis aos usuários. Block devices (b) permitem acesso das duas primeiras partições do disco.
Embora eles ainda estejam presentes, arbitrário de leitura e escrita no espa- A próxima entrada de disco (o se-
hoje em dia pensamos neles como ço do endereço do hardware, orga- gundo disco SATA – sdb) começa com
módulos – partes do kernel que po- nizados em unidades como “blocos” o identificador “minor” 16. O grupo
dem tanto ser compilados em uma (1024 bytes é o tamanho comum de floppy indica que o segundo disco é
parte estática do sistema, executados um bloco). Os exemplos mais co- um dispositivo de mídia removível, tal-
durante a inicialização ou quando muns são discos rígidos e memórias. vez um drive USB de memória flash.
um novo componente é adicionado. Character devices (c) originalmente Em vez de suportar acesso direto
O udev [1] é a ponte entre o supor- oferecem acesso de leitura e escrita de leitura e escrita para o hardware,
te ao hardware crítico do kernel e o caractere a caractere para o disposi- arquivos de dispositivos suportam
espaço do usuário (userspace). tivo, como os de dados em fita, entre controles I/O (entrada e saída), que
Neste artigo, exploro o sistema outros. Mas também são usados para são comandos que você pode enviar
udev e mostro como adicionar re- controlar recursos de hardware. para o driver do dispositivo enquanto
gras para customizar o processo de O kernel do Linux mantém con- abre o arquivo do dispositivo por meio
configuração de hardware. trole sobre qual hardware pertence de uma requisição do sistema ioctl().
a qual dispositivo, por número ao Você pode usar controles de I/O para
Dispositivos e invés de nome. Esses números são operações como particionar e apagar
sistemas de arquivos os “major device ID” e “minor device
ID”, os quais podem ser descobertos
blocos, ou reconfigurar um dispositivo.
As chamadas read/write e ioctl já
“Tudo é um arquivo”, no Linux. Essa por meio do comando: foram os únicos meios de acessar hard-
filosofia se aplica especialmente ao ware via dispositivos, mas a situação foi
acesso a hardware por meio de arquivos ls -l /dev/devicename
de dispositivos, normalmente locali- No exemplo da listagem 1, 8 é o “ma- Listagem 2: cpuinfo
zados dentro do diretório /dev ou em jor device ID” do primeiro HD SATA 01 $ cat /proc/cpuinfo
02 processor : 0
Listagem 1: IDs dos dispositivos 03 vendor_id : GenuineIntel
04 cpu family : 6
01 $ ls -l /dev/sd[ab] /dev/sd[ab][1-2] 05 model : 28
02 brw-rw---- 1 root disk 8, 0 24. Apr 21:50 /dev/sda 06 model name : Intel(R)
03 brw-rw---- 1 root disk 8, 1 24. Apr 21:50 /dev/sda1 Atom(TM) CPU Z520 @ 1.33GHz
04 brw-rw---- 1 root disk 8, 2 24. Apr 21:50 /dev/sda2 07 stepping : 2
05 brw-rw---- 1 root floppy 8, 16 24. Apr 21:50 /dev/sdb 08 cpu MHz : 800.000
06 brw-rw---- 1 root floppy 8, 17 24. Apr 21:50 /dev/sdb1 09 cache size : 512 KB
07 brw-rw---- 1 root floppy 8, 18 24. Apr 21:50 /dev/sdb2 10 ...

52 www.linuxmagazine.com.br

aprimorada com a chegada de sistemas
de arquivos virtuais de configuração,
como o procfs e devfs. Sistemas de
arquivos virtuais como esses contêm
informações mais verbais e amigáveis
sobre as configurações do hardware.
O procfs, que é padrão em todos
os sistemas Linux modernos, per-
mite que você veja informações de
processos, sistema e hardware em
tempo quase real, somente ao ler o
conteúdo dos arquivos residentes no
diretório /proc (listagem 2).
Ele também permite a configura-
ção de opções diferentes, não neces-
sariamente relacionadas ao hardware,
enquanto o sistema está em opera-
ção, como direcionamento de IP ou
gerenciamento de cache do drive.
# Enable IP-forwarding (routing)
$ echo 1 >
/proc/sys/net/ipv4/ip_forward
# Tell drive cache management
to only sync every 30 seconds
$ echo 3000 > /proc/sys/vm/
dirty_writeback_centisecs
O sistema de arquivos virtual ainda
mais novo, sysfs, suporta um nível
de interação com o hardware que vai
muito além de simples controles I/O.
Todos os dispositivos de hardware e
componentes da placa principal do
computador têm diretórios sysfs com
informações e arquivos de controle,
os quais permitem que se escrevam
scritps em Shell para controlar o
hardware. O udev é a ponte entre a
parte do kernel (como os módulos e
hardware que suportam os recursos do
mesmo) e o userpace (programas para
acessar e trabalhar com os hardwares).
Além disso, o udev tem alguns
plugins que permitem interação com
a sessão do desktop do usuário e pro-
gramas de ajuda que exigem caixas
de diálogo e pop-ups sempre que o
status do hardware mudar.
Detecção de hardware
Detectar hardware é relativamente fácil
no Linux, porque todo dispositivo de
hardware tem um número de identifi-
Linux Magazine #82 | Setembro de 2011
Gerenciamento de hardware com Udev | ANÁLISE
cação de dispositivo PCI real ou virtual, embutida contendo os IDs de dispo-
que abrange uma identificação do forne- sitivo conhecidos. O comando acima
cedor e uma identificação do dispositivo. identificou corretamente o driver do
O kernel Linux lê essas informações e kernel (ath9k) associado ao par com-
exibe-as nos subdiretórios /sys: posto pelo ID do fornecedor e pelo ID
do dispositivo (0x168c:0x002b), como o
$ cat /sys/devices/pci0000:00/
0000:00:1c.1/0000:01:00.0/vendor comando modinfo mostra (listagem 3).
0x168c Um importante papel do udev, quan-
$ cat /sys/devices/pci0000:00/ do ele encontra um novo hardware,
0000:00:1c.1/0000:01:00.0/device
0x002b
é ler a assinatura do dispositivo (PCI
ID) e procurar por um módulo que
A parte ambiciosa é identificar um contenha o ID. O udev executa, então,
driver que funcione com o dispositivo. o módulo via modprobe, a menos que
Se você sabe o ID (número identifica- ele esteja na blacklist (lista negra) em
dor) do fornecedor e do dispositivo, pode /etc/modprobe.d/*.conf. O mecanismo
usar o comando lspci com o banco de hotplug notifica que o udev tem um
dados pci.ids para procurar por nomes novo dispositivo adicionado ao sistema,
de dispositivos “legíveis para humanos”, mas sem um script especial para lidar
além do driver do dispositivo que deve com os eventos (o diretório /proc/sys/
colocá-lo em estado operacional. kernel/hotplug deve estar vazio).
$ lspci -k -d 0x168c:0x002b
01:00.0 Network controller: Pré-requisitos
Atheros Communications Inc. Apesar de não ser essencial, a maioria
AR9285 Wireless Network Adapter das distribuições envolvem serviços
(PCI-Express) (rev 01) do sistema udev em scripts que subs-
Subsystem: AzureWave Device 1089
Kernel driver in use: ath9k tituem o /dev com um pequeno disco
de memória. O disco de memória cria
No Linux, o nome do dispositivo é e remove nós de dispositivo rapidamen-
irrelevante. É importante selecionar o te; essa técnica requer que um certo
módulo do kernel que lida com o dis- arquivo seja criado (como o /dev/null,
positivo. Cada módulo tem uma tabela /dev/zero, /dev/console) sem que sejam
Listagem 3: modinfo
01 $ modinfo ath9k
02 filename: /lib/modules/2.6.39-rc4/kernel/drivers/net/
03 wireless/ ath/ ath9k/ ath9k.ko
04 license: Dual BSD/GPL
05 description: Support for Atheros 802.11n wireless LAN cards.
06 author: Atheros Communications
07 alias: pci:v0000168Cd00000032sv*sd*bc*sc*i*
08 alias: pci:v0000168Cd00000030sv*sd*bc*sc*i*
09 alias: pci:v0000168Cd0000002Esv*sd*bc*sc*i*
10 alias: pci:v0000168Cd0000002Dsv*sd*bc*sc*i*
11 alias: pci:v0000168Cd0000002Csv*sd*bc*sc*i*
12 alias: pci:v0000168Cd0000002Bsv*sd*bc*sc*i*
13 alias: pci:v0000168Cd0000002Asv*sd*bc*sc*i*
14 alias: pci:v0000168Cd00000029sv*sd*bc*sc*i*
15 alias: pci:v0000168Cd00000027sv*sd*bc*sc*i*
16 alias: pci:v0000168Cd00000024sv*sd*bc*sc*i*
17 alias: pci:v0000168Cd00000023sv*sd*bc*sc*i*
18 depends: ath9k_hw,mac80211,ath9k_common,ath,cfg80211
19 vermagic: 2.6.39-rc4 SMP preempt mod_unload modversions ATOM
20 parm: debug:Debugging mask (uint)
21 parm: nohwcrypt:Disable hardware encryption (int)
22 parm: blink:Enable LED blink on activity (int)
23 parm: btcoex_enable:Enable wifi-BT coexistence (int)
53
 ANÁLISE | Gerenciamento de hardware com Udev

disparados por detecção de hardware.

Listagem 4: udevadm monitor
Se o /dev/null ou dispositivos virtuais
01 $ udevadm monitor --property --kernel --udev
02 o monitor retornará os eventos recebidos para:
de console ou terminal, principalmen-
03 DEV - o evento no qual udev envia após o processamento da regra te, estão faltando, os scripts tendem
04 KERNEL - o uevent do kernel a criar diversos erros porque a saída
05 UDEV [1303690744.003838] add /devices/pci0000:00/0000:00:1d.7/ padrão e as mensagens de erros não
usb1/1-2 (usb)
06 UDEV_LOG=3 podem ser redirecionadas. Portanto, os
07 ACTION=add scripts de init do udev mantêm uma
08 DEVPATH=/devices/pci0000:00/0000:00:1d.7/usb1/1-2 cópia dos arquivos de dispositivos que
09 SUBSYSTEM=usb
10 DEVNAME=/dev/bus/usb/001/003 são copiados tão logo o disco de me-
11 DEVTYPE=usb_device mória /dev é montado. O udev precisa
12 PRODUCT=1221/3234/0 manter controle sobre seus próprios
13 TYPE=0/0/0
14 BUSNUM=001 arquivos de configuração e mudanças
15 DEVNUM=003 no sistema de arquivos virtuais, o que
16 SEQNUM=2272 requer opções do kernel no tempo de
17 ID_VENDOR=USB2.0
18 ID_VENDOR_ENC=USB2.0
compilação para programar o inotify.
19 ID_VENDOR_ID=1221 Para interagir com outros programas
20 ID_MODEL=Flash_Disk do userspace relacionados a informa-
21 ID_MODEL_ENC=Flash\x20Disk ções e acesso de hardware, o udev vem
22 ID_MODEL_ID=3234
23 ID_REVISION=0000 com a biblioteca de sistema libudev.
24 ID_SERIAL=USB2.0_Flash_Disk_1000000000000D8A
25 ID_SERIAL_SHORT=1000000000000D8A
26 ID_BUS=usb
Ação!
27 ID_USB_INTERFACES=:080650: As três principais ações das quais
28 MAJOR=189 o udev é responsável são adicionar
29 MINOR=2 hardware (add), remover hardware
30 KERNEL[1303690745.279285] add /devices/pci0000:00/0000:00:1d.7/
usb1/1-2/1-2:1.0/host2/target2:0:0/2:0:0:0/block/sdb (block) (remove) e alterar ou notificar sobre
31 UDEV_LOG=3 hardware existente (change). Para mo-
32 ACTION=add nitorar os resultados desses comandos,
33 DEVPATH= /devices/pci0000:00/0000:00:1d.7/usb1/1-2/1-2:1.0/
host2/target2:0:0/2:0:0:0/block/sdb
use o comando udevadm monitor. As
34 SUBSYSTEM=block opções --property, --kernel e --udev
35 DEVNAME=sdb produzem uma quantidade impres-
36 DEVTYPE=disk sionante de informações cada vez
37 SEQNUM=2285
38 MAJOR=8 que algo acontece no seu conjunto
39 MINOR=16 de hardware. Filtrei um exemplo para
40 KERNEL [1303690745.279497] add /devices/pci0000:00/0000:00:1d.7/ mostrar as partes mais interessantes
usb1/1-2/1-2:1.0/host2/target2:0:0/2:0:0:0/block/sdb/sdb1 (block)
41 UDEV_LOG=3 sobre o que acontece quando um dri-
42 ACTION=add ve de memória flash USB é plugado.
43 DEVPATH= /devices/pci0000:00/0000:00:1d.7/usb1/1-2/1-2:1.0/ O retorno do udevadm monitor (lis-
host2/target2:0:0/2:0:0:0/block/sdb/sdb1
44 SUBSYSTEM=block tagem 4) mostra o caminho de dis-
45 DEVNAME=sdb1 positivo do sistema a partir do sysfs,
46 DEVTYPE=partition números ID major e minor e nomes
47 SEQNUM=2286
48 MAJOR=8
de dispositivos sob os quais encontra-se
49 MINOR=17 a primeira partição do drive USB, /
50 KERNEL [1303690745.281684] add /devices/pci0000:00/0000:00:1d.7/ dev/sdb1. Alguns dos pares de valor
usb1/1-2/1-2:1.0/host2/target2:0:0/2:0:0:0/scsi_generic/sg1 keyword = value mostrados na lista-
(scsi_generic)
51 UDEV_LOG=3 gem 4 são variáveis de ambiente que
52 ACTION=add são exportadas para Shells de scripts
53 DEVPATH= /devices/pci0000:00/0000:00:1d.7/usb1/1-2/1-2:1.0/ e programas chamados pelo udev.
host2/target2:0:0/2:0:0:0/scsi_generic/sg1
54 SUBSYSTEM=scsi_generic Com a informação pronta, o udev
55 DEVNAME=sg1 começa a conferir as regras (rules).
56 SEQNUM=2287 As regras oferecem uma camada
57 MAJOR=21
para que o usuário atribua nomes

54 www.linuxmagazine.com.br
 Gerenciamento de hardware com Udev | ANÁLISE

representativos a cada dispositivo no As regras Os arquivos de regras, portanto, têm

/dev, permitindo sua manipulação.
Elas são especificadas por
meio dos arquivos residentes em
/lib/udev/rules.d para os padrões
pré-definidos do sistema (as quais
você pode mudar, claro) e no
/etc/udev/rules.d para opções adicio-
nais definidas pelo administrador. O
udev executa esses arquivos de regras
em ordem alfabética, mesclando os dois
caminhos citados. Nomes de arquivo
para regras geralmente começam com
um número de dois dígitos, e a maioria
termina com a extensão .rules.
Nos últimos dois anos, a sintaxe dos
arquivos .rules do udev passou por
várias modificações no que diz res-
peito a nomes de objetos e variáveis
de ambiente. Neste artigo, cubro a
versão 167 do udev.
Se os arquivos *.rules fossem sim-
ples como scripts Shell, dirigidos por
variáveis de ambientes, seria fácil
demais. Infelizmente, essa aborda-
gem seria ineficiente porque muitos
eventos podem ser disparados cada
vez que algo muda, o que pode acon-
tecer centenas de vezes por segundo.
uma sintaxe rígida, específica do
udev. Essas regras são pré-compiladas
na inicialização do udev, em vez de
avaliadas em cada evento.
Em um arquivo de regras, uma linha
de código (que pode ser dividida em
várias com o uso da barra invertida (\),
tal como nos scripts Shell) lida com
uma regra. A regra é definida por dois
tipos de declarações: matches (tabela
1) e actions (tabela 2), separadas por
vírgulas, que são checadas e executa-
das desde que a declaração anterior
retorne o valor verdadeiro (true).

Combinação* Contém
Valores “add” para dispositivos removíveis recentemente plugados;
ACTION=="valor" “change” para dispositivos já ligados, mas ainda não reportados ou
reconfigurados; “remove” para dispositivos removidos ou desativados.
DRIVER=="valor" O driver (ou módulo de kernel) em uso para a condução do dispositivo.
O nome interno do kernel para o dispositivo (normalmente o mesmo
KERNEL=="valor" nome do dispositivo no diretório /dev). Wildcards Shell como ? (caracter
arbitrário) ou * (sequência arbitrária de caracteres) são suportados.
“block”, “pmcia”, “tty”, “usb” e outros, reportados no campo
SUBSYSTEM=="valor"
SUBSYSTEM no monitor udevadm ou comando info.
Lê o nome do arquivo chave do diretório sysfs do dispositivo.
SYSFS{keyword}=="valor"
Caiu em desuso com as versões ATTR e ATTRS do udev.
Atributo de palavra-chave reportado pelo udev (normalmente lido do
ATTR{keyword}=="valor"
/proc ou /sys) para o dispositivo atualmente detectado ou identificado.
Similar ao ATTR, mas para um “dispositivo pai” (parent device), que pode ser,
ATTRS{keyword}=="valor"
por exemplo, um disco, controlador ou sistema bus contendo partições.
O mesmo que KERNEL, SUSBSYSTEM e DRIVER relacionados ao dispositivo
KERNELS, SUBSYSTEMS, DRIVERS
detectado, mas criado para dispositivos pai (parent devices).
ENV{keyword}=="valor" Uma variável de ambiente.
* Use != ao invés de == se você quiser verificar se o dispositivo é diferente.
Tabela 1: Combinações nas regras do udev.

Ação
ENV{keyword}="valor"
MODE="permissões"
GROUP="grupo"
Owner="nome_do_usuario"
SYMLIN="nome_arquivo"
SYMLIN+="nome_arquivo"
RUN="linha_comando"
RUN+="linha_comando"
ATTR{keyword}="valor"
Resultado
Configura e exporta uma variável de ambiente para o uso nas
próximas regras ou comandos. Variáveis de ambiente podem ser lidas
novamente em arquivos de rules udev por $env{keyworkd}.
Modo de permissão numérica para o arquivo de dispositivo criado em /dev.
Configura o grupo para o arquivo de dispositivo criado em /dev.
Configura o dono do arquivo de dispositivo criado em /dev.
Cria um único arquivo simbólico de ligação para o arquivo de dispositivo
adicional, associado com o dispositivo no diretório /dev.
Similar ao anterior, com a diferença de que adiciona um link a
mais, em vez de substituir todos os links por um.
Executa um comando Shell único.
Como o anterior, mas eventualmente adiciona outro comando após o
definido anteriormente, em vez de substituir todos os outros comandos.
Sobrescreve um atributo udev para as combinações subsequentes de rules udev.

Tabela 2: Ações nas regras do udev.

Linux Magazine #82 | Setembro de 2011 55

 ANÁLISE | Gerenciamento de hardware com Udev

A sintaxe, de forma geral, em uma Ao olhar para os vários arquivos de # /etc/udev/rules.d/99

linha de regras, é: regras na biblioteca /lib/udev/rules.d, -mount-backup-disk.rules

MATCH (match) == "texto", você pode se perguntar como desco- ACTION=="add", SUBSYSTEM=="block",
MATCH=="texto", ... , ações brir todos os atributos dos dispositivos ATTR{partition}=="1",
(ATTR/ATTRS) necessários para criar uma \ATTRS{serial}=="07A21A006E442637",
regra correspondente. O comando \RUN+="/bin/bash -c 'mkdir -p
Listagem 5: udevadm info /backup; mount -o umask=000
udevadm dá acesso a informações so- /dev/%k /backup'"
01 $ udevadm info --query=all
--attribute-walk -name=/dev/sdb 1
bre dispositivos específicos ligados ao
02 looking at device ‘/devices/ sistema, as quais você pode encontrar ACTION=="remove", SUBSYSTEM=="block",
pci0000:00/0000:00:1d.7/ ATTR{partition}=="1",
usando o nome do dispositivo corrente \ATTRS{serial}=="07A21A006E442637",
usb1/1-1/1-1:1.0/host8/
target8:0:0/8:0:0 :0/block/ – nesse exemplo, a primeira partição \RUN+="/bin/umount -l /backup'"
sdb/sdb1’: do segundo disco SATA/SCSI/USB
03 KERNEL=="sdb1" /dev/sdb1. O comando mostra o resul- Essa regra confere se a primeira par-
04 SUBSYSTEM=="block"
05 DRIVER=="" tado da listagem 5; abreviei a listagem tição do dispositivo recentemente adi-
06 ATTR{partition}=="1" para as partes mais relevantes da cria- cionado possui um número serial único
07 ATTR{start}=="8064" ção de regras udev. como 07A21A006E442637. Se encontrada,
08 ATTR{size}=="15638656"
09 ATTR{ro}=="0" Os atributos ATTR da listagem 5 a partição é montada como /backup.
10 [...] estão diretamente associados com O parâmetro umask para o mount li-
11 [...] o “block device” que consultei, en- bera as permissões de um sistema de
12 looking at device ‘/devices/
pci0000:00/0000:00:1d.7/ quanto os valores ATTRS são tirados dos arquivos VFAT ou NTFS para leitura e
usb1/1-1/1-1:1.0/host8/ dispositivos do hardware de origem escrita, de forma que você não precisa
target8:0:0/8:0:0:0/block/sdb’: – o disco SCSI e o subsistema de ar- ser usuário root para criar arquivos no
13 KERNEL=="sdb"
14 SUBSYSTEM=="block" mazenamento USB. O udev confere /backup. Se você usa um sistema de
15 [...] todas essas combinações ao avaliar um arquivos que suporta permissões de
16 ATTRS{removable}=="1" arquivo de regra, de forma que você arquivo, deve remover -o umask=000 e
17 ATTRS{ro}=="0"
18 ATTRS{size}=="15646720" possa usar combinações diferentes programar as permissões do diretório
19 ATTRS{events}== para chegar à melhor combinação. montado para um valor conveniente
"media_change" As ações do udev na tabela 2 po- para um usuário sem privilégios no
20 looking at parent
device ‘/devices/ dem ocorrer no momento em que o sistema. A regra de amostra para a
pci0000:00/0000:00:1d.7/ hardware é identificado (outras ações ação remove irá desmontar o diretó-
usb1/1-1/1-1:1.0/host8/ são possíveis, mas raramente usadas). rio /backup, caso ele não tenha sido
target8:0:0/8:0:0:0’:
21 KERNELS=="8:0:0:0" Para arquivos de regras, o udev su- desmontado pelo usuário, de forma
22 SUBSYSTEMS=="scsi" porta um esquema de substituição que o dispositivo possa ser realocado.
23 DRIVERS=="sd" para os valores de strings, como pode Você pode começar um backup
24 ATTRS{vendor}==" "
25 ATTRS{model}=="USB ser visto na tabela 3. imediatamente com a ação add ao
DISK 2.0 " Você encontrará um conjunto estender o primeiro comando RUN
26 ATTRS{rev}=="PMAP" completo de combinações, ações e depois da montagem com algo como:
27 ATTRS{state}=="running"
28 [...] opções de configuração do udev no
29 looking at parent ... && tar -zcPf /backup/
Linux Archieve [2]. backup-'date +'%Y-%m-%d''
device ‘/devices/
pci0000:00/0000:00:1d.7/ .tar.gz /home/work
usb1/1-1’: Escreva suas
30
31
KERNELS=="1-1"
SUBSYSTEMS=="usb" próprias regras e desmontando (umount) a partição
depois disso.
32 DRIVERS=="usb"
33 ATTRS{bMaxPower}=="200mA" Se quiser personalizar a forma com que O próximo exemplo adicionará um
34 ATTRS{urbnum}=="412" seu sistema trata um dispositivo de hard- link simbólico chamado cdrom e outro
35 ATTRS{idVendor}=="13fe"
36 ATTRS{idProduct}=="3600" ware, você pode escrever sua própria chamado dvd, se o dispositivo detectado
37 ATTRS{bcdDevice}=="0100" regra de udev. O seguinte exemplo é for identificado como um drive de CD
38 [...] uma simples regra udev para memó- ou DVD, possivelmente substituindo
39 ATTRS{manufacturer}==" "
40 ATTRS{product}== ria flash USB examinada neste artigo. um link prévio para o arquivo de dis-
"USB DISK 2.0" Neste caso, eu quero montar a positivo, de forma que o link simbólico
41 ATTRS{serial}== memória flash no ponto /backup sempre aponte para o dispositivo adi-
"07A21A006E442637
quando ela é plugada: cionado mais recentemente.

56 www.linuxmagazine.com.br

A linha END{ID_CDROM}==”?*” busca
uma variável de ambiente ID_CDROM
que não esteja vazia, o que signifi-
ca que o dispositivo foi identificado
como drive de CD ou DVD.
# /etc/udev/rules.d/
99-cdrom-link.rules
SUBSYSTEM=="block",
ACTION=="change|add",
ENV{ID_CDROM}=="?*", \
SYMLINK+="cdrom", SYMLINK+="dvd"
O próximo exemplo inicia o daemon
do bluetooth quando um dispositivo
bluetooth é plugado, e interrompe o dae-
mon quando o dispositivo é removido.
Adicionalmente, o modem se-
rial do dispositivo bluetooth con-
figurado como /dev/rfcomm3 em
/etc/bluetooth/rfcomm.conf é vinculado
a /dev/modem, de forma que programas
como o wvdial encontrem-no facilmente:
# /etc/udev/rules.d/99
-bluetooth-modem.rules
# Start/stop bluetooth daemon
on detection of bluetooth
host adapter
ACTION=="add|change",
\SUBSYSTEM=="bluetooth",
\KERNEL=="hci*",
\RUN+="/etc/init.d/bluetooth start"
ACTION=="remove",
\SUBSYSTEM=="bluetooth",
\KERNEL=="hci*",
\RUN+="/etc/init.d/bluetooth stop"
# Set modem link to bluetooth
serial device rfcomm3 only
ACTION=="add|change",
SUBSYSTEM=="tty",
\KERNEL=="rfcomm3",
SYMLINK+="modem"
O exemplo final adiciona uma
regra para criar logs de tempo e va-
riáveis de ambiente exportadas para
o /tmp/udev-env.log, as quais podem
ser úteis no desenvolvimento de shell
scripts que usam essas variáveis.
# /etc/udev/rules.d/99
-log-env.rules
ACTION=="add|change|remove",
\RUN+="/bin/bash -c '(date; env;
echo) >>/tmp/udev-env.log'"
Após adicionar novos arquivos
de regras, ou alterar velhos arqui-
vos, o udev deve notificar sobre as
Linux Magazine #82 | Setembro de 2011
Gerenciamento de hardware com Udev | ANÁLISE
mudanças [3]. Mesmo que a página Esse teste é somente para debug. Ele
do manual diga que esse passo não não executa o programa e pode dar re-
é necessário – porque o udev moni- sultados incorretos porque alguns valores
tora os diretórios de configurações podem ser diferentes ou não disponíveis
regularmente – achei útil durante em uma simulação (listagem 6).
meus experimentos, reiniciar o udev: O teste revela quais scripts seriam
sudo /etc/init.d/udev reload executados para esse dispositivo e
mostra quais variáveis estão progra-
ou
madas para a execução.
sudo udevadm control --reload-rules
Interação com o
Testes e debug usuário do desktop
O comando udevadm test executa uma
simulação em seus arquivos de con- O udev inicia todas as suas ações
figuração com o caminho completo como usuário root por padrão, en-
do dispositivo como um parâmetro. tão você não deve se preocupar com
privilégios insuficientes ao lidar com
$ udevadm info --query=path
--name=/dev/sdb1 /devices/ dispositivos. No entanto, o usuário
pci0000:00/0000:00:1d.7/ root não tem acesso ao desktop grá-
usb1/1-1/1-1:1.0/host7/ fico ao ser executado pelo usuário
target7:0:0/7:0:0:0/block/sdb/sdb1
sem privilégios, por duas boas razões:
Use o caminho para o udevadm test: ➧ O servidor Xorg tem suas pró-
$ udevadm test --action=add prias permissões de sistema, habili-
/devices/pci0000:00/0000:00:1d.7/ tando ou desabilitando acesso à tela
usb1/1-1/1-1:1.0/host7/ com “cookies”, de forma a recusar
target7:0:0/7:0:0:0/block/sdb/sdb1
que outro usuário root inicie um
run_command: calling: test programa gráfico em uma sessão já
udevadm_test: version 167 iniciada por outro usuário.
Listagem 6: udevadm test
01 parse_file: reading '/lib/udev/rules.d/40-hplip.rules' as rules file
02 (checagem de montes de outros arquivos de regras ...)
03 util_run_program: '/sbin/blkid -o udev -p /dev/sdb1' started
04 util_run_program: '/sbin/blkid' (stdout) 'ID_FS_TYPE=vfat'
05 util_run_program: '/sbin/blkid' (stdout)
06 'ID_FS_USAGE=filesystem'
07 util_run_program: '/sbin/blkid -o udev -p /dev/sdb1'
08 returned with exitcode 0
09 (outros programas de auxílio que investigam o dispositivo ...)
10 udevadm_test: ID_FS_VERSION=FAT32
11 udevadm_test: ID_FS_TYPE=vfat
12 udevadm_test: ID_FS_USAGE=filesystem
13 (outras saídas de debug do udev)
14 udevadm_test: run: '/usr/local/bin/askmount /dev/sdb1'
15 udev adm_test: run: '/bin/sh -c '/usr/sbin/rebuildfstab
-u knopper -i''
16 (mais programas definidos por RUN+=”programa” ...)
Substituição Se expande para
O nome de kernel do dispositivo (como
%k
sda1 ou video0 sem o prefixo /dev).
$env{keyword} A variável de ambiente keyword.
$attr{keyword} Ao valor contido no atributo do udev ATTR{keyword}.
Tabela 3: Substituições de valores nas regras do udev.
57
 ANÁLISE | Gerenciamento de hardware com Udev

➧ Em um ambiente multiusuário, A filosofia “multiusuário” pre- tar acesso ao display local para o
é aparentemente difícil saber qual u- vê que os usuários e o sistema não usuário root. O script na listagem 7
suário, usando qual display remoto, devem interferir nos processos é um diálogo interativo que pede
é responsável pela inclusão de um de outro usuário. Se quiser es- permissão para montar a partição
novo dispositivo. crever scripts para iniciar progra- de um pen drive USB recente-
A forma correta para um geren- mas gráficos por meio do udev, mente plugado. O chamarei com
ciamento de hardware amigável no você pode “trapacear” ao conquis- /usr/local/bin/askmount.
desktop do usuário é por meio de
programas individuais que acessam Listagem 7: askmount
informações do udev via libudev,
01 #!/bin/bash
parte da distribuição do udev. Pro- 02 # /usr/local/bin/askmount
gramas que usam o libudev podem 05 # (C) Klaus Knopper 2011
ser facilmente conferidos para even- 06 # License: GPL V2
07
tos relacionados a hardware, e então 08 # $DEVNAME (caminho absoluto), $ID_MODEL (product name)
notificados caso algo mude. 09 # and $ID_FS_TYPE (sistema de arquivos) are environment variables
Para tornar as coisas mais complexas, 10 # exported by udev.
11
você tem o dbus, um “barramento de 12 [ -n "$DEVNAME" ] || DEVNAME="$1"
sistema virtual” que recebe informa- 13
ções de udisks e upower (ambos usando 14 if [ -z "$DEVNAME" ]; then
15 echo " $0 deve ser chamado com partição como argumento, saindo." >&2
o libudev como clientes para o udev) 16 exit 1
sempre que algo acontece relacionado 17 fi
ao disco ou à gestão de energia. Progra- 18
19 # Conseguir acesso ao primeiro display que executar X
mas de desktop, como o gerenciador de 20
arquivos, podem se comunicar com o 21 export DISPLAY=":0"
dbus para saber se qualquer dispositivo 22 export XAUTHORITY=" $(ps f -C xinit -C Xorg -C X | sed -n
‘s/.*-auth \(.*\)/\1/p’ | head -1)"
de interesse aparece ou desaparece 23
sem se conectar ao udev diretamente. 24 # Checar se possui $XAUTHORITY antes de continuar.
Esse método é, atualmente, a forma 25 if [ ! -r "$XAUTHORITY" ]; then
26 echo "Sem acesso ao display local, saindo." >&2
recomendada de acessar informações 27 exit 1
de hardware do sistema udev. Do ponto 28 fi
de vista do desenvolvedor, isso irá subs- 29
30 # Solicitando permissão do usuário para montar o dispositivo.
tituir completamente o HAL (camada 31
de abstração de hardware, em inglês). 32 if zenity --question --title="Novo dispositivo encontrado"
Você ainda pode encontrar uma in- --text="$ID_MODEL\n
33 Would you like to mount $DEVNAME?" ; then
terface para o Hal ao examinar seu 34
/lib/udev/rules.d/90-hal.rules: 35 # Ponto de montagem criado,
substituindo no /dev/ por /media/ no $DEVNAME
# pass all events to the HAL daemon 36 mountpoint="${DEVNAME/\/dev\///media/}"
RUN+="socket:@/org/freedesktop/ 37 mkdir -p "$mountpoint"
hal/udev_event" 38
40 options="users"
41
Se o HAL estiver em execução, 42 # Se o sistema não suportar permissões,
o udev enviará as informações de 43 # setar o padrão para leitura e escrita para todos.
44 case "$ID_FS_TYPE" in
todos os hardwares para o socket 45 *fat|msdos|ntfs) options="$options,umask=000" ;;
associado e o HAL notificará todos 46 esac
os programas compatíveis com ele. 47
48 # Feita a montagem, informar ao usuário sobre sucesso ou falha.
Aparentemente, no Debian Testing, 49 if mount -o "$options" "$DEVNAME" "$mountpoint"; then
o HAL sequer é um programa neces- 50 zenity --info --timeout=5 --title="Dispositivo montado"
sário, e você pode removê-lo com --text="Feito, agora você tem acesso ao dispositivo.
Não esqueça de desmontá-lo antes de desconectar."
segurança. Programas de desktop 53 else
ainda conseguirão processar infor- 54 zenity --info --timeout=5 --title="Error" --text="Desculpe,
mações relacionadas ao hardware não foi possível montar $DEVNAME."
55 fi
via dbus ou diretamente do libudev.

58 www.linuxmagazine.com.br

O script usa uma variável de am-
biente que é programada pelo blkid,
ferramenta auxiliar do udev, ID_FS_TYPE
(contendo o tipo de sistema de arqui-
vos da partição) e uma variável DEVNA-
ME exportada pelo udev que contém
o caminho completo do dispositivo.
A listagem 7, que está disponível
para download no website da Linux
Magazine [4], usa o Zenity para ofe-
recer caixas gráficas de diálogo. Você
pode ainda executar o script de forma
independente do udev e testá-lo, mas
ele só consegue montar um dispositivo
de forma bem sucedida quando execu-
tado como root. Nesse caso, as variáveis
de informação ID_MODEL e ID_FS_TYPE
não estarão disponíveis, a menos que
você as configure manualmente.
Agora, crie o arquivo de regras:
# /etc/udev/rules.d/99-
askmount.rules
ACTION=="add", SUBSYSTEM=="block",
\ENV{ID_FS_USAGE}=="filesystem",
\RUN+="/usr/local/bin/askmount
$env{DEVNAME}"
Se tudo funcionar (diga ao udev
para recarregar as regras), as caixas
de diálogos exibidas pelo Zenity, ao
Figura 1:O udev permite que você
acrescente caixas de diálogo
para personalizar o processo
de inicialização do hardware.
Linux Magazine #82 | Setembro de 2011
plugar na entrada USB uma memória
flash com partições que contenham
sistemas de arquivos, serão parecidas
com as caixas da figura 1.
Persistência
Um caso de uso interessante de
regras udev, as quais estão ativadas
por padrão na maioria das distri-
buições, é atribuir nomes persis-
tentes para dispositivos específicos,
uma vez que eles foram detectados
pela primeira vez. Durante a de-
tecção do dispositivo, as regras em
/lib/udev/rules.d/*generator.rules
criam e atualizam outro arquivo
de regras contendo um número
serial único de dispositivos como
interfaces de rede, drives de CD e
DVD e discos rígidos. Ao usar os
arquivos gerados, o udev "lembra",
por exemplo, como o disco foi no-
meado, quando ele foi encontrado
pela primeira vez e sobrescreve o
nome do dispositivo de forma a
restaurar seu nome anterior. Pode
ser reconfortante saber que um
disco sempre será encontrado sob
o mesmo nome de dispositivo, sem
o impacto de outros hardwares. Por
outro lado, a numeração consecuti-
va de discos ou dispositivos de rede
pode levar a números muito eleva-
dos dependendo da quantidade de
dispositivos com a qual se está tra-
balhando. Se você perder ou que-
brar um dispositivo, o nome nunca
mais será reutilizado, a menos que
você edite o arquivo persistente
( /etc/udev/rules.d/*persistent.
rules) manualmente.
Um dispositivo de rede per-
sistente fica assim no /etc/udev/
rules.d/70-persistent-net.rules:
# USB device (rt73usb)
SUBSYSTEM=="net",
ACTION=="add", DRIVERS=="?*",
\ATTR{address}==
"00:23:cd:fd:4d:95",
\KERNEL=="wlan*", NAME="wlan1"
Se você ousar mudar o endereço
de hardware do dispositivo (usando
Gerenciamento de hardware com Udev | ANÁLISE
ifconfig debice hw ether new_mac),
o udev adicionará outra entrada
para ele.
Conclusão
Embora o udev ainda esteja em de-
senvolvimento, ele já emergiu como
uma ferramenta bem definida de
especificações de configuração, que
permite aos usuários obter informa-
ções sobre o hardware e criar scripts
para tarefas relacionadas a ele.
A interface libudev para programas
C/C++ torna possível a escrita de códi-
go que pode reagir diretamente a mu-
danças na configuração do hardware.
Com o udev, os usuários podem
manipular configurações – indepen-
dentemente do desktop – por meio
do dbus a partir da sessão do usuário
gráfico, acessando várias ferramentas
administrativas para gerenciamento
de dispositivos que dependem do
udev e do dbus. ■
Mais informações
[1] Página do udev no kernel.
org: http://www.kernel.
org/pub/linux/utils/
kernel/hotplug/udev.html
[2] Lista completa das
combinações e ações do
udev: http://www.kernel.
org/pub/linux/utils/kernel/
hotplug/udev/udev.html
[3] Dicas e truques udev
no wiki do Archlinux:
https://wiki.archlinux.
org/index.php/udev
[4] Códigos para este artigo:
http://lnm.com.br/
issues/82/askmount.zip
Gostou do artigo?
igo?
Queremos ouvir sua opinião.
Fale conosco em
m
cartas@linuxmagazine.com.br
zine.com r
Este artigo no nosso
osso ssite::
http://lnm.com.br/article/5661
r/artic 566
59
 ANÁLISE | Gerenciamento de clientes Windows com Opsi
Interoperabilidade
Valor agregado
ANÁLISE
A ferramenta Opsi permite que administradores gerenciem clientes Windows
a partir de um servidor Linux. A versão 4.0.1 ganhou novos recursos.
por Ludger Schmitz
Q
uando a versão 4.0.1 do Opsi
foi lançada, após um grande
lançamento do 4.0, não se
esperava nada de especial
de um complemento. Mas quem
pensava assim foi surpreendido pelo
gerenciador de clientes Windows de
código aberto [1]. As melhorias na
versão nova agora atendem ambientes
com um grande número de clientes.
As mudanças na versão 4.0.1 estão re-
lacionadas a ambientes distribuídos.
Conexões lentas
A mudança mais importante certa-
mente é o recurso de integrar clientes
em conexões lentas. Um cliente Opsi
típico na rede local contacta o servi-
dor Opsi depois do boot para conferir
se existe algo para ser instalado e, se
for o caso, ele monta um canal de
compartilhamento para poder insta-
lar o software. A tentativa de instalar
algo banal, como o Adobe Reader,
60
de um protocolo SMB (Samba) na
ponta errada de uma linha DSL, ou
pior, de uma conexão UMTS (rede
de celulares 3G), levaria a erros e
instalações extremamente longas,
caso a conexão fosse interrompida.
Além disso, o laptop de quem viaja
muito a trabalho nunca teria a possi-
bilidade de alcançar o servidor Opsi
pela falta de conexão de rede. Em
outras palavras, uma solução com-
pletamente diferente era necessária.
O Opsi usa cache local ou arquivos
de instalação com dados de configu-
ração. Se um cliente Opsi – em uma
rede sem fio – instala algum software,
ele primeiro usa os protocolos CIFS/
HTTPS para executar os arquivos re-
quisitados e dados em um disco local.
Para evitar a interrupção dos usuários
durante seu trabalho, isso acontece
em segundo plano com uso dinâmico
da largura de banda disponível. Isso
significa que o cliente Opsi reduzi-
rá a velocidade de download caso
alguém esteja usando a interface de
rede ativamente.
Se a conexão for interrompida, o
download é retomado em uma pró-
xima oportunidade. Esse processo
continua até que todos os arquivos
requisitados estejam disponíveis local-
mente e só aí o usuário é informado
da instalação eminente e convidado
a reiniciar a máquina. A instalação
acontece à moda típica do Opsi an-
tes do login; nesse caso, nenhuma
conexão de rede é necessária porque
todos os dados estão disponíveis local-
mente. Os resultados da instalação
são armazenados em cache local e
transferidos ao servidor em uma pró-
xima oportunidade (na próxima vez
que houver conexão de rede dispo-
nível). O software é iniciado na hora
do boot (isso pode ser desabilitado),
assim como um conjunto de outros
eventos que tentam abrir uma cone-
www.linuxmagazine.com.br
 ANÁLISE | Gerenciamento de clientes Windows com Opsi
xão – quando a interface de rede é
ativada, por exemplo.
Segurança na nuvem?
A abordagem coberta neste artigo
permite que os administradores não
somente cuidem dos laptops de uma
força de vendas externas, por exemplo,
como também integrem escritórios,
matrizes e filiais com apenas alguns
computadores na outra ponta da rede
sem fio, tudo com o gerenciador
centralizado Opsi. Isso significa que
você pode agora gerenciar e manter
localizações que poderiam repre-
sentar problemas de segurança por
falta de atualizações centralizadas.
Considerando essas novas opções,
parece lógico usar o servidor Opsi
para gerenciar um grande número
de computadores distribuídos, e o
servidor poderia ficar na nuvem para
servir a esse propósito. A tecnologia
permite essa abordagem e o Opsi
também ganhou melhorias na sea-
ra da segurança. A autenticação de
servidores e clientes, introduzida
recentemente, melhorou esse ponto
para casos em que um invasor tenta
realizar um spoof (técnica maliciosa)
no servidor Opsi e comprometer os
clientes Opsi. Apesar disso, o forne-
cedor ainda alerta aos administra-
dores para manterem as medidas de
seguranças adicionais, como VPNs,
além do uso de serviços de consulto-
ria no caso de aplicativos na nuvem.
Afinal, se um invasor comprometer o
servidor Opsi, ele passa a ter acesso
a todos os clientes conectados a ele.
Aqui e lá
Suporte gratuito para múltiplos lugares
é um recurso usado frequentemente
no Opsi. Localizações externas e um
grande número de clientes tendem
a usar seus próprios repositórios des-
centralizados de software. Os clientes
nessas localizações podem ser vincu-
lados a um repositório específico em
uma interface de gerenciamento. Após
fazer isso, o cliente então atualiza o
62
software de um repositório – ao invés
de usar toda a rede. Mas, se o cliente
é um laptop e pertence a equipe de
vendas de rua? Novamente, o lap-
top pegará o software do repositório
vinculado, mesmo que aconteça de
estar geograficamente mais perto de
outro repositório.
O próximo recurso que entra em
cena nesse momento é a vinculação
dinâmica de repositórios. Embora o
cliente permaneça vinculado para
seu repositório principal, você pode
também fornecer uma lista de repo-
sitórios que contêm o software requi-
sitado. Por meio de um algoritmo,
o cliente pode agora decidir qual
repositório de uma lista é o melhor
para ele. Uma vez que o algoritmo
pode ser definido livremente, você
tem condições de basear sua escolha,
por exemplo, no endereço de rede
ou nas taxas de latência.
Trabalho facilitado
Decidir qual software implementar
em clientes corporativos é frequen-
temente o dilema de administrado-
res de sistemas: o problema é que
normalmente eles não querem ins-
talar softwares desnecessários, mas
também não querem correr o risco
Figura 1: A janela DaemonInfo oferece ao administrador uma visão geral útil
sobre a sequência de atividades de um cliente Opsi.
de sofrer com usuários acionando
o suporte a cada vez que precisa-
rem de uma ferramenta trivial que
está faltando. Uma forma legal de
responder a isso é usar um sistema
de software sob demanda. Os ad-
ministradores podem vincular uma
seleção de produtos dentro do grupo
de software sob demanda, do qual os
usuários podem requisitar a instala-
ção em seus computadores. Os soft-
wares são instalados com privilégios
de administrador pelo cliente Opsi,
como definido pelo administrador
no pacote.
Detalhes
Os novos recursos pelos quais passei
até agora são baseados em projetos
financiados através de taxas, o que
significa que eles não se tornarão gra-
tuitos e de código aberto até que os
desenvolvedores tenham recuperado
seus custos. Além dessas extensões
comerciais, algumas melhorias me-
nores foram adicionadas diretamente
ao núcleo de código aberto do Opsi.
Para resumir, só abordarei as melho-
rias mais importantes.
Começarei com a mais notável,
que é a interface de gerenciamento.
Você agora pode armazenar as sele-
www.linuxmagazine.com.br
 Gerenciamento de clientes Windows com Opsi | ANÁLISE

ções de colunas de dados a serem Outras melhorias que valem a que você não invista em extensões
exibidos para clientes ou produtos, pena destacar, no lado do servidor: comerciais, o cliente Opsi permite
ao invés de ter que configurar isso se você quer usar o Opsi Wake-on- uma configuração mais granular da
cada vez que se reinicia o sistema. -LAN em um ambiente distribuído, interação do usuário.
A ferramenta também pode identi- irá gostar dos suportes para broadcasts Tudo isso dito, o Opsi claramente
ficar e exibir facilmente os clientes diretos na rede. As opções de con- traz avanços como uma ferramenta
que estão online, com o pressionar figuração para resolução de nomes de gerenciamento profissional de
de um botão. Formas de busca aju- foram aprimoradas para manter os clientes, tanto no que diz respeito a
dam o administrador a encontrar clientes sob alcance, apesar das di- detalhes, quanto ao escopo de apli-
os clientes mais facilmente e as ins- ferentes configurações de DHCP e cativos. E faz você pensar o que os
talações que falharam são exibidas DNS. Você também pode atribuir desenvolvedores têm em mente para
em um grupo separado. Uma busca senhas livremente para as imagens a próxima versão – talvez suporte
separada também ajuda a encontrar de boot, o que não era possível an- para clientes Linux? ■
clientes que precisam de atualizações tes, sendo este um recurso que me-
de um produto específico (quadro 1). lhora a segurança. Por fim, mesmo Mais informações
[1] Site do Opsi: http://
Quadro 1: Mostre seu trabalho www.opsi.org/
O cliente Opsi abrange componentes múltiplos que são executados ao mes-
mo tempo. Embora todos os componentes escrevam no mesmo arquivo de Gostou do artigo?
igo?
log usando o horário da gravação para diferenciação, é muito fácil perder o Queremos ouvir sua opinião.
controle sobre quem fez o quê. A introdução da extensão WAN para Opsi Fale conosco em
m
não tornou isso muito fácil; no entanto, o lado cliente agora oferece a visu- cartas@linuxmagazine.com.br
zine.com r
alização das atividades. A tarefa desempenhada por vários componentes é
exibida coletivamente em uma linha de tempo, dando ao administrador uma Este artigo no nosso
osso ssite::
visão geral útil sobre o que tem acontecido (figura 1). http://lnm.com.br/article/5654
r/artic 565

BA
SE
AD
Você está com a cabeça nas nuvens?
O
EM
SO
Nós também.
FT NG
FIL
W
AR PHISHI
TR E
OD LI
EE VR
NT
RA E
DA
ES
AÍD 30 D
A IA
AntiSpam SaaS UNODATA GRÁ S
ÁVEL TIS!
CUSTOMIZ
FLEXÍVEL E
OS
FEIT
T IS
SA EN
LINUXM VIE UM E-MA
%
100 E GAN AGAZINE@U IL PARA
ES HE + 1 NODAT
NT
MÊS G A.COM
RÁTIS
IE DE ANT .BR
CL ISPAM

Para empresas que não querem ou não

podem administrar sua infra-estrutura de e-mail
o AntiSpam SaaS UNODATA é uma ótima opção.

Disponível em Software, nuvem e Appliance

3 em 1 - AntiSpam, AntiVírus e AntiFraude
Instalação em menos de 15 minutos

(11) 3522-3011
Linux Magazine #82 | Setembro de 2011 Acesse www.unodata.com.br e veja nossos casos de sucesso. 63
 REDES | Monitoramento APR
Ferramentas de monitoramento ARP
Olhar
REDES
atento
É claro que você tem um firewall, mas
e se um intruso começar o seu trabalho
de dentro da rede? As ferramentas de
monitoramento ARP fiscalizam mudanças
súbitas que podem indicar um ataque local.
por Chris Binnie
U
m time dedicado trabalha
duro para aplicar os patches
de segurança desenvolvidos
para os softwares no seu sistema. O
firewall mantém longe os invasores
que tentam invadir a rede pela In-
ternet. Mas, você tem um sistema
equivalente para descobrir ataques
que começam de dentro da rede?
Por sorte, um pré-requisito para
quase qualquer ataque de rede é a
aquisição de um endereço IP. Para
se comunicar com sua rede de forma
útil (em vez de, por exemplo, pegar
toneladas de dados criptografados de
uma conexão sem fio), um invasor
precisa vincular um endereço IP na
rede primeiro. Isso se aplica tanto a
conexões com fio quanto sem fio. O
Figura 1 Um e-mail do Arpwatch proporciona detalhes simples sobre cada evento.
64
endereço IP pode ser um endereço
não utilizado ou até um que já está
em uso por outro dispositivo.
Se o invasor pega um endereço IP
já em uso, o objetivo normalmente é
desempenhar algum tipo de intercep-
tação ou redirecionamento de servi-
ço. Sob algumas circunstâncias, um
invasor pode tentar convencer o resto
da rede de que seu dispositivo tem a
mesma identidade que um de seus
computadores (em outras palavras,
copiar o endereço MAC devidamen-
te codificado na placa de rede pelo
fabricante e que, por acaso, é fácil de
ser alterado temporariamente).
Um ataque onde o invasor vincula
um endereço de IP existente, de for-
ma a cuidadosamente filtrar e fazer
spoof das comunicações é normal-
mente conhecido como Man-In-The-
-Middle (da sigla MITM, homem no
meio, em tradução livre), porque o
atacante coloca um dispositivo entre
o seu computador e o computador
de destino. O redirecionamento do
serviço pode ser uma simples questão
de alterar o endereço MAC para di-
zer ao seu computador para usar um
servidor de DNS diferente, de forma
que, quando você tenta se conectar ao
site do banco, você na verdade visita
um site falso e dá seus dados pesso-
ais a ele sem perceber. O ideal seria
que você fosse avisado não só quando
um endereço MAC associado a um
endereço IP mudasse, mas também
quando qualquer endereços IP que
não foi usado fosse vinculado a algum
dispositivo de forma inesperada.
Esse artigo introduz algumas ferra-
mentas úteis que usam o Address Reso-
lution Protocol (ARP), ou protocolo de
resolução de endereços, para observar
mudanças inesperadas em atribuições
de endereços IP na rede local.
Arpwatch
O arpwatch é uma ferramenta sim-
ples que observa os endereços IP na
sua rede e procura por mudanças sus-
www.linuxmagazine.com.br

peitas. O ARP constrói uma tabela
mostrando qual endereço IP é usado
por qual dispositivo, perguntando
efetivamente a todos os dispositivos
da rede local (ou domínio broad-
cast, mais precisamente) “Quem
está usando esse endereço IP?”, até
que um dos dispositivos responda
“Eu tenho esse endereço IP”. Essa
simplicidade torna o protocolo fácil
de se utilizar, mas o torna vulnerável
a abusos, como no ataque MITM
descrito anteriormente.
O Arpwatch monitora mudan-
ças nas respostas ARP e manda um
e-mail para o administrador do sis-
tema quando algo digno de obser-
vação acontece. Além de fornecer
uma forma fácil de auditar quantos
endereços IP estão em uso na rede,
é uma forma de obter alertas a partir
de diversas interfaces de uma só vez
(tanto com ou sem fio).
Note que algumas redes usam
spoofing ARP para redirecionar trá-
fego de usuários para propósitos
legítimos. Imagine, por exemplo,
que você está logando na rede de
um restaurante pela primeira vez.
Enquanto puxa a cadeira com seu
prato e, antes que o restaurante per-
mita seu acesso à Internet, você é
redirecionado para uma página de
“política de uso aceitável”, na qual
precisa concordar com os termos de
uso para ter acesso ao serviço. Ao
manter controle de cada interface,
usando um arquivo de log do mo-
mento e data em que um endereço
IP foi vinculado ao endereço MAC,
o Arpwatch pode oferecer uma visão
inestimável sobre mudanças – antes
imperceptíveis na rede.
Os logs do Arpwatch rastreiam
os endereços MAC registrados, os
endereços IP atribuídos, o horário
associado a última atividade cor-
respondente, nomes de dispositivo
(aliases ou nomes DNS) e a inter-
face da qual eles foram observados.
A figura 1 mostra os detalhes em
um e-mail gerado pelo Arpwatch.
Linux Magazine #82 | Setembro de 2011
Figura 2 Somente os fatos: o formato do log do Arpwatch.
A notificação de e-mail que o Ar-
pwatch envia pode alertar o usuá-
rio quase instantaneamente. Os
relatórios são relativamente sim-
ples e poderiam ser formatados em
mensagens SMS se necessário. A
figura 2 ilustra a brevidade dos logs
do Arpwatch.
O primeiro segmento de um ende-
reço MAC é normalmente (mas não
sempre) alocado para um fabricante
ou fornecedor de placa de rede es-
pecífico e é facilmente reconhecível
a partir de algum banco de dados
existente na Internet. Uma lista mais
formal e não tão prática de vínculos
está disponível por meio do IEEE
[1]. Essa tabela faz a identificação
de um dispositivo desconhecido
mais fácilmente para o usuário e,
em troca, mantém os alarmes falsos
em níveis mínimos.
Agora que você sabe o endereço
MAC do dispositivo de um invasor,
e potencialmente se é um laptop
ou um smartphone usando dicas do
endereço MAC do fornecedor (pre-
sumindo que ele não foi alterado),
você está a caminho para rastrear as
atividades dos dispositivos na LAN
(mesmo se ele mudar o endereço
MAC, você ao menos será alertado
sobre o dispositivo).
Arping
A ferramenta mais popular para con-
ferir endereços ARP duplicados em
uma rede local é o Arping. Como
o Ping, que manda ondas sonares
e escuta por respostas, quando as
ondas colidem com alguma coisa,
o Arping grita para a rede local
(ou domínio broadcast). Algumas
implementações de Arping, ao
invés de perguntar somente quais
endereços MAC possuem quais
Monitoramento APR | REDES
endereços IP, podem questionar
de forma inteligente, em reverso,
qual endereço IP tem qual ende-
reço MAC. Esse recurso é de im-
portância fundamental para alguns
cenários de ataque.
O seguinte exemplo pede ao Ar-
ping para procurar por endereços
MAC duplicados pertencentes a um
endereço IP:
arping -d 97.98.99.100 -I eth1
Após receber um alerta do Arpwa-
tch informando que algo mudou na
rede, esse comando deve lançar algu-
ma luz sobre os dispositivos que estão
compartilhando o mesmo endereço
IP (experimentando assim conectivi-
dade falha ou tentando algum tipo
de ataque MITM).
Por meio da interface eth1, o co-
mando envia quatro questões, per-
guntando “Quem tem esse endereço
IP?” e espera pelas respostas. A figura
3 mostra quatro respostas idênticas
mostrando que somente um ende-
reço MAC possui um endereço IP
atribuído, portanto nenhuma entrada
duplicada é visível neste momento.
ArpON
Agora que você sabe detectar e rece-
ber relatórios durante ataques ARP,
provavelmente está se perguntando
se outra ferramenta pode oferecer
uma forma mais sofisticada e auto-
matizada de combater ataques de
rede localizados. A ferramenta é o
ArpOn, ou Arp Handler Inspection.
Enquanto o Arpwatch somente relata
problemas e deixa a solução para o
administrador, o ArpON é projetado
para automatizar a resolução de pro-
blemas seguindo algumas políticas
predefinidas. Detalhes completos do
pacote, incluindo alguns diagramas
65
 REDES | Monitoramento APR
Figura 3 Respostas idênticas indicam que não há entradas duplicadas visíveis
na rede.
úteis para iniciantes, estão disponíveis
no website do ArpON [2].
Além dos recursos básicos de mo-
nitoramento ARP, o ArpON vem com
poder de fogo adicional em seu arse-
nal. Por exemplo, uma sessão ArpON
pode também, automaticamente,
detectar e resolver uma sessão de
interceptação e sequestro de e-mail
criptografado e conversas pela web.
Ao criar um novo cache de en-
tradas ARP logo no início, o ArpON
efetivamente limpa a tabela, elimi-
nando assim a possibilidade de que
o cache de entradas ARP tenha sido
corrompido com informação falsas
e incorretas (este tipo de ataque é
chamado de ARP Cache Poisoning,
ou envenenamento do cache ARP).
Ao contrário de outras ferramentas
de monitoramento do ARP, o ArpON
se recusa ativamente a atualizar no-
vas entradas sem uma referência em
um cache confiável, essencialmente
ignorando qualquer coisa que não
esteja clara, o que acaba com um
ataque antes que ele comece.
O ArpOn tem três níveis de ins-
talação. Executá-lo em um nó de
monitoramento em um dispositivo
pode oferecer proteção unidirecio-
nal, onde um daemon instalado
pode eficientemente pegar e desafiar
mudanças no cache do ARP. Com
proteção bidirecional, pelo menos
dois nós de monitoramento são ne-
cessários para queseja possível inter-
ceptar o tráfego entre os dois nós e,
assim, decifrar um ataque para reagir
de forma apropriada. Configurado
com todas as suas armas no modo
de proteção distribuído, o ArpON
precisa ser instalado e executado em
66
todos os dispositivos na rede. Vale a
pena mencionar que, neste modo,
todos os outros dispositivos que não
estiverem executando o ArpON não
serão protegidos de ataques, o que
faz dele mais adequado para uma
pequena rede que execute dispo-
sitivos homogêneos, por exemplo,
um grupo ou cluster de servidores
de e-mail em uma pequena rede
(ou subrede) própria.
O ArpON tem um projeto não
invasivo que não tenta alterar o
protocolo ARP, que foi criado para
redes de dados a muitos anos atrás e
certamente poderia ser aprimorado
para se compatibilizar aos ataques de
hoje. Não importando os problemas
associados com o ARP, ele oferece
alto desempenho por conta de sua
simplicidade. O ArpON, por outro
lado, não impede essa eficiência,
além de lidar competentemente
com redes DHCP, onde os dispo-
sitivos normalmente são associados
a um novo endereço IP toda vez
que se conectam. Dado o poder do
ArpON, vale a pena lembrar que
desabilitar partes do software para
criar seu próprio laboratório de teste
em uma rede local pode ser também
um excelente exercício.
Conclusão
O ArpON está atualmente dispo-
nível para Linux, Mac OS X, Free-
BSD, NetBSD e OpenBSD. Embora
ainda não tenha sido portado para
Windows, você pode encontrar fer-
ramentas similares para este e outros
sistemas operacionais.
No Windows, procure por um pro-
duto chamado WinARP Watch. Para
Linux, Unix, e BSD, há também o
Arpalert. Cada uma das alternativas
contém um conjunto diferente de
recursos. Embora o Arpwatch seja
excelente, nenhuma delas é capaz
de alcançar os mesmos recursos e
sofisticação da ArpON.
Quando aplicada em conjunto
com o conhecimento de um admi-
nistrador de rede experiente, as fer-
ramentas de monitoramento ARP
são muito poderosas, mesmo com a
maioria das ferramentas de bloqueio
automático de ataques desabilitada.
Com níveis altamente detalhados
de relatórios e um grau menor de
automação, essas ferramentas defini-
tivamente agem como uma camada
adicional de proteção tanto para re-
des domésticas quanto industriais. ■
Quadro 1: Desempenho
do ArpON
O ArpON foi desenvolvido tendo
em mente o desempenho da fer-
ramenta e portanto tem um núme-
ro limitado de recursos. Uma ferra-
menta alternativa chamada S-Arp
(Secure Arp) acrescenta um nível
de criptografia que provê seguran-
ça adicional mas deixa o protocolo
ARP mais lento por adicionar mais
cálculos numéricos e injetar mais
dados no fluxo de tráfego.
Mais informações
[1] Mapeamento de endereços
MAC para fornecedores:
http://standards.ieee.org/
develop/regauth/oui/oui.txt
[2] ArpON: http://arpon.
sourceforge.net/
Gostou do artigo?
igo?
Queremos ouvir sua opinião.
Fale conosco em
m
cartas@linuxmagazine.com.br
gazine.com br
Este artigo no nosso
osso site:
e:
http://lnm.com.br/article/5694
br/arti 569
www.linuxmagazine.com.br
 PROGRAMAÇÃO | PHP com C++
PHP com C++
Mistura de códigos
PROGRAMAÇÃO
A mistura de linguagens de
programação não deve restringir seu
projeto de software. Aprenda a expor
objetos e templates C++ ao código
PHP e como registrar chamadas PHP
que o código C++ possa utilizar.
por Ben Martin
A
linguagem PHP ganhou po-
pularidade por conta dos
aplicativos web, já que possui
interfaces para bancos de dados e ser-
viços web. Frameworks (ambientes
de desenvolvimento) inteiros, como
o Zend [1][2] são escritos em PHP.
Embora toda essa popularidade e
as muitas interfaces sejam mara-
vilhosas, pode acontecer de você
ter lógicas de negócios escritas em
C ou C++ que gostaria de acessar
com o código web PHP. Uma opção
seria reescrever o código em PHP e
fazer novos testes, mas dessa forma
você teria que manter duas versões
do mesmo programa. Ao invés dis-
so, você pode pegar o código C++
que quer usar e deixar com que o
SWIG (Simplified Wrapper and In-
terface Generator) [3] faça o traba-
lho pesado ao criar vinculações de
linguagem que permitam o acesso
ao código em PHP.
O SWIG é uma ferramenta de
desenvolvimento de código aber-
to que faz a interface de C e C++
com diversas linguagens de scripts,
incluindo PHP, Perl, Python, Tcl e
72
Ruby. Dependendo de como você
usa o SWIG, não será necessário
manter nenhum código de ligação
para fazer as coisas funcionarem.
Por exemplo, o SWIG pode usar
o arquivo de cabeçalho C++ para
gerar o código de ligação necessário
para que o PHP crie objetos naquela
classe e chame os métodos naqueles
objetos. Se quiser adicionar um novo
método ou classe, simplesmente
adicione o SWIG ao projeto C++,
reconstrua-o, e ele ficará automati-
camente disponível no PHP.
Embora os artigos sobre a vincu-
lação de linguagens normalmente
discutam o acesso de uma lingua-
gem a partir de outra, você frequen-
temente perceberá que precisa ir
pelos dois caminhos. Os projetos
modernos em C++, por exemplo,
permitem que objetos mandem
“sinais” quando eventos interes-
santes ocorrem, possuem functors
(funções de objeto para mapear
o intervalo entre categorias) que
são registrados para serem usados
como chamadas durante o proces-
samento [4]. Para tirar vantagem
total deste tipo de código em C++
através do PHP, você precisa ter a
possibilidade de possuir o código
de retorno (call back) C++ cha-
mado dentro do código PHP (seus
functors e slots de sinais). Tudo isso
precisa acontecer no código C++,
que sequer sabe que está fazendo
chamadas dentro de uma imple-
mentação PHP dentro do slot ou
do functor.
O SWIG é uma ferramenta útil
de se conhecer porque pode gerar
vínculos para muitas linguagens.
Além de PHP, Perl, Python e Ruby,
você pode usar SWIG com dialetos
LISP, Ocaml e outras linguagens.
Partes extensas desse artigo podem
ser, então, aplicadas para gerar vín-
culos para outras linguagens.
Começar de
forma simples
Para compilar os exemplos a seguir,
você precisa instalar os pacotes de
desenvolvimento do PHP. No Fe-
dora, por exemplo, ele se chama
php-devel.
www.linuxmagazine.com.br

O primeiro exemplo é uma classe
C++ bastante simples para dar uma
noção sobre como opera o SWIG.
Depois, vamos observar algumas
das coisas que você precisará para
um binding mais sério, tal como a
exposição de STLs (bibliotecas pa-
drão de template, em inglês) como
a std::vector, std::map e correlatas;
a forma de expor ponteiros inteli-
gentes; alguns recursos de geração
de linguagem de interface como a
renomeação de métodos e funções
para a linguagem-alvo e finalmente,
como ligar sinais C++ e mecanismos
de slot para chamar funções PHP a
partir de sinais C++.
Cada exemplo utilizará o conheci-
mento adquirido nas etapas anterio-
res e talvés eu omita alguns detalhes
cobertos em exemplos anteriores para
economizar espaço. Para manter as
coisas simples, evitarei ferramentas
automáticas e simplesmente mostrarei
os comandos usados para compilar e
gerar código em cada passo.
Embora o uso do SWIG requei-
ra algum conhecimento adicional,
o processo é o mesmo para expor
classes maiores e muitas classes ao
mesmo tempo. Com o SWIG, você
pode expor uma classe única ou
centenas de classes de forma igual-
mente rápida.
Exposição de uma
classe C++ para PHP
A declaração da primeira classe, sim-
ple1, é exibida no cabeçalho simple1.
hh exibido na listagem 1. Para limpar
a interface um pouco, usei a classe
std::string para aceitar uma string
com o nome do objeto que está ar-
mazenado em m_pubB. O método hi-
dden não pode ser chamado do PHP
porque é protegido. O método shown
simplesmente retorna duas vezes o
valor dado a ele como o primeiro
parâmetro. A implementação é exibi-
da na listagem 2. Tudo isso é código
C++ comum.
Linux Magazine #82 | Setembro de 2011
PHP com C++ | PROGRAMAÇÃO
Dado o cabeçalho e o arquivo
Listagem 1: Classe simple1
de implementação para simple1.hh
01 #include <string>
e simple1.cpp, os comandos 02
g++ -shared -fpic simple1.cpp 03 class simple1
-o libsimple1.so 04 {
sudo install -m 755 05 protected:
06 int m_prot1;
libsimple1.so /usr/local/lib
07 int hidden( int a );
gerarão uma biblioteca comparti- 08 public:
lhada libsimple1.so. Perceba que 09
10 sim ple1( const std::
os comandos forçam o uso de PIC string& name );
(código independente de posição, 11
em inglês) [5] porque está gerando 12 int m_pubA;
13 std::string m_pubB;
uma biblioteca compartilhada. 14 int shown( int a );
O PIC tem a vantagem de po- 15 };
der ser carregado em diferentes
localizações na memória, o que é
útil para bibliotecas compartilhadas Listagem 2: simple1
porque permite ao link dinâmico 01 #include “simple1.hh”
02
movê-las quando múltiplas biblio- 03 int
tecas quiserem o mesmo endereço. 04 simple1::hidden( int a )
Nesse ponto, presumo que você já 05 {
06 return a;
tem a libsimple1.so instalado no
07 }
/usr/local/lib e seu sistema confi- 08
gurado para encontrá-la neste lugar. 09 simple1::simple1( const
Outra forma é usar o LD_LIBRARY_PATH std::string& name )
10 :
e -L se você quiser usar a biblioteca 11 m_pubB( name )
a partir da localização atual. 12 {
O arquivo de cabeçalho e a bi- 13 }
blioteca compartilhada são quase 14
15 int
tudo o que você precisa para usar a 16 simple1::shown( int a )
classe simple1 de um programa C++, 17 {
embora você possa incluir o cabeça- 18 return a+a;
19 }
lho e vincular ao objeto comparti-
lhado (libsimple1.so) e utilizando o
simple1 de muitos aplicativos C++. A definição de interface SWIG
Até aqui, tudo se resume a puro de- para simple1 é:
senvolvimento C++.
Agora, é hora de usar o SWIG
%module simple1module
%include stl.i
para gerar os vínculos de lingua- %include "simple1.hh"
gem de forma que você possa criar %{
#include "simple1.hh"
objetos simple1 e chamar métodos %}
neles a partir do PHP. O SWIG
utiliza um arquivo de definição de as quais não possuem declaração
interface que descreve as classes, de classe ou alguma coisa que re-
funções e assim por diante, que meta a duplicação da definição do
deve ser exposto à linguagem para simple1 (listagem 1). A primeira li-
a qual você quer gerar vínculos. nha declara o nome do módulo para
A princípio, isso pode soar como este vínculo. Uma das restrições
qualquer outro pesadelo de manu- aqui é que o nome do módulo não
tenção. Você não precisa manter o pode ser usado por uma classe da
arquivo de definição de interface à qual você está expondo, portanto
medida que muda o código C++? você não pode ter um módulo no-
73
 PROGRAMAÇÃO | PHP com C++
meado simple1, porque o mesmo já
é usado por uma classe. Para que
as coisas fiquem melhores e mais
claras, uso o nome simple1module.
O único lugar no qual esse nome
aparece é no código PHP, quando
ele inclui (include()) aquele mó-
dulo – então você pode criar um
nome bem descritivo.
O resto do arquivo parece se re-
petir ao incluir simple1.hh duas ve-
zes. A razão para essa duplicação é
que a diretiva %include diz ao SWIG
para examinar outras definições de
interface (foo.i) ou os arquivos de
cabeçalho C/C++ para os quais
você gostaria de criar vínculos. O
SWIG lerá qualquer arquivo de
cabeçalho listado com %include,
fazendo o parse e gerando o código
para encapsulá-lo para a linguagem
que você escolheu. O código do
Listagem 3: Código PHP
usando a classe simple1
01 <?php
02
03 include_once
("simple1module.php");
04 print "started...\n";
05
06 $foo = new simple1( "hello" );
07
08 print "foo.pubB : " .
$foo->m_pubB . "\n";
09 print "foo.shown() : " .
$foo->shown(181) . "\n";
10
11 ?>
Listagem 4: Uso de
containers padrão
01 #include <string>
02 #include <vector>
03 #include <map>
04
05 class simple2
06 {
07 ...
08 std::pair< std::string,
std::string > getPair();
09 std::vector< std::string >
getVector();
10 std: :vector< std::string >
getMapRange( const std::map<
int, std::string >& a );
11 };
74
invólucro (wrapper) será escrito por maps, mas por enquanto é suficiente
padrão no simple1_wrap.cpp. dizer que o stl.i diz ao SWIG como
Esse código wrapper gerado pro- fazer a classe std::string e outras
vavelmente precisará de acesso a classes STL se tornarem disponíveis
alguns dos arquivos de cabeçalho no script PHP.
para compilar. Por exemplo, você Agora que você fez a parte difícil
não pode chamar simple1::shown() e criou simple.i, os dois comandos
sem ter a declaração da classe no
swig -c++ -php5 simple1.i
escopo. Isto é, em um programa g++ -shared -fpic 'php-config
C++ normal tal qual simple1.wrap. --includes' -Dzend_error_
cpp, você primeiro tem que usar #in- noreturn=zend_error simple1_
wrap.cpp -L'pwd' -lsimple1 -o
clude “simple1.hh” antes de chamar
simple1module.so
shown(). O SWIG copiará o bloco
de código definido por %{ ... %} geram a vinculação de linguagem
dentro do arquivo de código do PHP e a compilam junto da bi-
wrapper gerado (simpe1_wrapp.cpp), blioteca compartilhada. A primeira
de forma que a compilação dê cer- linha gera um simple1.wrap.cpp e
to. Nesse exemplo, você precisará um simple1module.php. O primeiro
do simple1.hh no escopo, de forma arquivo é o código C++, que permite
que ele esteja no #include dentro acesso à classe simple1 do PHP. O
do código entre chaves. segundo arquivo é um script PHP,
Em resumo, a linha %include “sim- para o qual você usa o include()
ple1.hh” diz ao SWIG para gerar em um arquivo PHP para carregar
código de forma que o PHP possa a vinculação da linguagem e esta-
chamar métodos da classe simple1. A belecer acesso. A segunda linha usa
linha também permite que o código GCC para compilar o arquivo fonte
gerado (simple1_wrap.cpp) seja com- simple1_wrapp.cpp – gerado em uma
pilado com o gcc porque a definição biblioteca compartilhada – e vincu-
da classe simple1 está no escopo. O lá-lo a biblioteca da classe simple1.
SWIG não se importa com o que Dessa forma, o módulo simple1mo-
está escrito dentro das chaves – você dule contém tanto o código SWIG
pode colocar o que quiser dentro do “de cola”, quanto a implementação
bloco gerado dentro do arquivo sim- do simple1.
ple1_wrap.cpp. A biblioteca compartilhada
A linha %include stl.i inclui um simple1module.so é uma extensão PHP
arquivo typemap do próprio SWIG. e deve ser instalada no diretório de
Mais a frente, iremos analisar os type- extensões da linguagem:
Listagem 5: Arquivo de interface SWIG, simple2.i
01 %module simple2module
02 %include stl.i
03 %include "simple2.hh"
04
05 %{
06 #include "simple2.hh"
07 %}
08
09 namespace std {
10 specialize_std_map_on_key(int,CHECK,CONVERT_FROM,CONVERT_TO)
11 }
12 %template(IntVector) std::vector< int >;
13 %template(StringVector) std::vector< std::string >;
14 %template(StringPair) std::pair< std::string, std::string >;
15 %template(IntStringMap) std::map< int, std::string >;
www.linuxmagazine.com.br
 PHP com C++ | PROGRAMAÇÃO

php-config --extension-dir
sudo install -m 755 simple1module.
so 'php-config --extension-dir'
O primeiro comando diz onde o
PHP está procurando extensões, e
o segundo instala a biblioteca sim-
ple1module.so de forma que o PHP
possa encontrá-la automaticamente.
A única coisa que falta ser feita é
pegar a classe simple1 em C++ para
um spin do PHP. O script simple1_
test.php da listagem 3 cria um novo
conseguiu criar um objeto sim-
ple1, acessar seus dados e chamar
um método bastante natural para
PHP. A vantagem de usar o SWIG
dessa forma é que, se você modifi-
car a classe simple1, o SWIG cuida
de atualizar toda a extensão PHP
para você.
C++ e PHP:
contêineres padrão
Outro truque que um typemap
pode executar é criar novos mé-
todos na interface cliente. Você
deve estar se perguntando como o
SWIG pode injetar novos métodos
em classes C++ existentes, o que
normalmente não é permitido. O
SWIG pode adicionar métodos a
classes porque está gerando um
wrapper que a linguagem cliente
chama. Então, pode criar um outro

objeto simple1, chama um método
e lê uma variável de instância do
objeto C++.
Como você pode ver, não faz
diferença para o código PHP se a
classe simple1 é escrita em C++ ou
PHP. O código PHP nem liga para
o fato de que o constructor (méto-
do construtor) está esperando uma
string C++ (std::string) em vez de
uma string PHP.
Você pode ver o código em ação
na listagem 3, usando o comando:
$ php -d enable_dl=On simple1_
test.php
started...
foo.pubB : hello
foo.shown() : 362
Uma vez que o simple1_test.php
inclui o simple1module.php, o arqui-
vo de extensão simple1module.so será
carregado, permitindo que objetos
simple1 sejam criados. Dependen-
do da sua configuração, talvez você
precise habilitar o carregamento
dinâmico de bibliotecas com o pa-
râmetro -d. A biblioteca comparti-
lhada simple1module.so está vincula-
da à biblioteca C++ compartilhada
libsimple1.so para trazê-lo na imple-
mentação da classe simple1.
Embora um esforço inicial seja
requerido para expor uma simples
classe PHP, os únicos novos arqui-
vos que você realmente criou ma-
nualmente foram o arquivo SWIG
simple1.i e o script PHP. O arquivo
simple1.i é apenas uma inclusão
do cabeçalho simple1.hh e algumas
inclusões SWIG. No final, você
Agora que você sabe como o SWIG Listagem 6: Utilizar o
funciona e como utilizá-lo com o simple2 do PHP
PHP, pode usar esse conhecimento 01 <?php
para expor código C++ mais com- 02
plexo ao PHP, incluindo código 03 include_once("simple2module.
php");
que aceita ou retorna std::vector, 04
std::list, std::map, ou outras cole- 05 $foo = new simple2( "hello" );
ções; códigos que usam ponteiros 06
inteligentes para gestão de recur- 07 // blocoA
08 $a = new IntVector();
sos e códigos que têm classes que 09 $a->push(5);
emitem sinais, permitindo respostas 10 $a->push(15);
abertas a eventos. 11 $a->push(35);
A classe simple2, mostrada na lis- 12 while( ! $a->is_empty() )
13 {
tagem 4, se constrói sobre a classe 14 print "pop: " .
simple1 e adiciona três novos méto- $a->pop() . "\n";
dos, mostrados no final da definição 15 }
16
de classe. Perceba que o getMapRan- 17 // blocoB
ge leva a referência a um std::map 18 $b = new StringVector();
como seu argumento em vez de fa- 19 echo var_dump($b);
zer uma cópia. Nenhuma mudança 20 $b->push("hi manual");
21 $b->push("hello");
à definição de classe C++ foi feita 22 print "b.sz:" .
para tornar a vida mais fácil, ao criar $b->size() . "\n";
vínculos de linguagens ou no uso 23 while( ! $b->is_empty() )
24 {
do SWIG. A definição de três novos
25 print "pop: " .
métodos é padrão e cria somente $b->pop() . "\n";
dados de teste, retornando-o. 26 }
O arquivo de interface SWIG, 27
28 // blocoE
simple2.i, é exibido na listagem 5. 29 print "–– calling simple2::
Para descobrir como expor tipos getMapRange() –––––––––\n";
mais complicados, como templa- 30 $m = new IntStringMap();
tes STL, para PHP, o SWIG usa 31 $m->set( 7, "value" );
32 $m->set( 13, "else" );
typemap. Por exemplo, algumas lin- 33 $v = $foo->getMapRange( $m );
guagens têm tipos de classe Integer 34 echo var_dump($v);
em vez de usar somente 32/64/N bits 35 print "getVec.ret.sz:" .
$v->size() . "\n";
de armazenamento, como o C/C++. 36 while( ! $v->is_empty() )
Um typemap pode distinguir como o 37 {
SWIG converte tipos C/C++, como 38 print "pop: " .
int ou std::string, para tipos que a $v->pop() . "\n";
39 }
linguagem cliente pode usar, como 40 ?>
o PHP nesse caso.

Linux Magazine #82 | Setembro de 2011 75

 PROGRAMAÇÃO | PHP com C++

método com o código para desem- método pop de uma coleção ao Embora o SWIG cuide de boa
penhar alguma operação ou pode invés da combinação do método parte das questões, agora você
renomear métodos na classe, mas back();/pop_back(), que um pro- precisa lidar com um pouco mais
tudo isso acontece somente no có- gramador C++ usaria. de complexidade. Por exemplo,
digo wrapper. As últimas linhas do arquivo você instanciou alguns templates
Você pode querer renomear simple2.i dizem ao SWIG quais explicitamente e especificou um
um método para um formato mais instâncias de templates devem typemap porque um tipo primiti-
natural para a linguagem cliente. ser encapsuladas. Normalmente, vo é passado por valor ao invés de
Por exemplo, um programador em C++, você não lista explicita- um ponteiro.
PHP pode esperar encontrar um mente quais types são usadas para O script PHP simple2_test.php
método is_empty() para testar se a instanciar uma classe do template exibido na listagem 6 leva a nova
coleção possui itens ou não, em – o compilador faz isso para você extensão para um spin. Como se
vez de usar o método empty() que automaticamente, porque templates pode ver no blocoB, você pode criar
a std::vector oferece. Criar no- estão sendo usados [6]. O problema uma std::vector<std::string> a
vos métodos também pode fazer com o SWIG é que ele olha somen- partir do PHP, além de popular e
com que a interface do wrapper te para o cabeçalho que contém a enumerá-la diretamente. Perceba
fique mais atrativa para os pro- definição da classe do template. O que o código PHP usa esses no-
gramadores. Por exemplo, um SWIG não tem uma forma de sa- mes de métodos porque o typemap
programador pode procurar um ber sozinho a definição para quais stc_vector.i renomeou o método
instâncias da classe template criar empty() para is_empty() e criou um
Listagem 7: Declaração de wrappers, então você precisa dizer único método pop() de forma que
classe simple3 ao SWIG que quer instâncias int e não tenhamos que chamar back()
01 #include <tr1/memory> std::string do std::vector e quais e pop_back() do PHP. No blocoE,
02 class simple3; instâncias std::map e std::pair ele um std::map<> é criado e passado
03 typedef std::tr1::shared_
ptr< simple3 > h_simple; deve fazer. para o código C++ para atualizar
04 A linha specialize_std_map_on_key um std::vector<> como resultado.
05 class simple3 (linha 10, listagem 5) é a inclusão mais
06 { ...
07 public:
complicada para o simple2.i. Olhan- Smart pointers: tarefas
08 ~simple3();
09 static h_simple
do o arquivo PHP std_map.i com o
SWIG, você perceberá uma coleção
em tempo real
createSimple( const de macros especializadas. Normal- Um grande problema com os exem-
std::string& name );
mente, o mapa do arquivo typemap plos relativos ao simple1 e simple2
presume que a chave e o valor usado é que objetos da classe não são
Listagem 8: Arquivo de pelo wrapper são ponteiros para ob- acessados por meio de ponteiros
interface SWIG simple3 jetos C++. Isso funciona bem para inteligentes. Para alguns exem-
01 %{ coisas como std::string porque o plos simples, isso não importa
02 #include "simple3.hh"
03 %}
código do wrapper gerado passará em muito, mas para projetos em C++
04 torno dos ponteiros para std::string maiores, objetos provavelmente
05 %include <tr1/memory> ao retornar um std::string para o serão acessados com o uso de pon-
06 namespace std { PHP, ou ao aceitar uma como parte teiros inteligentes, como a classe
07 namespace tr1 {
08 template < class T > da requisição da API. shared_ptr<> do C++ Technical
09 class shared_ptr O problema é que o int é atraves- Report 1 [7].
10 { sado pelo valor entre C++ e o PHP A declaração simple3.hh na lista-
11 public:
em vez de atravessar um nível do gem 7 é baseada em simple2.hh, mas
12 shared_ptr( const
shared_ptr<T>& ); ponteiro, de forma que você precise adiciona provisões de ponteiros inte-
13 T* operator->(); chamar a specialize_std_map_on_key ligentes. A implementação create-
14 }; para que o SWIG saiba que se ele Simple cria uma instância de objeto
15 };
16 };
fizer o wrapper um stc::map com o e a retorna como shared_ptr<>.
17 int como chave, deve esperar que A interface SWIG é exibida
18 %template(h_simple) std:: a chave int seja passada por um na listagem 8. Na primeira im-
tr1::shared_ptr< simple3 >; valor, ao invés de ser passada por pressão, parece que o template
19 ...
meio de um ponteiro. tr1::shared_ptr está sendo decla-

76 www.linuxmagazine.com.br

rado aqui. Mas como a declara-
ção aparece fora do bloco %{...%},
você está se comunicando com
o SWIG por meio da declaração
tr1::shared_ptr. Ao declarar o mé-
todo operator->(), o SWIG ficará
ciente de que uma resposta T*
pode ser obtida de um shared_
ptr<T>, que é, no final das contas,
a principal coisa que você quer de
um ponteiro inteligente. Você não
precisa realmente que o SWIG
faça o wrapper das declarações
reais e completas do ponteiro.
Em vez disso, você só precisa do
suficiente para obter o que há no
T*. A distinção de mostrar somente
parte da declaração de classe para
o SWIG pode ser útil quando a
declaração C++ real é complexa,
mas você não precisa de exposição
total. Não há risco aqui, porque
a std::tr1::shared_ptr<> real tem
um método operator->() compatí-
vel com a implementação, então
quando compilar o simple3_wrapp.
cpp gerado pelo SWIG, o método
será encontrado.
O uso de ponteiros inteligentes é
bem natural no PHP:
$foo = simple3::createSimple
( "hello" );
print "foo.pubB : " .
$foo->m_pubB . "\n";
A principal diferença é usar méto-
do estático create-Simple para obter o
ponteiro do objeto. Para compilar o
simple3, você pode precisar adicionar
um -I /usr/include/c++/4.4.4 para
a invocação do SWIG.
Modificações
Já mostrei como o std::vector<>
foi encapsulado pelo std_vector.i
para renomear o método empty() e
incluir o novo método pop() den-
tro da classe std::vector, pelo me-
nos até onde o PHP pode ver. A
parte relevante do php/std_vecotr.
ir do SWIG, está na listagem 9. A
palavra-chave %rename leva o novo
Linux Magazine #82 | Setembro de 2011
nome como um argumento, e o
nome de um método existente na
classe para o resto da linha.
Primeiro, você deve declarar o
verdadeiro método empty() para dizer
ao SWIG a assinatura apropriada;
então, deverá renomeá-lo. Perceba
que você pode usar o %rename com
métodos de classes que foram pre-
viamente incluídas com %included.
O SWIG então gera o código – por
exemplo, simple3_wrapp.cpp, que de-
pende que a classe std::vector tenha
um verdadeiro método empty(0). A
palavra-chave estendida inclui no-
vos métodos que você gostaria de
classificar para ter em um vínculo
de linguagem. Você deve estar se
perguntando como o C++ pode,
magicamente, ter métodos adicio-
nais. Na verdade, o C++ não muda.
O método pop() é o único disponível
na classe PHP ou, mais exatamen-
te, só existe no código C++ gerado
especificamente para o vínculo da
linguagem – no simple3_wrap.cpp,
por exemplo.
Como alternativa, você pode usar
a palavra-chave %ignore para dizer
ao SWIG para não criar o wrapper
Listagem 9: Estender o
std::vector com SWIG
01 namespace std {
02
03 template<class T>
class vector {
04 public:
05 ...
06 bool empty() const;
07 %rename(is_empty) empty;
08 ...
09 %extend {
10 T pop() throw
(std::out_of_range) {
11 if (self->size()
== 0)
12 throw std::out_of_
range(“ pop from
empty vector”);
13 T x = self->back();
14 self->pop_back();
15 return x;
16 } Este artigo no nosso
17 ...
PHP com C++ | PROGRAMAÇÃO
de uma classe como método para o
binding da linguagem. Essa abor-
dagem pode ser prática quando não
fizer muito sentido para a linguagem
chamar um método. ■
O autor
Ben Martin trabalha com sistemas
de arquivos há mais de dez anos
e, em seu doutorado, pesquisa a
combinação de sistemas de arqui-
vos semânticos com a análise de
conceitos formais para melhorar a
interação entre humanos e siste-
mas de arquivos.
Mais informações
[1] Framework Zend: http://
framework.zend.com/Zend/
[2] Interface do Google Web
Services: http://framework.
zend.com/manual/en/
zend.gdata.html
[3] Página do SWIG: http://
www.swig.org/
[4] Biblioteca libsigc++: http://
libsigc.sourceforge.net/
[5] Código independente de
posição (PIC): http://
en.wikipedia.org/wiki/
Position-independent_code
[6] Padrões de template
curiosamente recorrentes:
http://en.wikipedia.org/
wiki/Curiously_Recurring_
Template_Pattern
[7] Relatório técnico do C++
sobre ponteiros inteligentes:
http://en.wikipedia.
org/wiki/Technical_
Report_1#Smart_pointers
Gostou do artigo?
igo?
Queremos ouvir sua opinião.
Fale conosco em
m
cartas@linuxmagazine.com.br
zine.com r
osso ssite::
http://lnm.com.br/article/5712
r/artic 571
77
 Linux Magazine #83
PREVIEW

Linux 3.0
Na próxima edição da Linux Magazine,
você vai conhecer tudo o que acontece
por trás do Linux 3.0 e os planos para as
futuras versões do sistema operacional.
Conheça ainda o Intel Threading
Building Blocks, que em sua versão
3.0, traz inúmeras novidades no mundo
da paralelização.
E para continuar focado no importan-
tíssimo assunto que é a migração do
protocolo IP para a versão 6, vamos
falar sobre segurança em IPv6.
Não perca! ■

Admin Magazine #3
Conexão segura
Quem precisa conectar computadores
com sistemas operacionais diferentes
frequentemente precisa procurar por
soluções adequadas. O tema de capa
da próxima edição da Admin apresenta
softwares propiciam uma estreita re-
lação entre Windows e Linux e que
também servem para conexões com
roteadores e firewall como os da Cisco,
Juniper ou Checkpoint.

82 www.linuxmagazine.com.br