X4ND3M4C Blog

Armazenando arquivos baixados frequentemente no cache do squid.

2011-09-21T06:23:00.000-07:00

Olá amigos.

Hoje vou mostrar como armazenar no cache do squid arquivos que são baixados com certa frequência. Esse procedimento é bastante útil principalmente na atualização de antivírus ou na atualização do M$ ruindows quando não há um WSUS na rede.

O exemplo abaixo se aplica para atualizações do Symantec Endpoint Protection mas pode ser utilizado para o windows update ou qualquer arquivo em outro domínio com as devidas alterações nas expressões regulares.

refresh_pattern liveupdate.symantecliveupdate.com/.*\.(cab|exe|dll|msi|zip) 10080 100% 43200 reload-into-ims
refresh_pattern symantecliveupdate.com/.*\.(cab|exe|dll|msi|zip) 10080 100% 43200 reload-into-ims

A opção refresh_pattern define o tempo de permanência dos objetos no cache e é explicada em detalhes no link abaixo:
http://www.squid-cache.org/Doc/config/refresh_pattern/

No trecho de log abaixo podemos observar pelas entradas TCP_HIT quando os objetos estão sendo acessados diretamente no cache de disco.

1316608033.055 40456 127.0.0.1 TCP_HIT/200 3584456 GET http://liveupdate.symantecliveupdate.com/segments/1316128148jtun_nav2k8ennful25.m25.seg17.zip - NONE/- application/zip
1316608049.902 43301 127.0.0.1 TCP_HIT/200 3584437 GET http://liveupdate.symantecliveupdate.com/segments/1316128148jtun_nav2k8ennful25.m25.seg2.zip - NONE/- application/zip
1316608087.943 154 127.0.0.1 TCP_HIT/200 3074328 GET http://liveupdate.symantecliveupdate.com/segments/1316582683jtun_nav2k8enncur25.m25.seg1.zip - NONE/- application/zip
1316608094.034 40447 127.0.0.1 TCP_HIT/200 3584456 GET http://liveupdate.symantecliveupdate.com/segments/1316128148jtun_nav2k8ennful25.m25.seg18.zip - NONE/- application/zip
1316608117.774 7 127.0.0.1 TCP_HIT/200 542038 GET http://liveupdate.symantecliveupdate.com/segments/1316582683jtun_nav2k8en110920002.m25.seg1.zip - NONE/- application/zip

É isso ai galera, juntos manteremos a comunidade forte.

Um grande abraço a todos.

Apache autenticando no Windows Server 2008 com Ubuntu Server 10.04 LTS.

2011-08-26T10:53:00.000-07:00

Olá amigos, hoje vou mostrar uma maneira bem simples de autenticar usuários no Apache2 em uma base no AD com Perl AuthenNTLM.

Primeiramente devemos baixar o pacote libapache2-authenntlm-perl conforme abaixo:

#apt-get install libapache2-authenntlm-perl

Devemos então editar as configurações para nosso virtualhost em /etc/apache2/sites-enabled/site.conf ou diretamente no arquivo default em /etc/apache2/sites-enabled/000-default conforme abaixo:

<Directory>
Order allow,deny
Allow from 192.168

Options FollowSymLinks
AllowOverride None

PerlAuthenHandler Apache2::AuthenNTLM
AuthType ntlm
AuthName "Acesso Restrito"
require valid-user
PerlAddVar ntdomain "DOMÍNIO nome_do_servidor"
PerlSetVar defaultdomain DOMÍNIO
PerlSetVar ntlmsemtimeout 2
PerlSetVar ntlmdebug 2
PerlSetVar splitdomainprefix 1
</Directory>

Existem algumas considerações a respeito da configuração da variável PerlAddVar ntdomain.
No nome_do_servidor deve existir realmente um nome e não o endereço IP, o nome do servidor deve ser adicionado no arquivo /etc/hosts uma vez que a resolução de nomes da ferramenta é local.

Maiores informações a respeito do Perl AuthenNTLM inclusive as definições de suas variáveis podem ser encontradas no link abaixo:

http://search.cpan.org/~speeves/Apache-AuthenNTLM-2.10/AuthenNTLM.pm#PerlAddVar_ntdomain_%22domain_pdc_bdc%22

Quais quer dúvidas ou esclarecimentos estou a disposição.
Um grade abraço a todos.

Instalando o Zabbix 1.8.4 no Ubuntu Server 10.10

2011-04-21T18:45:00.000-07:00

Em ambientes de TI complexos com muitos ativos de rede e servidores muitas vezes problemas ocorrem sem o conhecimento do administrador de rede, o pior dos cenários é quando o administrador é informado sobre problemas em sua infraestrutura pelos usuários pois isso reflete diretamente na visão dos usuários a respeito do departamento de TI. Em um cenário como esse a TI está sempre apagando incêndios e os usuários estão quase sempre insatisfeitos com os serviços prestados.
Através das ferramentas de monitoramento como Nagios, Zenoss e o Zabbix tratado neste post a TI passa a ser pró-ativa resolvendo problemas antes mesmo do conhecimento dos mesmos pelos usuários.
Já utilizo o Zabbix há algum tempo e com sua nova versão resolvi abordar os procedimentos de instalação e configuração da ferramenta de monitoramento.

Inicialmente devemos baixar o Zabbix, o download pode ser realizado através do link:

http://prdownloads.sourceforge.net/zabbix/zabbix-1.8.4.tar.gz?download

Concluído o download agora vamos instalar a dependências para a compilação do Zabbix conforme abaixo:

# apt-get install gcc automake mysql-server libsnmp-dev libmysqld-dev libcurl4-gnutls-dev libopenipmi-dev libssh2-1-dev

Concluída a instalação passamos para o arquivo com o código fonte, que neste caso foi colocado em /opt

Inicialmente iremos extrair o conteúdo do arquivo com o comando:

# tar xzvf zabbix-1.8.4.tar.gz

Após a extração será criado o diretório zabbix-1.8.4 em /opt, é agora que iremos determinar o suporte a determinadas funcionalidades dependendo do ambiente em que vc irá utilizar o Zabbix como por exemplo em que banco de dados o servidor será instalado, se haverá suporte a verificações via ssh ou dispositivos IPMI. As opções de compilação podem ser verificadas através do comando abaixo dentro do diretório /opt/zabbix-1.8.4/

# ./configure --help

Após definir as funcionalidades desejadas passamos para a compilação no meu caso o Zabbix foi compilado conforme o comando abaixo:

# ./configure --enable-server --with-mysql --with-net-snmp --with-libcurl --with-openipmi --with-ssh2 --enable-agent

Uma vez compilado devemos executar os comandos abaixo para concluir a instalação:

# make
# make install

Com o Zabbix instalado passamos a configuração da base de dados que conforme compilação será armazenada no servidor mysql, para tal devemos proceder com os passos a seguir:

# mysql -u root -p
>create database zabbix character set utf8;
>grant all privileges on zabbix.* to 'zabbix'@'localhost' identified by 'senha';
>exit

# mysql -u root -p zabbix < /opt/zabbix-1.8.4/create/schema/mysql.sql
# mysql -u root -p zabbix < /opt/zabbix-1.8.4/create/data/data.sql
# mysql -u root -p zabbix < create/data/images_mysql.sql

Com isso nossa base de dados está preparada, agora devemos criar o usuário para rodar o servidor, criar o diretório dos arquivos de configuração, copias os exemplos de arquivos de configuração e os arquivos de inicialização do servidor.

# useradd -m -s /bin/bash zabbix
# mkdir /etc/zabbix
# cp misc/conf/{zabbix_server.conf,zabbix_agentd.conf} /etc/zabbix
# cp /opt/zabbix-1.8.4/misc/init.d/debian/{zabbix-agent,zabbix-server} /etc/init.d

Agora passamos para a configuração do servidor conforme abaixo:

[zabbix_server.conf]
...
LogFile=/var/log/zabbix_server.log
DBName=zabbix
DBUser=zabbix
DBPassword=SUASENHA
...

No arquivo de configuração indicamos um arquivo para log porém, o arquivo não existe devemos então criá-lo e atribuí-lo ao usuário zabbix:

# touch /var/log/zabbix_server.log
# chown zabbix.zabbix /var/log/zabbix_server.log
# chown -R zabbix.zabbix /var/log/zabbix_server.log

O servidor já está pronto para uso e pode ser inicializado através do comando:

# /etc/init.d/zabbix-server start

Porém o servidor por sí não é suficiente, uma vez que para configurar os hosts e ítens a ser monitorados devemos instalar a interface web.

Devemos instalar o apache2 e o php mais as dependências para a interface web do Zabbix.

# apt-get install apache2 apache2-mpm-prefork apache2-utils apache2.2-common libapache2-mod-php5 libapr1 libaprutil1 libdbd-mysql-perl libdbi-perl libnet-daemon-perl libplrpc-perl libpq5 php5-common php5-mysql php5-gd

O próximo passo é copiar os arquivos da interface para o diretório apropriado no apache2;

# cp -r /opt/zabbix-1.8.4/frontends/php/ /var/www/
# mv /var/www/php /var/www/zabbix

Com isso podemos acessar a interface web e prosseguir com a configuração através da interface web. Reinicialize o apache e acesse a interface no endereço:

http:/seu-ip

/zabbix

O processo de configuração é bem intuitívo a única observação a ser feita é na tela de pré-requisitos, algumas opções vão estar em desconformidade e devemos realizar alterações no arquivos /etc/php/apache2/php.ini e alterar o valor padrão das variáveis para atender as necessidades do Zabbix. A baixo estão as variáveis e os valores mínimos para prosseguir com a instalação, se seu ambiente for maior pondere cuidadosamente os valores atribuídos pois esta configuração impacta diretamente na performance do zabbix.

[php.ini]
...
max_execution_time = 600
max_input_time = 600
memory_limit = 256M
post_max_size = 32M
upload_max_filesize = 16M
date.timezone = America/Maceio
...

Assim concluímos os pré-requisitos e concluímos a instalação do zabbix.

Após digitar o usuário e senha você entrará na dashboard, é através dela que você pode ver o que está sendo monitorado. O Zabbix utiliza o princípio de Hosts >> Itens >> Triggers >> Actions para realizar seu monitoramento, devemos adicionar os hosts e os itens que serão monitorados neste host em seguida configuramos as triggers que analisam os itens e geram alarmes de acordo com as opções especificadas pelo administrador, já as Actions são as ações tomadas mediante as alterações das triggers que podem ser a execução de um script, o envio de um email para o administrador, etc.

A configuração do Zabbix é um tópico bastante extenso e não será abordado neste post, maiores informações para a configuração do zabbix podem ser encontradas no link abaixo:

http://www.zabbix.com/documentation/1.8/manual/config

Há também um livro sobre o Zabbix que possui bastante informação a respeito da ferramenta, maiores informações sobre o livro podem ser encontradas no link abaixo:

http://www.amazon.com/Zabbix-Network-Monitoring-Rihards-Olups/dp/184719768X/ref=sr_1_1?s=books&ie=UTF8&qid=1303788117&sr=1-1

É isso ai galera, quaisquer dúvidas ou esclarecimentos estou a disposição.
Um grande abraço a todos da comunidade.

Instalando o Jetty no Ubuntu Server 10.04 LTS

2011-02-17T17:00:00.000-08:00

Olá comunidade,

O servidor de aplicações web Jetty é um servidor ágil e leve que apesar de bastante poderoso possui documentação escassa. Segue abaixo o procedimento para instalação do Jetty no Ubuntu server 10.04.

Primeiramente devemos instalar o JDK, O pacote sun-java6-jdk não está listado nos repositórios oficiais, portanto devemos adicionar um novo repositório e prosseguir com a instalação conforme abaixo:

# apt-get install python-software-properties
# add-apt-repository "deb http://archive.canonical.com/ lucid partner"
# apt-get install sun-java6-jdk sun-java6-jre
# apt-get install libjetty-extra-java libjetty-java jetty

Concluída a instalação prosseguimos com a configuração do servidor Jetty. Devemos alterar as variáveis no arquivo /etc/default/jetty para os valores abaixo:

JAVA_HOME=/usr/lib/jvm/java-6-sun

NO_START=0 ## Libera a inicialização do servidor.

JETTY_HOST=0.0.0.0 ## Define que o servidor irá "ouvir" todas as interfaces.

Concluída a configuração devemos reiniciar o servidor jetty para que as alterações entrem em vigor.

# /etc/init.d/jetty restart

Uma vez configurado podemos realizar os deploys dos arquivos .war adicionando os mesmos no diretório /usr/share/jetty/webapps

Após inserir o arquivo no diretório reinicie o Jetty. A URL para acessar o servidor será:

http://ip-do-servidor:8080/nomedoarquivowar

É isso ai galera. Quaisquer dúvidas ou esclarecimentos estou a disposição.

Um grande abraço.

Que venha a LPI 202...

2011-01-10T20:47:00.000-08:00

Finalmente saiu o resultado da LPI 201 e estou feliz por ter sido aprovado com uma boa pontuação.
Agora é estudar bastante para a LPI 202 para conquistar a LPI 2.

Ohhh yes...

:D

Operações de backup em fita DAT no Ubuntu server 10.10

2010-12-15T04:28:00.000-08:00

Olá comunidade.

Hoje trago uma dica para a criação de backups em fita DAT no Ubuntu Server 10.10.

Primeiramente devemos instalar o pacote mt-st que é o responsável pelas operações nos drives de fita com o comando abaixo:

apt-get install mt-st

Após a instalação já podemos realizar operações em fita conforme exemplos abaixo:

mt -f /dev/st0 rewind - Rebobina a fita.

mt -t /dev/st0 erase - Apaga a fita (Operação lenta).

mt -t /dev/st0 eject - Ejeta a fita.

Para o backup em si utilizamos o tar conforme os exemplos abaixo:

tar -cvf /dev/st0 /dir-origem-dos-dados

tar -cvf /dev/st0 -T /home/usuario/lista-de-arquivos.txt

tar -cvf /dev/st0 /dir-de-origem-dos-dados -X /home/usuario/lista-de-arquivos-excluídos-do-backup.txt

Conforme visto acima a opção -T aponta para um arquivo com a lista do que deve ser salvo, já a opção -X aponta para o arquivo com os arquivos que não devem ser salvos. Para maior dinamismo podemos utilizar expressões regulares nos mesmos.

A melhor maneira de realizar seus backups é através de um script de backup para automatizar o processo. Segue abaixo um exemplo de script de backup.

#!/bin/bash

#Script de backup escrito por PAULO ALEXANDRE SANTOS DE MELO

#Este script pode ser utilizado livremente e modificado uma vez que o nome do autor seja referenciado.

#Definição de variáveis

MT="/bin/mt"

TAR="/bin/tar"

DISPOSITIVO="/dev/st0"

ALVO="-T /opt/backup/alvos -X /opt/backup/excluir"

LOG="/var/log/bkp.log"

#Iniciando o Backup

echo "## Início do backup - `date +%e` de `date +%B` de `date +%Y` ##" >> $LOG

echo "Excluindo informações anteriores armazenadas na fita" >> $LOG

$MT -f $DISPOSITIVO erase

if [ "$?" == "0" ]

then

echo "Fita apagada" >> $LOG

else

echo "Erro na exclusão dos arquivos da fita" >> $LOG

echo "Rebobinando a fita" >> $LOG

$MT -f $DISPOSITIVO rewind

if [ "$?" == "0" ]

then

echo "Posicionamento concluído" >> $LOG

else

echo "Erro no posicionamento" >> $LOG

echo "Iniciando a cópia dos arquivos" >> $LOG

$TAR -cvf $DISPOSITIVO $ALVO

if [ "$?" == "0" ]

then

echo "## Backup concluído ##" >> $LOG

else

echo "Erro no Backup" >> $LOG

echo " " >> $LOG

$MT -f $DISPOSITIVO eject

É isso ai galera, quaisquer dúvidas ou esclarecimentos estou a disposição.

Um grande abraço a todos.

Obtendo informações sobre seu Squid em produção com o squidclient.

2010-11-25T11:53:00.000-08:00

Olá comunidade.

Hoje trago uma dica de utilitário de linha de comando para acesso rápido a informações sobre o squid em ambiente de produção, o squidclient.

OBS: Esse post não irá tratar da instalação do squid uma vez que existem diversos tutoriais para tal disponíveis na web.

O squid é um proxy bastante poderoso, porém nem sempre é trivial fazer o dimensionamento do mesmo para um ambiente uma vez que existem diversas variáveis envolvidas como número de usuários acessando o proxy simultâneamente, quantidade de memória necessária, número suficiente de "file descriptors", a quantidade necessária de instâncias de autenticação quando em conjunto com o AD ou outra fonte de autenticação, etc.

Para facilitar os ajustes necessários a sua infraestrutura podemos utilizar a ferramenta squidclient.

No ubuntu server instalamos o utilitário diretamente dos repositórios com o seguinte comando:

apt-get install squidclient

Após a instalação faremos nossa primeira verificação.

squidclient mgr:info

Será exibida uma tela conforme a tela abaixo:

HTTP/1.0 200 OK

Server: squid

Date: Thu, 25 Nov 2010 20:08:11 GMT

Content-Type: text/plain

Expires: Thu, 25 Nov 2010 20:08:11 GMT

X-Cache: MISS from meuservidor

X-Cache-Lookup: MISS from meuservidor:3128

Via: 1.0 meuservidor:3128 (squid)

Connection: close

Squid Object Cache: Version 2.7.STABLE7

Start Time: Thu, 18 Nov 2010 14:41:54 GMT

Current Time: Thu, 25 Nov 2010 20:08:11 GMT

Connection information for squid:

Number of clients accessing cache: 604

Number of HTTP requests received: 10278482

Number of ICP messages received: 0

Number of ICP messages sent: 0

Number of queued ICP replies: 0

Number of HTCP messages received: 0

Number of HTCP messages sent: 0

Request failure ratio: 0.02

Average HTTP requests per minute since start: 987.7

Average ICP messages per minute since start: 0.0

Select loop called: 91903423 times, 6.794 ms avg

Cache information for squid:

Request Hit Ratios: 5min: 0.0%, 60min: 0.0%

Byte Hit Ratios: 5min: 7.6%, 60min: 12.0%

Request Memory Hit Ratios: 5min: 0.0%, 60min: 0.0%

Request Disk Hit Ratios: 5min: 0.0%, 60min: 0.0%

Storage Swap size: 0 KB

Storage Mem size: 108 KB

Mean Object Size: 0.00 KB

Requests given to unlinkd: 0

Median Service Times (seconds) 5 min 60 min:

HTTP Requests (All): 0.05331 0.00379

Cache Misses: 0.09736 0.09219

Cache Hits: 0.00000 0.00000

Near Hits: 0.00000 0.00000

Not-Modified Replies: 0.00000 0.00000

DNS Lookups: 0.05815 0.07284

ICP Queries: 0.00000 0.00000

Resource usage for squid:

UP Time: 624377.489 seconds

CPU Time: 4717.215 seconds

CPU Usage: 0.76%

CPU Usage, 5 minute avg: 0.65%

CPU Usage, 60 minute avg: 0.89%

Process Data Segment Size via sbrk(): 39908 KB

Maximum Resident Size: 174464 KB

Page faults with physical i/o: 1

Memory usage for squid via mallinfo():

Total space in arena: 39908 KB

Ordinary blocks: 23498 KB 4284 blks

Small blocks: 0 KB 0 blks

Holding blocks: 1108 KB 1 blks

Free Small blocks: 0 KB

Free Ordinary blocks: 16409 KB

Total in use: 24606 KB 60%

Total free: 16409 KB 40%

Total size: 41016 KB

Memory accounted for:

Total accounted: 9511 KB

memPoolAlloc calls: 1287300273

memPoolFree calls: 1287290977

File descriptor usage for squid:

Maximum number of file descriptors: 4096

Largest file desc currently in use: 1151

Number of file desc currently in use: 584

Files queued for open: 0

Available number of file descriptors: 3512

Reserved number of file descriptors: 100

Store Disk files open: 0

IO loop method: epoll

Internal Data Structures:

29 StoreEntries

29 StoreEntries with MemObjects

26 Hot Object Cache Items

0 on-disk objects

Observe que é possível verificar diversos pontos de interesse como a quantidade de "file descriptors" utilizada, a quantidade de memória utilizada, a quantidade de clientes acessando o cache, dentre outros.

Também podemos obter informações mais detalhadas sobre opções específicas. As opções possíveis podem ser exibidas com o comando:

squidclient mgr:menu

HTTP/1.0 200 OK

Server: squid

Date: Thu, 25 Nov 2010 20:13:18 GMT

Content-Type: text/plain

Expires: Thu, 25 Nov 2010 20:13:18 GMT

X-Cache: MISS from meuservidor

X-Cache-Lookup: MISS from meuservidor:3128

Via: 1.0 meuservidor:3128 (squid)

Connection: close

mem Memory Utilization public

cbdata Callback Data Registry Contents public

events Event Queue public

squidaio_counts Async IO Function Counters public

coss COSS Stats public

diskd DISKD Stats public

config Current Squid Configuration hidden

ipcache IP Cache Stats and Contents public

fqdncache FQDN Cache Stats and Contents public

idns Internal DNS Statistics public

ntlmauthenticator NTLM User Authenticator Stats public

external_acl External ACL stats public

http_headers HTTP Header Statistics public

menu This Cachemanager Menu public

shutdown Shut Down the Squid Process hidden

reconfigure Reconfigure the Squid Process hidden

offline_toggle Toggle offline_mode setting hidden

info General Runtime Information public

filedescriptors Process Filedescriptor Allocation public

objects All Cache Objects public

vm_objects In-Memory and In-Transit Objects public

openfd_objects Objects with Swapout files open public

pending_objects Objects being retreived from the network public

client_objects Objects being sent to clients public

io Server-side network read() size histograms public

counters Traffic and Resource Counters public

peer_select Peer Selection Algorithms public

digest_stats Cache Digest and ICP blob public

5min 5 Minute Average of Counters public

60min 60 Minute Average of Counters public

utilization Cache Utilization public

histograms Full Histogram Counts public

active_requests Client-side Active Requests public

store_digest Store Digest public

storedir Store Directory Stats public

store_check_cachable_stats storeCheckCachable() Stats public

store_io Store IO Interface Stats public

pconn Persistent Connection Utilization Histograms public

refresh Refresh Algorithm Statistics public

delay Delay Pool Levels public

forward Request Forwarding Statistics public

client_list Cache Client List public

asndb AS Number Database public

server_list Peer Cache Statistics public

Com as informações providas pelo squidclient podemos dimensionar de forma adequada o servidor squid aos mais diversos cenários, sempre com uma visão em tempo real do ambiente.

É isso ai, um grande abraço a todos...

Rumo a LPI 2.

2010-11-13T22:20:00.000-08:00

Neste sábado prestei a prova lpi 201 que foi realizada pela Oficina livre aqui em Maceió.
Fiz uma boa prova e acredito que passei. :-D
O interessante é que de acordo com o Adrilan, a Oficina livre irá se tornar LPI Training Partner a partir de 2011 e passará a realizar as provas de certificação LPI com uma certa regularidade por aqui. Já não era sem tempo...
Agora é aguardar o resultado da prova e estudar para a lpi 202.

Fui...

Otimizando o acesso a seus sites com o mod_pagespeed

2010-11-05T10:37:00.000-07:00

Olá comunidade,

Recentemente o google disponibilizou o módulo mod_pagespeed para o Apache visando o carregamento mais rápido de páginas web.

A ferramenta realiza de forma automática ajustes que teriam de ser realizados de forma manual para otimizar o acesso à seu conteúdo web.

Instruções para instalação do módulo podem ser encontradas em:

http://code.google.com/intl/pt-BR/speed/page-speed/docs/module.html

Um grande abraço a todos da comunidade.

Momento "Geek Fan" - Coalti II

2010-10-18T10:21:00.000-07:00

No Coalti II tive meu momento fã pois pude conhecer, pegar autógrafo e tirar fotos com o Sr. John "Maddog" Hall que, apesar de grande guru do software livre é bastante simpático com caras chatos que querem autógrafos e tirar fotos. :D

Essa foto ai é a do celular, depois eu adiciono a foto mais bacana...

Como vcs podem ver ainda tenho um longo caminho a seguir para ter uma barba vistosa assim como a do Sr. "Maddog"... Mas com muito estudo eu chegou lá... :D

O Coalti II foi ao meu ver um bom evento. Os palestrantes poderiam ter se aprofundado mais no conteúdo mas, com apenas 45 min. para as palestras e 15 min. para perguntas não havia tempo suficiente para se abordar de uma maneira mais profunda os assuntos discutidos.

Apesar disso o evento foi bastante interessante e bem organizado, quem não foi perdeu uma boa oportunidade...

Um grande abraço a todos.

Integrando o FreeRadius ao AD com Centos 5.4 (PEAP + MSCHAP)

2010-08-17T10:37:00.000-07:00

Olá comunidade,

Nesse post vou mostrar como integrar o FreeRadius ao AD a fim de autenticar clientes M$ windows XP de forma transparente ao usuário.

Utilizando-se um switch compatível com 802.1X e o servidor FreeRadius é possível realizar o controle de acesso às portas do switch mediante autenticação no AD, dessa forma apenas máquinas e usuários pertencentes ao domínio terão acesso à rede.

Para permitir a autenticação no AD devemos ter instalado o servidor Samba e o suporte a Kerberos, ao se instalar o Centos no modo server já temos os mesmos instalados. Para instalar o servidor freeradius devemos proceder conforme abaixo:

yum install freeradius2.i386 freeradius2-utils.i386 freeradius2-krb5.i386

Agora passamos a configuração de nosso ambiente.

Kerberos

Para configurar o kerberos devemos editar o arquivo /etc/krb5.conf conforme abaixo:

[libdefaults]
default_realm = SEUDOMINIO.COM.BR
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h

# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[realms]
SEUDOMINIO.COM.BR = {
kdc = seu_servidor:88
admin_server = seu_servidor:749
default_domain = seudominio.com.br
}

[domain_realm]
.seudominio.com.br = SEUDOMINIO.COM.BR
seudominio.com.br = SEUDOMINIO.COM.BR

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

[login]
krb4_convert = true
krb4_get_tickets = false

Logo após configuramos o servidor Samba através do arquivo /etc/samba/smb.conf para que fique parecido com o descrito abaixo:

[global]
workgroup = SEUDOMINIO.COM.BR
netbios name = NOME_DO_SERVIDOR
password server = SEU_SERVIDOR_ACTIVE_DIRECTORY
realm = SEUDOMINIO.COM.BR
server string = Samba Server Version %v
log file = /var/log/samba/log.%m
max log size = 50
security = ads
encrypt passwords = true
domain master = no
preferred master = no
dns proxy = no
interfaces = lo eth0
bind interfaces only = yes
template shell = /bin/false
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
auth methods = winbind
winbind use default domain = yes
winbind nested groups = Yes
winbind enum users=yes
winbind enum groups=yes
log level=winbind:10

Concluída a configuração do Samba devemos editar o arquivo /etc/nsswitch.conf alterando as linhas conforme abaixo:

DE
passwd: files
group: files

PARA
passwd: files winbind
group: files winbind

Concluído este passo devemos realizar testes para verificar a comunicação entre o servidor e o AD. Primeiramente testamos o Kerberos com o comando:

kinit seu_usuario@SEUDOMINIO.COM.BR

Será solicitada a senha do usuário, se tudo estiver funcionando perfeitamente entre com o comando "klist", o resultado deve exibir um tícket gerado conforme abaixo:

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: seu_usuario@SEUDOMINIO.COM.BR

Valid starting Expires Service principal
08/17/10 15:47:26 08/18/10 01:47:30 krbtgt/SEUDOMINIO.COM.BR@SEUDOMINIO.COM.BR
renew until 08/18/10 15:47:26

OBS: Para que haja a comunicação entre os servidores Kerberos é necessário que o horário de ambos esteja sincronizado, verifique a hora do servidor realize ajustes se necessário.

Verificado o funcionamento do Kerberos é a vez de testar o Samba adicionando o servidor ao AD.

Para tal reinicialize o servidor Samba e o Winbind.

/etc/init.d/samba restart
/etc/init.d /winbind restart

Logo após adicione o servidor ao AD com o comando:

net ads join -U seu_usuario -S SEUDOMINIO.COM.BR

Após a inserção no domínio podemos testar a comunicação do servidor com o AD com o comando abaixo:

wbinfo -t

O resultado esperado para este comando é:

checking the trust secret via RPC calls succeeded

Outro testes interessante é autenticar com um usuário válido conforme abaixo:

wbinfo -a usuario

A senha será solicitada por duas vezes.

Enter usuario's password:
plaintext password authentication succeeded
Enter usuario's password:
challenge/response password authentication succeeded

Ainda a título de testes podemos listar também os grupos e os usuários do domínio conforme abaixo:

wbinfo -g
wbinfo -u

Passamos agora para a configuração do servidor Freeradius. Para realizar a autenticação no domínio o módulo MSCHAP do Freeradius utiliza o utilitário ntlm_auth que faz parte do samba para realizar a autenticação. Vamos testar o mesmo com o comando abaixo:

ntlm_auth --request-nt-key --domain=SEUDOMINIO --username=usuario --password=senha

O resultado esperado para este comando é:

NT_STATUS_OK: Success (0x0)

Partimos agora para a configuração dos arquivos do servidor Freeradius.

/etc/raddb/clients.conf

client ip_do_switch {
secret = testing123
}

/etc/raddb/users

DEFAULT Auth-Type = MS-CHAP

/etc/raddb/eap.conf

eap {
default_eap_type = peap
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = 2048

md5 {
}

leap {
}

gtc {

auth_type = PAP
}

tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever
private_key_file = ${certdir}/server.pem
certificate_file = ${certdir}/server.pem
CA_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
random_file = ${certdir}/random
cipher_list = "DEFAULT"
make_cert_command = "${certdir}/bootstrap"

cache {
enable = no
max_entries = 255
}
}

ttls {
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = no
virtual_server = "inner-tunnel"
}

peap {
default_eap_type = mschapv2
}

mschapv2 {
}
}

Para finalizar devemos configurar o módulo de autenticação do Freeradius.

/etc/raddb/modules/mschap

mschap {
use_mppe = yes
require_encryption = yes
require_strong = yes
with_ntdomain_hack = yes
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name} --domain=%{mschap:NT-Domain} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}"
}

OBS:Devemos nos certificar de que o usuário radiusd possua acesso ao diretório /var/cache/samba/winbindd_privileged caso contrário será exibida a mensagem de erro abaixo:

winbind client not authorized to use winbindd_pam_auth_crap Ensure permissions on /var/cache/samba/winbindd_privileged are set correctly

Adicionamos o usuários radiusd ao grupo squid que possui os privilégios necessários com o comando:

usermod -a -G squid radiusd

Após definida a permissão de acesso devemos configurar o Switch para acessar o servidor. A configuração dos switches não será abordada neste post e varia de acordo com o fabricante e modelo dos mesmos. Antes de comprar seu equipamento verifique se o mesmo possui suporte 802.1X

O próximo passo é configurar as estações com o Windows XP. O windows XP deve estar com pelo menos o SP2 instalado.

Selecione as propriedades de sua interface de rede conforme abaixo:

No Windows XP com o SP2 instalado a guia autenticação estará disponível, clique sobre a guia autenticação e configure a mesma conforme abaixo:

Agora clique em configurações e desmarque as opções default deixando sua configuração conforme abaixo:

Para finalizar clique em configurar e desmarque a opção "Usar meu nome e minha senha de logon do windows automaticamente" conforme abaixo:

Pronto, agora para se ter acesso a rede será preciso fornecer usuário e senha para liberação do acesso às portas do switch. O que achei particularmente interessante é que as estações windows ao serem inicializadas realizam login no servidor Freeradius com suas contas de máquina para ter acesso a rede, o que é útil para o acesso remoto do administrador, mas quando o usuário realiza o login as credenciais do usuário são novamente enviadas ao Freeradius e caso o mesmo não pertença ao domínio a estação não terá a porta do switch liberada para acesso.

É isso ai galera. Quaisquer erros neste post, dúvidas ou esclarecimentos estou a disposição.

Para a realização deste post os links abaixo foram utilizados como base:

http://deployingradius.com/documents/configuration/active_directory.html

http://lists.cistron.nl/pipermail/freeradius-users/2009-March/msg00231.html

Um grande abraço a todos.

VPN IPSec com o Banco do Brasil no Centos 5.4

2010-05-27T07:09:00.000-07:00

Recentemente fui incubido da tarefa de criar uma VPN utilizando IPSec entre minha empresa e o Banco do Brasil. Como não encontrei muita documentação disponível escrevo este artigo para facilitar a vida de nossos amigos da comunidade.

Decidi utilizar o Centos pois o mesmo possui uma documentação mais clara a respeito do funcionamento do IPSec em sua distribuição. O único pacote necessário para a configuração da vpn é o ipsec-tools.i386 que já vem instalado por padrão.

Para configurar o túnel IPSec entre minha empresa e o BB realizei as configurações abaixo:

01 - Inicialmente devemos criar o arquivo ifcfg-ipsec0 em /etc/sysconfig/network-scripts/ com a seguinte configuração:

TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK
SRCGW=xxx.xxx.xxx.xxx
DSTGW=170.66.6.34
SRCNET=xxx.xxx.xxx.xxx/xx
DSTNET=170.66.50.0/24
DST=170.66.6.34

As configurações de SRCGW (Source Gateway) e SRCNET (Source Network) devem corresponder as suas informações.

02 - A conexão com o BB utiliza Pre-shared key para a autenticação, por isso devemos criar também em /etc/sysconfig/network-scripts o arquivo keys-ipsec0 que deve conter a chave utilizada para a conexão entre o BB e sua empresa conforme abaixo:

IKE_PSK=xxxxxxxxx

03 - Devemos configurar o Racoon que é o responsável pela troca de chaves através do arquivo /etc/racoon/racoon.conf conforme abaixo:

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

sainfo anonymous
{
pfs_group 2 ;
lifetime time 1 hour ;
encryption_algorithm 3des ;
authentication_algorithm hmac_md5 ;
compression_algorithm deflate ;
}
include "/etc/racoon/170.66.6.34.conf";

Observe que ao se editar o arquivo racoon.conf pela primeira vez a entrada

include "/etc/racoon/170.66.6.34.conf";

ainda não existe uma vez que a mesma é criada automaticamente juntamente com o arquivo e é baseada no DSTGW citado anteriormente no arquivo ifcfg-ipsec0.

04 - Para criar o arquivo automaticamente deve-se iniciar o túnel com o comando ifup ipsec0
para desativá-lo digite ifdown ipsec0. Agora edite o arquivo 170.66.6.34.conf criado em /etc/racoon/ conforme abaixo:

remote 170.66.6.34
{
exchange_mode main;
my_identifier address;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}

Note que a documentaçao oficial do Centos informa que não devemos alterar este arquivo diretamente porém, o arquivo criado automaticamente não corresponde as informações solicitadas pelo BB.

05 - Lembre de ativar o roteamento em seu servidor no arquivo /etc/sysctl.conf alterando a variável net.ipv4.ip_forward para 1

Para habilitar o roteamento use o comando

sysctl -p /etc/sysctl.conf

06 - Mais um passo é necessário para realizar a conexão. As configurações de setkey realizadas por padrão não atendem ao necessário para a conexão, por isso alterei as configurações através de um script iniciado automaticamente através do arquivo /etc/rc.local. O script deve conter os dados abaixo:

#!/sbin/setkey -f

flush;
spdflush;

spdadd 170.66.50.0/24 xxx.xxx.xxx.xxx/xx any -P in ipsec
esp/tunnel/170.66.6.34-xxx.xxx.xxx.xxx/require;
spdadd xxx.xxx.xxx.xxx/xx 170.66.50.0/24 any -P out ipsec
esp/tunnel/xxx.xxx.xxx.xxx-170.66.6.34/require;

07 - Feito isso podemos testar nossa conexão com o comando ifup ipsec0

Note que o IPSec não cria interfaces no sistema como o PPTPD ou o Openvpn, por isso deve-se utilizar o tcpdump para verificar a troca de pacotes com o comando:

tcpdump -ni eth0

Com o tcpdump é possível ver a negociação na primeira e na segunda fase do IPSec e logo após os pacotes criptografados.

EX:

1:41:14.935774 IP xxx.xxx.xxx.xxx.500 > 170.66.6.34.500: isakmp: phase 1 I ident
11:41:14.935792 IP xxx.xxx.xxx.xxx.500 > 170.66.6.34.500: isakmp: phase 1 I ident
11:41:15.009578 IP 170.66.6.34.500 > xxx.xxx.xxx.xxx.500: isakmp: phase 1 R ident
11:41:15.009590 IP 170.66.6.34.500 > xxx.xxx.xxx.xxx.500: isakmp: phase 1 R ident
11:41:15.015531 IP xxx.xxx.xxx.xxx.500 > 170.66.6.34.500: isakmp: phase 1 I ident
11:41:15.015542 IP xxx.xxx.xxx.xxx.500 > 170.66.6.34.500: isakmp: phase 1 I ident
11:41:15.090087 IP 170.66.6.34.500 > xxx.xxx.xxx.xxx.500: isakmp: phase 1 R ident
11:41:15.090097 IP 170.66.6.34.500 > xxx.xxx.xxx.xxx.500: isakmp: phase 1 R ident
11:41:15.095737 IP xxx.xxx.xxx.xxx.500 > 170.66.6.34.500: isakmp: phase 1 I ident[E]
11:41:15.095748 IP xxx.xxx.xxx.xxx.500 > 170.66.6.34.500: isakmp: phase 1 I ident[E]
11:41:15.169339 IP 170.66.6.34.500 > xxx.xxx.xxx.xxx.500: isakmp: phase 1 R ident[E]
11:41:15.169350 IP 170.66.6.34.500 > xxx.xxx.xxx.xxx.500: isakmp: phase 1 R ident[E]
11:41:15.169544 IP xxx.xxx.xxx.xxx.500 > 170.66.6.34.500: isakmp: phase 2/others I inf[E]
11:41:15.169553 IP xxx.xxx.xxx.xxx.500 > 170.66.6.34.500: isakmp: phase 2/others I inf[E]
11:41:16.175291 IP xxx.xxx.xxx.xxx.500 > 170.66.6.34.500: isakmp: phase 2/others I oakley-quick[E]
11:41:16.175303 IP xxx.xxx.xxx.xxx.500 > 170.66.6.34.500: isakmp: phase 2/others I oakley-quick[E]
11:41:16.250253 IP 170.66.6.34.500 > xxx.xxx.xxx.xxx.500: isakmp: phase 2/others R oakley-quick[E]
11:41:16.250264 IP 170.66.6.34.500 > xxx.xxx.xxx.xxx.500: isakmp: phase 2/others R oakley-quick[E]
11:41:16.250530 IP xxx.xxx.xxx.xxx.500 > 170.66.6.34.500: isakmp: phase 2/others I oakley-quick[E]
11:41:16.250540 IP xxx.xxx.xxx.xxx.500 > 170.66.6.34.500: isakmp: phase 2/others I oakley-quick[E]
11:41:16.493689 IP 170.66.6.34 > xxx.xxx.xxx.xxx: ESP(spi=0x0e1e7ad2,seq=0x1), length 76
11:41:16.493702 IP 170.66.6.34 > xxx.xxx.xxx.xxx: ESP(spi=0x0e1e7ad2,seq=0x1), length 76
11:41:16.949526 IP xxx.xxx.xxx.xxx > 170.66.6.34: ESP(spi=0x3bbaa20b,seq=0x1), length 116
11:41:16.949538 IP xxx.xxx.xxx.xxx > 170.66.6.34: ESP(spi=0x3bbaa20b,seq=0x1), length 116
11:41:17.027200 IP 170.66.6.34 > xxx.xxx.xxx.xxx: ESP(spi=0x0e1e7ad2,seq=0x2), length 116
11:41:17.027212 IP 170.66.6.34 > xxx.xxx.xxx.xxx: ESP(spi=0x0e1e7ad2,seq=0x2), length 116
11:41:17.950707 IP xxx.xxx.xxx.xxx > 170.66.6.34: ESP(spi=0x3bbaa20b,seq=0x2), length 116
11:41:17.950720 IP xxx.xxx.xxx.xxx > 170.66.6.34: ESP(spi=0x3bbaa20b,seq=0x2), length 116
11:41:18.025367 IP 170.66.6.34 > xxx.xxx.xxx.xxx: ESP(spi=0x0e1e7ad2,seq=0x3), length 116
11:41:18.025377 IP 170.66.6.34 > xxx.xxx.xxx.xxx: ESP(spi=0x0e1e7ad2,seq=0x3), length 116
11:41:18.952179 IP xxx.xxx.xxx.xxx > 170.66.6.34: ESP(spi=0x3bbaa20b,seq=0x3), length 116

Caso haja algum erro com sua conexão um comando muito útil para verificar as possíveis causas é o racoon -Fd que inicia o racoon em modo debug.
OBS: Para iniciar o racoon em mode debug o instância que está rodando deve ser fechada.

É isso galera para a realização deste artigo utilizei como base a documentação de VPN do Centos que pode ser encontrada em:
http://www.linuxtopia.org/online_books/centos_linux_guides/centos_linux_security_guide/s1-ipsec-net2net.html
http://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-vpn.html

Quaisquer dúvidas ou sugestões estou a disposição.
Um grande abraço a todos.

commandlinefu.com

2010-04-26T09:56:00.000-07:00

Olá comunidade,

Todos nós sabemos do poder da linha de comando do linux, é como ter o "universo" ao alcance das mãos. Exageros a parte a dica de hoje é voltada para nós que nunca nos cansamos de utilizar a linha de comando. No site www.linuxcommandfu.com encontramos uma coletânea de informações sobre as ferramentas de linhas de comando e de como elas são utilizadas para resolver determinados problemas comuns a usuários ou administradores.
É uma excelente maneira de aprender novas formas de utilizar nossos velhos amigos do bash e de contribuir com a comunidade.

Um grande abraço a todos.

Aumentar a memória do java para o Openfire

2010-02-18T09:01:00.000-08:00

Olá amigos,

Hoje vou mostrar como aumentar a memória disponível para o java no Openfire no Ubuntu server 9.10.

Entre no arquivo /etc/default/openfire e altere a opção:

DAEMON_OPTS=""

para

DAEMON_OPTS="-Xms128m -Xmx256m"

Onde -Xms128m significa o mínimo de memória reservada, já o -Xmx256m indica o máximo de memória disponível para o java.

De acordo com alguns fóruns a configuração padrão atende bem a até umas 500 conexões, mas como em meu servidor eu também possuo alguns plugins notei que a memória utilizada estava rapidamente sendo consumida.
Portanto avalie seu servidor e altere a quantidade de memória alocada de acordo com sua realidade.

Um grande abraço a todos.

"gave up waiting for root device" while booting

2010-01-27T05:21:00.000-08:00

Salve salve galera...

Hoje vou postar uma dica referente a um erro de boot no Servidor Ubuntu 9.10 e versões anteriores.

O erro ocorre durante a inicialização do ubuntu em certas placas mãe. A mensagem "gave up waiting for root device" while booting é exibida e logo após o administrador é enviado a um shell de raparo. Neste caso, após algum tempo ao se digitar exit neste shell o sistema inicia normalmente. Mas esse erro impede o servidor de reinicializar sem intervenção manual.

Para sanar este problema, ao se deparar com a mensagem de erro aguarde alguns minutos e entre com o comando exit no terminal de reparo.

Após a inicialização do sistema entre no arquivo /boot/grup/grub.cfg (No ubuntu 9.10 nas versões anteriores o arquivo a ser editado é o /boot/grub/menu.lst)

No arquivo de configuração edite a linha abaixo na menuentry referente a inicialização padrão de seu servidor.

De:
linux /vmlinuz-2.6.31-14-generic-pae root=UUID=064dda95-a53c-4aff-aba7-ec38ea5dd779 ro quiet splash

Para:
linux /vmlinuz-2.6.31-14-generic-pae root=UUID=064dda95-a53c-4aff-aba7-ec38ea5dd779 ro quiet splash rootdelay=90

O parâmetro adicional dá mais tempo para reconhecimento do dispositivo que possui a raíz do sistema e dessa maneira o sistema realiza login sem problemas.

Mais informações referentes as placas mãe e ao bug podem ser encontradas aqui.

Um grande abraço a todos.

Feliz 2010!!!

2010-01-04T11:18:00.000-08:00

Salve galera.

Desejo um feliz 2010 para todos com muito Software Livre pra dar e vender.

Sei que não venho postando como gostaria mas em breve estarei de volta com novos posts.

Um grande abraço a todos.

Extraindo áudio de arquivos .flv

2009-11-11T06:48:00.000-08:00

Salve Salve galera do Software Livre.

Hoje vou mostrar como extrair o áudio dos arquivos .flv, uma mão na roda quando se quer extrair áudio de clipes no youtube.
Existem diversas maneiras de se baixar os arquivos do youtube, plugins para seu navegador ou sites externos, uma boa pesquisada no google vai lhe mostar o caminho.
Uma vez com o .flv em mãos precisamos baixar o aplicativo ffmpeg que é o responsável pela conversão.
O ffmpeg é uma ferramenta bastante poderosa, capaz de converter os mais variados formatos de vídeo e áudio possibilitando também alterações avançadas como redimencionamento de vídeo, alterações no frame rate, bitrate, etc.
Para instalar a ferramenta no ubuntu karmic entre com o comando abaixo:

apt-get install ffmpeg

Após a instalação do aplicativo e suas dependências faz-se necessária a instalação dos pacotes lame e libavcodec-unstripped-52 que realizam a conversão para o formato mp3.

Para a instalação dos pacotes acima é necessário se habilitar os repositórios multiverse em seu arquivo /etc/apt/sources.list

Agora que estamos com todos os pacotes podemos realizar a conversão conforme os exemplos abaixo:

ffmpeg -i arquivo.flv arquivo.mp3

Podemos utilizar mais opções para customizar o arquivo gerado.

ffmpeg -i arquivo.flv -ar 44100 -ab 192k -ac 2 arquivo.mp3

Onde:

-ar Define a frequência do áudio.
-ab Define o bitrate do áudio.
-ac Define o número de canais de áudio.

Para mais opções verifique man do ffmpeg.

Um grande abraço a todos.

Análise de Performance no linux

2009-10-27T07:36:00.000-07:00

Olá amigos da comunidade.

Hoje vou tratar de um assunto que considero importante, Análise de Performance. Esse tópico torna-se importante especialmente quando precisamos de dados para convencer um gerente ou chefe que entende muito pouco de TI a atualizar ou comprar um novo servidor.

O linux possui diversas ferramentas para que vc possa acompanhar de perto como anda o fôlego do seu servidor.

O desempenho de um sistema é verificado de acordo com a maneira com que seus recursos são alocados e compartilhados.

Os recursos que têm impacto direto no desempenho são:

Memória
CPU
E/S do HD
E/S da placa de rede.

Existem diversas ferramentas para verificação de seu servidor. As ferramentas que mais utilizo são as seguintes:

htop
vmstat
procinfo
iotop
iftop

htop --> Similar ao top essa ferramenta de linha de comando permite a visualização dos processos e qual o consumo de recurso dos mesmos.
Para acioná-la basta digitar htop no terminal.

No canto superior da tela é possível ver informações de uso de memória, CPU e swap. As informações exbidas podem ser customizadas através do F2.

vmstat --> Essa ferramenta é bastante útil na verificação de uso de swap. Para visualizar as informações basta digitar o comando seguido das opções.
Para maiores informações quanto as opções do vmstat verifique a documentação da ferramenta.

EX:

user@destroyer:~$ vmstat -S k 5
procs -----------memory---------- ---swap-- -----io---- -system-- ----cpu----
r b swpd free buff cache si so bi bo in cs us sy id wa
1 0 348409 28598 12300 144695 1 9 35 26 230 546 12 2 84 2
0 0 348409 28581 12312 144814 0 0 26 38 697 1617 21 3 76 0
2 0 348409 27947 12312 144945 0 0 23 16 787 1640 19 4 77 0
1 0 348409 22237 12320 144945 0 0 0 16 665 1955 18 4 79 0
1 0 348409 27938 12320 144945 0 0 0 0 681 1487 16 4 80 0
0 0 348409 27938 12341 145252 0 0 66 6 804 2019 26 4 69 0

O comando acima vai gerar informações a cada 5 segundos sobre os recursos do sistema. A parte importante a ser verificada é a coluna swap que possui as opções si e so que correspondem a swap in e swap out.
swap in - Quantidade de memória virtual vinda do disco.
swap out - Quantidade de memória virtual indo para o disco.

O ideal seria manter os valores de si e so sendo zero, caso isso não seja possível a máquina deve funcionar bem com o valor de si e so na casa dos 30. Acima desse valor o desempenho já será bastante prejudicado.

procinfo --> Permite visualizar os recursos do sistema em tempo real com dados colhidos do diretório /proc cujo conteúde deve ser bem conhecido de todos os administradores linux. Através desse comando podemos verificar as irqs, memória, dispositivos, etc.
Para ter acesso as informações basta digitar o comando procinfo diretamente na linha de comando.

EX:

Memory: Total Used Free Buffers
RAM: 993960 975556 18404 8660
Swap: 2931820 355180 2576640

Bootup: Tue Oct 27 07:17:20 2009 Load average: 0.33 0.53 0.63 3/305 16561

user : 01:22:56.09 12.5% page in : 1386665
nice : 00:01:08.40 0.2% page out: 1002060
system: 00:16:10.55 2.4% page act: 289409
IOwait: 00:09:36.47 1.4% page dea: 414192
hw irq: 00:00:27.28 0.1% page flt: 26090361
sw irq: 00:00:11.39 0.0% swap in : 15268
idle : 09:13:21.58 83.4% swap out: 88738
uptime: 05:31:24.90 context : 23071141

irq 0: 2203479 timer irq 16: 534369 ohci_hcd:usb3, oh
irq 1: 27854 i8042 irq 17: 0 ehci_hcd:usb1
irq 4: 4 irq 18: 0 ohci_hcd:usb5, oh
irq 6: 3 floppy irq 19: 494493 ehci_hcd:usb2
irq 7: 0 parport0 irq 22: 254602 ahci
irq 8: 1 rtc0 irq 2300: 206016 eth0
irq 9: 0 acpi irq 2301: 0 fglrx[0]@PCI:1:5:
irq 12: 526037 i8042 irq 2303: 2725465 hpet2

sda 97858r 50504w sdb 0r 0w
sda1 33r 0w sdc 0r 0w
sda2 30r 0w sdd 0r 0w
sda3 3r 0w sde 0r 0w
sda5 95408r 48239w sdf 0r 0w
sda6 2363r 2265w

lo TX 1.41KiB RX 1.41KiB pan0 TX 0.00B RX 0.00B
eth0 TX 37.42MiB RX 63.99MiB

iotop --> Ferramenta bastante interessante utilizada para quantificar a E/S de aplicativos e dispositivos. A ferramenta só pode ser utilizada em kernels 2.6.20 ou mais recentes. Podemos verificar que processos estão tomando mais tempo de encrita nos dispositivos físicos, o que é muito importante para se descobrir quais aplicações estão sendo gargalos no sistema.

Ex:

iotop -o

Total DISK READ: 0 B/s | Total DISK WRITE: 60.24 K/s
PID USER DISK READ DISK WRITE SWAPIN IO> COMMAND
4685 user 0 B/s 0 B/s 0.00 % 0.00 % firefox

iftop --> O iftop é utilizado para medir a quantidade de banda consumida por determinada interface. Podemos fazer a verificação de todo o tráfego ou apenas de sub-redes ou hosts o que é importante em firewalls e roteadores linux por exemplo para verificar o quanto de banda determinado host está utilizando.
As opções da ferramenta podem ser verificadas na documentação da mesma.

EX:

iftop -npP -i eth0

iftop -npP -F 10.10.255.0/34 -i eth0 (rede)

iftop -npP -F 10.10.255.10/32 -i eth0 (host)

É isso ai galera, quaisquer dúvidas ou sugestões estou a disposição.
Grande abraço.

Data e hora no history

2009-10-14T12:26:00.000-07:00

Essa dica é bem legal em ambientes onde mais de um administrador têm acesso aos servidores linux. Muitas vezes queremos saber quando determinado comando foi rodado ou alguma alteração realizada e na maioria das vezes utilizamos o comando history para isso.

history | less

O comando nos mostra apenas os últimos comandos executados:

...
465 dpkg --listfiles clamav-base
466 dpkg --listfiles clamav
467 dpkg --listfiles clamav-freshclam
468 clear
469 rdesktop 10.10.255.17 -g 90% &
470 clear
471 ssh root@10.10.255.1
472 clear
473 ssh root@10.10.255.1
...

Nesse formato não sabemos exatamente quando os programas foram executados. Mas podemos exibir data e hora de execução dos comandos nos history alterando a variável HISTTIMEFORMAT conforme abaixo:

export HISTTIMEFORMAT="%h/%d - %H:%M:%S "

Após a alteração o comando history exibe as informações conforme abaixo:

...
78 Out/14 - 12:36:54 mount -a
79 Out/14 - 12:37:00 mount
80 Out/14 - 12:37:14 exit
81 Out/14 - 12:39:08 clear
82 Out/14 - 12:39:08 ls
83 Out/14 - 12:39:10 clear
84 Out/14 - 12:39:11 ls
85 Out/14 - 12:39:17 ls -laht
...

Para que as alterações continuem ao se reiniciar o computador basta adicionar a seguinte linha no final do arquivo /etc/bash.bashrc no Ubuntu server 9.04.

export HISTTIMEFORMAT="%h/%d - %H:%M:%S "

É isso ai galera. Um grande abraço a todos os Linux Warriors...

COALTI

2009-09-29T11:52:00.000-07:00

Nos dias 09, 10 e 11 de outubro irá se realizar em Maceió no Hotel Maceió Mar o COALTI (1° Congresso Alagoano de Tecnologia da Informação), com palestras e a realização da prova de certificação LPI. O evento está sendo organizado pelo meu amigo Giba, sinal de que vai ser um grande evento.
Para maiores informações acesse o site do evento:

http://www.coalti.com.br

Grande abraço...

Reparo de bases de dados corrompidas no Mysql

2009-09-29T10:52:00.000-07:00

Recentemente, inspirado por bases de dados corrompidas em um servidor capenga, venho utilizando algumas ferramentas para correção de bases de dados do servidor Mysql.

VERIFICANDO

O Mysql permite que bases de dados sejam checadas com o servidor rodando. Segue a listagem das ferramentas e o estado do servidor ao utilizá-las.

MYSQL CHECK TABLE -- Deve ser utilizado no prompt do servidor Mysql (Logicamente o servidor Mysql deve estar rodando)

mysqlcheck -- O servidor Mysql pode ou não estar rodando.

myisamchk -- O servidor deve estar parado.

Verificando tabelas com o CHECK TABLE

CHECK TABLE tablename[,tablename2...] [option][,option2...]

As opções disponíveis permitem o ajuste da verificação que pode ser mais profunda ou superficial.

Quick
A opção mais rápida, não verifica os "rows" em busca de links incorretos. Geralmente utilizada quando não há suspeita de erros.

Fast
Realiza a verificação das tabelas se as mesmas não forem devidamente fechadas. Geralmente utilizada quando a suspeita de erros na base é mínima. Geralmente em decorrencia de uma falha elétrica.

Changed
Similar ao Fast, mas verifica também tabelas que foram alteradas desde a última verificação.

Medium
A opção "default" se nenhuma opção for especificada. Verifica as linhas a procura de links deletados incorretos, verifica e calcula o checksum de todas as chaves e linhas.

Extented
A opção mais lenta, utilizada quando os outros métodos não apontam erros mas ainda há a suspeita de erros. Bastante lento uma vez que verifica todos os valores de todas as colunas e linhas. Aumentando-se o valor da variável key-buffer-size no arquivo de configuração do Mysql torna a verificação mais rápida.

Verificando tabelas com o mysqlcheck

mysqlcheck [options] dbname tablename [tablename2... ]

As opções para o utilitário permitem checar, analizar, reparar e optimizar as bases de dados.

--auto-repair
Utilizada em conjunto com a opção check, vai automaticamente reparar qualquer dado corrompido encontrado.

--check, -c
Verifica as tabelas.

--check-only-changed, -C
Verifica a base em conjunto com a opção changed acima.

--extended, -e
Verifica a base em conjunto com a opção extended acima.

--fast, -F
Verifica a base em conjunto com a opção fast a acima.

--medium-check, -m
Verifica a base em conjunto com a opção medium acima.

--quick, -q
Verifica a base em conjunto com a opção quick acima.

Verificando tabelas com o comando myisamchk

myisamchk [options] tablename.MYI

Trabalha com tabelas do tipo MyISAM (que possuem arquivos .MYD e .MYI para guardar informações sobre dados e índices)

As principais opções disponíveis para o utilitário são:

--check, -c
Opção default

--check-only-changed, -C
Verifica a base junto com a opção changed acima.

--extend-check, -e
Verifica a base em conjunto com a opção extended acima.

--fast, -F
Verifica a base em conjunto com a opção extended acima.

--force, -f
Executa o mode de reparo caso erros sejam encontrados.

--information, -i
Exibe informações sobre a tabela verificada.

--medium-check, -m
Verifica a base em conjunto com a opção medium acima.

--read-only, -T
Não marca a tabela como verificada.

--update-state, -U
Armazena quando a tabela foi checada e o momento de um eventual crash nos arquivos *.MYI

REPARANDO

Na maioria dos casos apenas os índices estarão corrompidos, (O arquivo de índice é um arquivo menor separado que aponta para o arquivo de dados). Dados realmente corrompidos são raros. Conforme na vimos na verificação são três os métodos de reparo.

MYSQL REPAIR TABLE - Deve ser utilizado com o servidor rodando.

mysqlcheck -- O servidor Mysql pode ou não estar rodando.

myisamchk -- O servidor deve estar parado.

Reparando tabelas com o REPAIR TABLE

REPAIR TABLE tablename[,tablename1...] [options].

As principais opções disponíveis são:

QUICK
O mais rápido, uma vez que o arquivo de dados não é modificado.

EXTENDED
Tenta recuperar todas as linhas possíveis no arquivo de dados, o que pode resultar em linhas com inconsistências. Use em último caso. USE_FRM Usado para reconstruir o arquivo de index caso o mesmo esteja corrompido ou se foi excluído.

USE_FRM
Deve ser utilizado quando os arquivos *.MYI (arquivos de índice) estiverem faltando ou corrompidos. Utilizado para reconstruir os arquivos de index.

Reparando tabelas com o mysqlcheck

mysqlcheck [options] [db_name [tbl_name ...]]

Podem ser utilizadas todas as opções descritas para o utilitário acima adicionando-se a elas a opção (--repair, -r).

Reparando tabelas com o myisamchk

myisamchk [options[ [tablenames]

O servidor deve estar parado, ou as tabelas inativas, o que é garantido quando ao opção --skip-external-locking não está em uso. O caminho para as arquivos .MYI deve ser especificado. As principais opções disponíveis são:

--backup, -B
Cria um backup (.BAK) da tabela antes de repará-la.

--correct-checksum
Realiza correções de checksum.

--data-file-length=valor, -D=valor
Especifica o valor máximo do arquivo de dados. Utilizado na recriação do arquivo.

--extend-check, -e
Tenta recuperar todas as linhas possíveis no arquivo de dados, o que pode resultar em linhas com inconsistências. Use em último caso.

--force, -f
Reescreve arquivos temporários antigos (.TMD) ao invés de abortar o reparo caso encontre um.

--recover, -r
A opção mais utilizada, repara a maioria dos problemas encontrados.

--safe-recover, -o
Verificação mais detalhada, porém mais lenta que a -r. Lê todas as linhas e reconstroi os índices baseado nelas.

--tmpdir=caminho
Altera o caminho de criação dos arquivos temporários

--quick
O método de reparo mais rápido, uma vez que o arquivo de dados não é modificado.

Exemplos:

mysql> CHECK tabela01 EXTENDED;

mysql> REPAIR tabela01 EXTENDED USE_FRM,

mysqlcheck --medium-check --auto-repair banco01 tabela01 -u usuário -p

mysqlcheck --repair --check banco01 tabela01

myisamchk --check --update-state *.MYI

myisamchk --repair --backup *.MYI

Como esses comandos simples consigo resolver a maioria dos problemas em bases de dados Mysql. Quaisquer dúvidas ou contribuições são bem vindas.

Um grande abraço a todos da comunidade.

Apache autenticando no AD / LDAP com o ubuntu server 9.04

2009-09-17T06:04:00.000-07:00

Olá amigos do software livre. Estive meio atarefado e não venho postando no blog como gostaria, mas chega de conversa mole e vamos ao que interessa.

É praticamente padrão o uso de aplicações web nas intranets das empresas. Para facilitar o controle de usuários mantendo uma base centralizada podemos autenticar o apache na base de dados do AD ou se vc tiver mais sorte migra tudo pra uma base LDAP em linux... Hehehe.

Vamos aos passos para a autenticação do Apache2 no AD / LDAP.

Primeiramente devemos habilitar o módulo authnz_ldap que já vem instalado juntamente com o apache2 criando o link simbólico no diretório /etc/apache2/mods-enabled/ ou través do comando a2enmod.

a2enmod authnz_ldap

ou

ln -s /etc/apache2/mods-avaliable/authnz_ldap.load /etc/apache2/mods-enabled/authnz_ldap.load

Habilitado o módulo vamos as configurações para a autenticação.

No arquivo de configuração do seu site no "conteiner" Directory adicione os parâmetros abaixo:

AuthType Basic
AuthName "Acesso ao Site"
AuthBasicProvider ldap
AuthzLDAPAuthoritative off
AuthLDAPUrl ldap://servidor_ldap:porta/DC=dominio,DC=com,DC=br?sAMAccountName
AuthLDAPBindDN "CN=usuário,OU=usuários,DC=domínio,DC=com,DC=br"
AuthLDAPBindPassword "senha"
require valid-user

Após as configurações recarrege as configurações do apache para que o módulo seja carregado.

/etc/init.d/apache2 force-reload

Agora é só acessar ao site e conferir a autenticação.

Um abraço a todos.

Backup do Mysql com o mysqldump

2009-09-09T09:30:00.000-07:00

Devido a correria aqui no trampo estou sem tempo para postar no blog.
Estou fazendo um monte backups para passarmos para para a nova estrutura de servidores blade.
Já que estamos falando em backup aqui vai como realizar backups no mysql com o mysqldump e as descrições de algumas opções importantes.

Opções:

-A: Todos os bancos de dados
-B: Seleciona o banco de dados a ser salvo
-d: Salva toda a estrutura de tabelas mas sem os dados
-c: Usar comandos insert completos na criação do arquivo de saída.

Exemplos:

mysqldump -u usuário --password=senha -A > arquivo_de_saída

mysqldump -u usuário --password=senha -A -d >arquivo_de_saída

mysqldump -u usuário --password=senha -B Banco01 Banco02 > arquivo_de_saída

mysqldump -u usuário --password=senha -B Banco01 [tabelas] > arquivo_de_saída

É isso ai.

Até a próxima...

O poder do Nmap

2009-08-31T13:00:00.000-07:00

O Nmap é uma poderosa ferramenta para mapeamento de rede. O que diferencia o Nmap das demais opções disponíveis é a grande quantidade de técnicas e opções disponíveis para a varredura de rede.
O propósito deste artigo é mostrar as principais técnicas e opções de varredura existentes nesta versátil ferramenta.
O Nmap é mantido por "Fyodor" em seu website http://www.insecure.org o site possui bastante conteúdo para quem se gosta de segurança da informação.

Agora vamos ao que interessa.

O Nmap está presente em praticamente todos os repositórios de praticamente todas as distribuições. Para instalá-lo no ubuntu 9.04 siga o passo a seguir:

apt-get install nmap

Depois de instalado o Nmap está pronto para ser utilizado.

Para se ter acesso a todo o poder de fogo do Nmap é preciso que você esteja logado no sistema como um usuário privilegiado uma vez que o nmap utiliza pacotes customizados que só podem ser gerados por usuários com acesso total aos recursos do sistema. O uso do Nmap por usuários não privilegiados não significa que o mesmo não irá funcionar, mas certos métodos de varredura não estarão disponíveis para esses usuários.

Técnicas de Varredura

O Nmap possui Quinze métodos de varredura, cada um com suas características, vantagens e desvantagens.

Abaixo segue um sumário dos métodos de varredura utilizados pelo Nmap.

TCP SYN Scan(-sS)

Este método de varredura permite ao Nmap colher as informações a respeito de portas abertas sem completar o processo de conexão conhecido como "TCP Handshake". Quando uma porta é identificada o processo de "TCP Handshake" é reiniciado sem que a conexão seja realizada.
Uma das vantagens desse método é que uma vez que a conexão não é efetivamente criada ela não vai constar nos logs do sistema alvo.
Esse método de varredura é utilizado por default no Nmap para usuários privilegiados.

TCP connect Scan (-sT)

Este método de varredura utiliza uma conexão TCP normal para determinar as portas abertas em um dispositivo remoto. Uma das vantagens deste método é que não há a necessidade de se utilizar um usuário privilegiado para a varredura, já a desvantagem deste método é que uma vez que a conexão é efetivamente realizada, a mesma vai constar nos logs do sistema alvo.

FIN Scan (-sF), Xmas Tree Scan (-sX) e Null Scan (-sN)

Estas três formas de varredura estão agrupadas porque seu funcionamento é bastante similar. Esses tipos de varredura são conhecidos como "stealth" pois mandam apenas um pacote para o host a ser verificado e aguarda apenas um pacote como retorno, utilizando o mínimo possível de banda para a verificação.

FIN Scan

Este método consiste no envio de um pacote com a flag FIN para a o dispositivo a ser verificado. Se um pacote FIN for enviado a uma porta fechada um pacote com a flag RST será enviado como resposta. Já se a porta estiver aberta nenhuma resposta é enviada de volta a estação realizando a varredura. Há também a possibilidade de que a porta sendo monitorada esteja sendo gerenciada por um firewall que realize o DROP do pacote enviado a porta em questão. Por isso os resultados apresentados por esse scan são apresentados como abaixo:

nmap -sF -v 192.168.0.1
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-04-23
21:17 EDT
Initiating FIN Scan against 192.168.0.1 [1663 ports] at 21:17
The FIN Scan took 1.51s to scan 1663 total ports.
Host 192.168.0.1 appears to be up ... good.
Interesting ports on 192.168.0.1:
(The 1654 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open|filtered ftp
22/tcp open|filtered ssh
23/tcp open|filtered telnet
79/tcp open|filtered finger
110/tcp open|filtered pop3
111/tcp open|filtered rpcbind
514/tcp open|filtered shell
886/tcp open|filtered unknown
2049/tcp open|filtered nfs
MAC Address: 00:03:47:6D:28:D7 (Intel)
Nmap finished: 1 IP address (1 host up) scanned in 2.276 seconds
Raw packets sent: 1674 (66.9KB) | Rcvd: 1655 (76.1KB)
#

Os resultados são exibidos como (open|filtered) pois não há como se ter certeza de que não haja um firewall realizando o DROP nas portas verificadas. Outros métodos podem ser utilizados para verificar o real estado das portas.

XMAS Tree Scan (-sX)

Funciona da mesma forma que o FIN Scan, com a diferença de que as flags setadas são as URG e PUSH. Os resultados exibidos são similares ao do FIN Scan.

Null Scan (-sN)

Funciona da mesma forma que o FIN Scan, com a diferença de que nenhuam flag é setada para esse método de varredura. Os resultados exibidos também são similares ao do FIN Scan.

Dentre as vantagens destes métodos de varredura se destaca o fato de estes serem os métodos menos invasivos, não gerando nenhuma entrada nos logs do dispositivo verificado.

Infelizmente a Microsoft não segue os padrões definidos em RFC para o protocolo TCP/IP por isso para essas formas de verificação todas as portas, independente de seu estado, vão constar como fechadas. Portanto esses métodos se mostram ineficazes em hosts com windows.
Em contrapartida estações que exibem portas como open|filtered de certo não são estações baseadas em windows, facilitando o processo de identificação do SO.

Ping Scan (-sP)

O Ping Scan é um dos métodos de varredura mais rápidos do Nmap uma vez que nenhuma porta é verificada. Este método é útil para detectar hosts ativos e para verificar se o protocolo ICMP está trafegando através de determinado firewall.

Version Detection (-sV)

Enquanto a maioria dos métodos do Nmap se destina a identificar o número das portas, o método Version Detection se preocupa em identificar a versão dos serviços rodando no host remoto.
Para este método funcionar o Nmap precisa do arquivo nmap-service-probes que no Ubutu encontra-se em /usr/share/nmap/nmap-service-probes. Se este arquivo não estiver presente o método não irá funcionar.
O método de verificação de versão deve ser utilizado com outro tipo de scan para detectar as portas abertas. Se nenhum outro tipo de scan foi especificado o TCP SYN Scan é utilizado por padrão.
A vantagem de se utilizar o método acima é estar sempre ciente das versões dos serviços rodando em sua rede para mantê-los sempre atualizados.

UDP Scan (-sU)

No UDP Scan, de acordo com as definições do próprio protocolo, não há "handshaking". Os pacotes são enviados e recebidos sem aviso, simplificando o processo processo de varredura.

IP PROTOCOL Scan (-sO)

O Protocol Scan é diferente dos demais, esse método se destina a identificar protocolos IP adicionais no host remoto como ICMP, TCP e UDP.
A principal função do IP protocol é identificar a função do host remoto na rede, uma vez que quando um roteador é scaneado por exemplo, protocolos adicionais podem ser exibidos como o EGP ou IGP.

ACK Scan (-sA)

O método ACK Scan não se destina a descobrir portar abertas mas em definir o estado de "filtered" ou "unfiltered" uma vez que não há conexão para verificar o estado da porta. O ACK Scan nos provê a capacidade de verificar se determinado pacote pode ou não atravessar um firewall ou um link com filtro de pacotes.

Windows Scan (-sW)

O Windows Scan tem seu esse nome devido a definição de janelas no TCP e não devido ao Sistema Operacional da Microsoft. Este método é similar ao ACK Scan com o diferencial de descobrir se existem ou não portas abertas no host remoto.

RPC Scan (-sR)

O RPC Scan é utilizado para localizar e identificar serviços RPC. Depois de identificar as portas abertas com qualquer outro método de varredura o RPC Scan envia a cada porta um RPC Null para gerar uma resposta da aplicação RPC a fim de determinar o serviço RPC. O RPC Scan é executado automaticamente quando um Version Detection Scan (-sV) é executado.

LIST Scan (-sL)

O List Scan não é realmente uma varredura, mas provê ao nmap a capacidade de testes e de "troubleshooting". Esse método apenas lista os IPs que normalmente seriam scaneados.

IdleScan (-sI )

O IdleScan é uma forma engenhosa de se colher informações utilizando outra estação da rede, aparentando que outra estação iniciou o processo de varredura. Consulte a fonte indicada no final deste artigo para maiores informações a respeito do funcionamento deste excepcional método de varredura.

FTP Bounce Attack (-b )

O FTP Bounce Attack utiliza uma falha em servidores FTP para realizar sua varredura. Como o IdleScan este método utiliza um terceiro host na realização do scan. Para maiores informações a respeito do FTP Bounce Attack acesse o link http://www.insecure.org/nmap/hobbit.ftpbounce.txt.

Neste artigo foram descritas os principais métodos de varredura realizados pelo Nmap. Para maiores informações a respeito do funcionamento de cada método e informações detalhadas a respeito do Nmap acesse o excelente material disponibilizado por James Messer em seu site que foi usado como fonte para este artigo, lá você irá encontrar informações bem mais detalhadas a respeito dessa poderosa ferramenta.

http://www.networkuptime.com/nmap/index.shtml

Grande abraço.

Windows 7 Sins

2009-08-28T12:33:00.000-07:00

A Free Software Foundation lançou a campanha "Windows 7 Sins" com argumentos mais do que convincentes contra o M$ Windows que vêm por ai.
Vale a conferida.

http://windows7sins.org/

Grande abraço.

Como implementar SPF em um servidor Postfix

2009-08-26T11:31:00.000-07:00

A maioria das mensagens abusivas de emails têm falsos remetentes. Neste momento alguém pode estar forjando um email de sua empresa para enviar mensagens abusivas a terceiros. Mas há uma forma de se protejer desses abusos utilizando o SPF.

O SPF é a sigla de Sender Policy Framework que define o conjunto de regras para prevenir a falsificação do endereço do remetente.

O SPF funciona da seguinte forma:

Inicialmente o administrador do domínio deve publicar em seu DNS as informações pertinentes a sua política de envio de email, que nada mais é do que informar aos demais servidores de correio com suporte a SPF quais são os endereços que podem enviar mensagens cuja a origem seja o seu domínio.

Para publicar as informações referentes a sua política de envio de email você deve ter um servidor de DNS funcionando. Se você ainda não possui um servidor de DNS existem inúmeros tutoriais disponíveis na internet para este fim.

Seguem alguns exemplos de publicação de SPF que deve estar em seu arquivo de zona de DNS.

EX01.

IN TXT "v=spf1 ip4:200.200.200.200/32 -all"

Onde:

v=spf Significa a versão (Sendo a SPFv1 a mais atual)
ip4:200.200.200.200/32 Significa que o ip 200.200.200.200 pode enviar emails por esse domínio.
-all Significa que os demais endereços não podem enviar email por esse domínio.

EX02.

IN TXT "v=spf1 mx -all"

v=spf Significa a versão do SPF
mx Significa que todos os registros MX publicados no DNS do domínio podem enviar email por esse domínio.
-all Significa que os demais endereços não podem enviar email por esse domínio.

Para uma sintaxe completa da publicação da política de email acesse:

http://www.openspf.org/SPF_Record_Syntax

Você pode ainda verificar como os demais servidores estão publicando suas políticas de envio de email, lembrando que nem todos os servidores utilizam SPF, mas com o número crescente de emails falsos o SPF vem se tornando padrão em todas as empresas que querem garantir a autenticidade de seus emails. Você pode consultar as políticas de email conforme os comandos abaixo:

host -C (Domínio a ser verificado)

EX.

alexandre@destroyer:~$ host -C terra.com.br
Nameserver ns2.terra.com.br:
terra.com.br has SOA record dns.terra.com.br. sysadm.terra.com.br. 2009082706 7200 7200 2419200 7200
Nameserver ns1.terra.com.br:
terra.com.br has SOA record dns.terra.com.br. sysadm.terra.com.br. 2009082706 7200 7200 2419200 7200

O comando informa quais são os servidores de DNS SOA para o domínio informado. Para consultar as entradas de SPF do domínio entre com o comando abaixo:

dig @(Servidor do domínio) (Domínio a ser verificado) (Tipo da Consulta)

EX.

alexandre@destroyer:~$ dig @ns1.terra.com.br terra.com.br TXT

; <<>> DiG 9.5.1-P2 <<>> @ns1.terra.com.br terra.com.br TXT
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37087
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;terra.com.br. IN TXT

;; ANSWER SECTION:
terra.com.br. 7200 IN TXT "v=spf1 ip4:200.176.10.0/23 ip4:200.176.2.0/23 ip4:200.154.152.0/24 ip4:208.84.242.0/23 include:tmp-spf.terra.com.br include:ti-spf.terra.com.br include:te-spf.terra.com.br -all"

;; AUTHORITY SECTION:
terra.com.br. 7200 IN NS ns1.terra.com.br.
terra.com.br. 7200 IN NS ns2.terra.com.br.

;; ADDITIONAL SECTION:
ns1.terra.com.br. 7200 IN A 200.176.2.172
ns2.terra.com.br. 7200 IN A 200.176.2.173

;; Query time: 129 msec
;; SERVER: 200.176.2.172#53(200.176.2.172)
;; WHEN: Fri Aug 28 09:37:41 2009
;; MSG SIZE rcvd: 287

A parte em negrito da resposta ao comando informa a configuração de SPF do servidor em questão. Adapte esta consulta para analisar as configurações de outros domínios.

Com esse passo concluído os demais servidores podem verificar a sua política de email e verificar a autenticidade dos emails recebidos de seu domínio. Resta agora configurar nosso servidor para verificar as políticas de email dos demais servidores.

Existem alguns patches e extensões disponíveis para o Postfix que exigem que o postfix seja recompilado, neste artigo utilizaremos o postfix-policyd-spf-perl que pode ser encontrado em http://www.openspf.org/Software ou no repositório padrão dos servidores Ubuntu.
Este aplicativo trata-se de um pacote perl que pode ser implementado em instalações já existentes de postfix.

A instalação foi realizada em um servidor Ubuntu 8.10.

Inicialmente instale o pacote postfix-policyd-spf-perl e suas dependências conforme a baixo:

apt-get install postfix-policyd-spf-perl

Após a instalação edite o arquivo /etc/postfix/masters.cf e adicione a linha abaixo:


[...]
policy  unix  -       n       n       -       -       spawn
    user=nobody argv=/usr/bin/perl /usr/sbin/policyd-spf-perl

O próximo passo é editar o arquivo /etc/postfix/main.cf no parâmetro smtpd_recipient_restrictions conforme abaixo:

[...]
smtpd_recipient_restrictions =
        [...]
        reject_unauth_destination
        check_policy_service unix:private/policy
        [...]
[...]

IMPORTANTE:

Você deve especificar reject_unauth_destination sempre antes de check_policy_service ou seu servidor de correio pode se tornar um Open Relay.

Para maiores informações sobre os parâmetros de configuração do Postfix acesse http://www.postfix.org/postconf.5.html

Feito isso reinicie seu servidor Postfix

/etc/init.d/postfix restart

Pronto... seu servidor já está configurado para verificar os registros SPF de outros servidores, confira no seu arquivo de log do postfix para verificar o funcionamento do SPF. Os logs são bem diretos e você não precisará de muito tempo para entender as entradas no arquivo de log.Para entender o funcionamento do SPF confira a documentação instalada.

Para maiores informações consultem os links abaixo que serviram de base para este artigo.

http://www.openspf.org/
http://www.postfix.org/postconf.5.html
http://www.howtoforge.com/postfix_spf

Listar compartilhamentos no M$ Windows.

2009-08-25T04:33:00.000-07:00

Quer listar compartilhamentos de estações/Servidores com o M$ windows no linux? Fácil...

smbclient -L nome-da-máquina -U usuário -W domínio/grupo-de-trabalho

Logo após entre com a senha do usuário. Se você precisar entrar diretamente com a senha na linha de comando para scripts ou afins basta adicionar a senha a linha acima conforme abaixo:

smbclient -L nome-da-máquina -U usuário%senha -W domínio/grupo-de-trabalho

Grande abraço.

Utilizando o Evolution como cliente do exchange 2007 com a extensão evolution-MAPI

2009-08-24T11:05:00.000-07:00

Para a visualização dos emails recebidos pelo servidor exchange 2003 aqui da empresa eu utilizava a extensão evolution-exchange que fazia uso do OWA para acesso aos emails. Após a migração do Exchange para a versão 2007 este recurso parou de funcionar tive de acessar meus emails via web até descobrir o uso da extensão evolution-mapi.

A extensão encontra-se disponível nos repositórios do Ubuntu 9.04 e para instalá-la basta entrar com o comando abaixo:

apt-get install evolution-mapi

Caso o evolution esteja aberto feixe-o e abra o aplicativo novamente.

Para configurar sua conta através do evolution-mapi siga os passos abaixo:

Abrir o evolution --> Editar --> Preferências --> Adicionar/Editar

Clique em Avançar

Preencha o campo identidade com suas informações pertinentes.

Após a instalação do exchange-mapi a opção Exchange MAPI é exibida no tipo de servidor conforme imagem acima. Em alguns casos ao se utilizar o FQDN ao se referenciar ao servidor ocorrem erros inesperados, mas esses erros não ocorrem caso se utilize o ip do servidor. Portanto entre com o ip do servidor e as demais informações de sua conta conforme a imagem acima.

Para ter acesso a GAL preencha o campo acima conforme seu domínio.

A extensão exchange-mapi ainda é um pouco lenta na checagem das mensagens no servidor, mas para quem é como eu que não abre mão de utilizar softwares livres mesmo em um ambiente misto, é uma mão na roda.

Instalando o Bandwidthd no Ubuntu Server 8.10

2009-08-24T10:07:00.000-07:00

O Bandwidthd mostra a utilização de banda da rede através de relatórios com gráficos para serem visualizados através de seu web browser.

Siga os passos abaixo para a instalação do Bandwidthd no seu Ubuntu Server.

apt-get install bandwidthd

O instalador vai solicitar as informações referentes a que subredes e que interfaces devem ser monitoradas. Responda as perguntas de acordo com o seu ambiente.

O arquivo responsável para configuração do Bandwidthd encontra-se em:

/etc/bandwidthd/bandwidthd.conf

Ao se abrir o arquivo de configuração você encontrará as informações dadas durante a instalação que podem ser alteradas manualmente, mas a opção a ser verificada é a htdocs_dir que informa onde os relatórios html serão gerados.

Pressupondo que você já tem o apache instalado e não utiliza virtualhosts aponte a geração dos relatórios para /var/www.

O Bandwidthd adiciona um script para controle do serviço em /etc/init.d/bandwidthd

Após a configuração do diretório reinicialize o serviço do Bandwidth com o comando:

service bandwidth restart
ou
/etc/init.d/bandwidth restart

Agora aponte seu navegador para http://

ip-do-servidor ou nome-do-servidor para visualizar a página inicial com as informações de utilização de banda em sua rede.

Para mim o principal uso desta ferramenta é mostrar aos clientes o uso de banda de forma mais amigável através de gráficos uma vez que prefiro utilizar ferramentas em modo texto como o iftop para verificação de banda em tempo real.

Para maiores informações sobre o Bandwidthd acesse o site:
http://bandwidthd.sourceforge.net/

Primeiro Post

2009-08-24T10:00:00.000-07:00

Olá, Esse é o meu primeiro post deste blog.
Aqui vou postar informações referentes a TI, principalmente sobre Linux e de como integrar o mesmo com outros sistemas operacionais.
Um grande abraço a todos.