[Tiago Gomes]

A cada dia torna-se mais evidente a ascensão na aquisição de produtos eletrônicos-computacionais pela então classificada “classe aspiracional” comumente chamada de Classe C. Volta e meia meu sono é interromido pelos jargões das propagandas das Casas Bahia, Ricardo Eletro e outras que anunciam computadores por menos dos R$ 1000,00 e com possibilidades de parcelamento em até 36 Vezes e caso haja necessidade de re-parcelamento você ainda financia em paralelo ao seu apartamento com número de parcelas a serem comemorados no final junto à inauguração do apartamento, rs. Este nicho de consumo que hoje corresponde a 46% dos brasileiros torna-se uma atraente parcela de mercado para empresas como Positivo e Amazon que disponibilizam equipamentos focados às possibilidades de financiamentos por estas pessoas.

A utilização de Software Livre como plataforma operacional para estes computadores é sem dúvida um dos fatores de maior relevância para diminuição de encargos sobre o valor final do produto, mas pensem comigo: do que adianta vender computadores com Linux se não há um suporte decente do sistema nas empresas?(já disse Flávio Roberto) Na verdade o que vem acontencendo é a criação de um marketing indireto benéfico aos produtos MS pois varejistas subsidiários apontam como um “bom” diferencial para aquisição de seus produtos pelos consumidores o fato de venderem um produnto relativamente barato e com o “WINDOWS” fato que reduz a mão-de-obra de um técnico ao instalar uma versão pirata do sistema operacional da MS a pedido do dono do produto, claro! além de poupá-lo em até R$ 100,00, o que acarreta ainda um fator que vem sendo jogado para baixo do tapete, para que não atrapalhe a tão cogitada potencializadora de sucesso “Inclusão Digital“, que é o aumento dos softwares piratas instalados em computadores pessoais.

Para mim, a solução a tornar-se emergente em comparação ao aumento de pessoas integradas à Tecnologia e Internet, sem aumentar os preços de seus produtos pelos encargos de Licenças e relacionamento não tão estreito entre Governo Federal e MS, seria a formação de um consórcio de capacitação por estas empresas fabricantes e montadoras afim de qualificarem pessoas que se integram nestes padrões sociais ou menores em escolas profissionalizantes direcionadas a Software Livre, mantendo uma possível cooperação de traineers para suportes dedicados. Este contexto não torna-se utópico pela valia social e o marketing agregado além da redução de custos em para consolidação de Service Desk´s centralizados para atingir a grande demanada de solicitações, onde a rotatividade destes “técnicos treinados” se dariam em função do tempo de treinamento e o retorno do investimento para este consórcio, sim! como prestadores de serviços para estas empresas, por que não?! afinal o preço da qualificação é o Valor da aprendizagem . Boa tarde e grande Abraço! Tiago.

-> Introdução
-> Baixando os arquivos
-> No kernel : Aplicando o path e compilando sem dor de cabeça
-> No Iptables : Aplicando o path e compilando
-> Regras de policiamento de tráfego do Iptables ( no Firewall )
-> O Sistema Pronto: Regras de qdisc e classes utilizando o HTB e as interfaces intermediárias IMQ*.
-> Concluindo

• Introdução

O IMQ, interface intermediaria de enfileiramento, trabalha junto as regras de qdisc a fim de suprir algumas limitações básicas destas regras. Estas limitações são caracterizadas por exemplo, pelo fato de não haver possibilidade de controle e configuração do tráfego INGRESS (UPLOAD, por exemplo), podendo haver controle apenas no tráfego de saída (egress), característica notável no HTB por exemplo . Além disso, a qdisc visualiza o tráfego de um única interface física.

O IMQ age implementando interfaces intermediárias virtuais , facilitando o policiamento do trafego, já que atua utilizando as Chains PREROUTING (alterando os pacotes no momento que em eles chegam) e POSTROUTING (para alterar os pacotes quando eles estão prestes a saírem) da tabela netfilter, ilustrando interfaces que servem como alvo para estas chains e tornando “manipulável” o trafego de entrada e saída, através destas intermediações ilustrado pelo trafego corrente nas chains.

Optar pela regra de qdisc HTB deve-se a sua estrutura compreensível e funcional no que diz respeito a prover qos , sendo mais visível a estruturação para as classes com organização hierarquica do controle de banda e o tratamento dado a banda ociosa. O HTB apesar da funcionalidade inteligente e a fácil compreensão de sua estrutura de regras e classes, é também dotado de limitações típicas a qdisc, necessitando trabalhar em conjunto com as interfaces virtuais intermediarias criadas através do IMQ.

• Documentação oficial e didática para o IMQ pode ser encontrada em : http://www.linuximq.net/
• Documentação oficial e didática para o HTB pode ser encontrada em : http://luxik.cdi.cz/~devik/qos/htb/

Este artigo abordará desde a compilação e preparação do Kernel para utilização do sistema até a script pronto a ser utilizado .

• Baixando os Arquivos

Para este artigo foram utilizados:Kernel :

• linux-2.6.18.1.tar.bz2 – http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.18.1.tar.bz2
  
• Iptables: iptables-1.3.6.tar.bz2 – http://www.netfilter.org/projects/iptables/files/iptables-1.3.6.tar.bz2
  
• Path do IMQ para o iptables: iptables-1.3.6-imq.diff – http://www.linuximq.net/patchs/iptables-1.3.6-imq.diff
  
• Path do IMQ para o Kernel do linux: linux-2.6.18-imq1.diff – http://www.linuximq.net/patchs/linux-2.6.18-imq1.diff
  
• Arquivo Config para compilação do Kernel - Config
  

Versões mais atualizadas foram utilizadas pela necessidade de utilização de versões de programas com bugs e falhas corrigidos pela comunidade.
É interessante por medidas de organização que os fontes e paths sejam baixados em /usr/src/ . Desta forma:

• # cd /usr/src/
  
• # wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.18.1.tar.bz2
  
• # wget http://www.netfilter.org/projects/iptables/files/iptables-1.3.6.tar.bz2
  
• # wget http://www.linuximq.net/patchs/iptables-1.3.6-imq.diff
  
• # wget http://www.linuximq.net/patchs/linux-2.6.18-imq1.diff

• No kernel : Aplicando o path e compilando sem dor de cabeça

Alguns problemas típicos a compilação do Kernel podem ser evitados se algumas opções, necessárias a inicialização do sistema, forem habilitadas.Descompactando os fonstes do Kernel:

• # tar -xvjf linux-2.6.18.1.tar.bz2

Crie um link SIMBÓLICO para a pasta descompactada:

• # ln -s linux-2.6.18.1 linux

Entre na pasta :

• # cd linux

Vamos adicionar o path do IMQ ao Kernel:

• # patch -p1 < ../linux-2.6.18-imq1.diff
  

E agora muita atenção, disponibilizo um arquivo config com as opções necessárias habilitadas, ainda sim é necessário compilar algumas opções de arcordo a sua realidade e necessidade como processador , hd , driver de dispositivos e também desmarcar o que não for necessário. Se não quiser alterar logo de início creio que funionará do mesmo jeito, vale a pena tentar . baixe o arquivo config e depois copie para a pasta dos fontes do kernel:

• # cp config /usr/src/linux/.config

Agora é Hora de adequar o Kernel a suas necessidades, vamos lá:
Na pasta de fontes do kernel digite :

• # make menuconfig

Um menu aparecerá com as opções, para funcionamento do imq algumas opções devem estar habilitadas:
Em NETWORK –> NETWORK OPTIONS –> [*] NETWORK PACKET FILTERING (REPLACES IPCHAINS) –>
Em “Core Netfilter configuration” – Marcar todas opções como Modulo (M)”
Em “IP: Netfilter configuration” – é recomendavel marcar com Built in [*] as opções subsequentes a
“Connection Tracking ( required for fitering/masq/nat)”

Requisitos de redes e do iptables prontos.

No menu principal direcione-se a
“Device Drivers” –>”Network device support ” habilita-se a opção com built in “<*> IMQ (intermediate queueing device) Support “ .Encontra-se também as opções “IMQ BEHAVIOR (PRE/POSTROUTING )” selecionar a opção “(IMQ BB)” .

Há ainda outra opção referencte ao IMQ em Network device , a opção “( ) Number of IMQ device ” setar 2 nesta opção, pois iremos trabalhar com a imq0 e imq1 .

As configurações necessárias para funcionamento do IMQ estão habilitadas. Vale lembrar que no config que disponibilizei , estas opções já encontram-se devidamente habilitadas e configuradas mas por caráter de conhecimento vale a pena navegar pelas opções.

É necessário certificar sobre as opções referentes as regras de qdisc , opções de prioridade e enfileiramento assim como o próprio taffic-control (tc) que age junto ao qdisc e seus filtros . Costumo habilitar todos como Built in .
No menu principal de configuração do Kernel : Networkin –> Networking options –> Qos and/or fair queueing .Ao compilar o Kernel é comum deparar-se com uma tela preta após escolher o escolher o sistema no gerenciador de inicialização , isso acontece devido a não habilitação da opção “SUPPORT FOR FRAME BUFFER DEVICES “ , esta opção encontra-se na opção no menu principal “Graphics devices “ onde são configurados as proprieadades que caracterizam seu dispositivo de Vídeo, por prover serviços destinados a rede, não é necessário esse tipo de configuração. Para isto recomendo que edite o lilo.conf (gerenciador de boot) da seguinte forma :

• # vi /etc/lilo.conf

Modificando o valor de vga pra normal:

• vga=normal

Feito isso , basta apenas digitar lilo para que o gerenciador seja atualizado.

• # lilo

É chegada a Hora de compilar o kernel, ainda dentro /usr/src/linux , após ter saído do menu de configuração do kernel e ter salvo as modificações:

• # make all && make modules_install

É gerada a imagem do Kernel e demais arquivos de configuração para inicialização do sistema. É necessário criar links simbólicos dentro do /boot para que seja carregado com exito a imagem do kernel:

• # cd /boot
• # ln -s /usr/src/linux/System.map System.map
• # ln -s /usr/src/linux/.config config

Caso os links já existam , exclua-os e crie como o exemplo acima. Não é necessário criar um link para a imagem do Kernel, torna-se propício a erros na inicialização do sistema caso o kernel esteja muito grande ( o que não é recomendável ), o link não gerencia a extrapolação do inodes resposáveis pelo setor ocupado pelo arquivo .

Hora de editar o /etc/lilo.conf

• # vi /etc/lilo.conf

Adicionar as seguintes linhas correspondente ao novo Kernel:
image = /usr/src/linux/arch/i386/boot/bzImage

root = /dev/hdX

label = linux-2.6.18

read-only

Depois carregar as configurações do lilo:

• # lilo

• No Iptables : Aplicando o path e compilando

De volta ao diretório onde foram baixados os fontes é hora de descompactar o iptables,

• # cd /usr/src/
• # tar -xjfv iptables-1.3.6.tar.bz2

Cria-se um link simbólico para o iptables

• # ln -s iptables-1.3.6 iptables
• # cd iptables

Agora dentro da pasta com os fontes do iptables é hora de dar permissão de execução aos módulos que nos dará possibilidade de definirmos as interfaces imq como alvo para regras do iptables.

• # chmod +x extensions/.IMQ-test*

Compilando o iptables :

• # make KERNEL_DIR = /usr/src/linux
• # make KERNEL_DIR=/usr/src/linux install

É recomendável a remoção do antigo pacote do iptables instalado, já que a partir de agora o path para execução do iptables são distintos de acordo as versões instaladas , comprometendo a execução ou ainda acarretar em o nao reconhecimento de alguns modulos necessários .

Pronto! Iremos dar início ao processo de implementação , a partir do direcionamento do trafego as interfaces criadas no script de firewall. Podemos reiniciar o sistema.

• Regras de policiamento de tráfego do Iptables ( no Firewall )

O policiamento do tráfego de entrada é tratado pela chain PREROUTING seguindo a sintaxe seguir:

iptables -t mangle -A PREROUTING -i eth1 -j IMQ –todev 0

eth1 trata-se da interface da rede interna, lembre-se que as interfaces imq são interfaces virtuais que intermediam, o tráfego de entrada pro exemplo não é tratado na interface externa , em nosso caso eth0, o que identifica trafego de entrada e saída são as chains PRE/POSTROUTING.

O policiamento do tráfego de entrada é tratado pela chain POSTROUTING seguindo a sintaxe a seguir:

iptables -t mangle -A POSTROUTING -o eth1 -j IMQ –todev 1

• O Sistema Pronto: Regras de qdisc e classes utilizando o HTB e as interfaces intermediárias IMQ*.

O Script é organizado da seguinte forma :

Há arquivos com os ip´s de acordo o plano contratado 64kbits e 128kbits. A localização dos arquivos estão em : /etc/rc.d/hosts.64 e /etc/rc.d/hosts.128 .

Sugiro que leiam um artigo do br-linux para entender a sintaxe de classes e regras de htb para compartilhamento de banda e implementação dos aspectos hierárquicos entre as classes. Não recomendo apenas copiar e colar o script .

• Download do Sistema de Controle de Banda

Será necessário dar permissão de execução para o arquivo, como o exemplo:

# chmod 711 /etc/rc.d/rc.controle
ou
# chmod +x /etc/rc.d/rc.controle

Para iniciar o controles :
# /etc/rc.d/rc.controle start
Para parar o controle:
# /etc/rc.d/rc.controle stop

• Concluindo

Este Artigo abordou os aspectos de implementação de um controle de banda completo , desde o processo de compilação e configuração de Kernel , tendo o cuidado de falar sobre os possíveis erros no processo, feitos de passo a passo , até o script de controle pronto . O artigo não aborda as particularidades de implementação do HTB , apesar de apresentar o script de controle com htb e imq já implementados de forma funcional. Sugiro que leia um artigo do br-linux para maior compreensão, assim como a documentação oficial de ambas tecnologias usadas:
Documentação oficial e didática para o IMQ pode ser encontrada em : http://www.linuximq.net/
Documentação oficial e didática para o HTB pode ser encontrada em : http://luxik.cdi.cz/~devik/qos/htb/

Dúvidas ou contatos profissionais : algodas@gmail.com .

Enfim, depois de implementar uma solução integrada para servidor de email e desfrutar da estabilidade e segurança provido pelo slackware para a solução, descobri que o uebimiau 2.7.10 dispõe de um bug na consulta a base de usuários do sistema, me fazendo utilizar outro release para o webmail, visto que o considero o melhor para servidor POP. Utilizei o 2.7.8 que me fornece uma certa estabilidade e não me força a ediçao de temas amigáveis para que se ajuste às funcionalidades do
webmail. O Mailscanner foi outra ótima alternativa ao amavis pra amail , ótima compatibilidade ao Clamav e sem problemas de sicronização às assinaturas digitais da base do mesmo, além da integração ao Spamassassin para as listas definidas. Abraço a todos e em breve escreverei um artigo técnico para configuração dos serviços retratados aliados às particularidades exigidas pelo Slack.

Simples e eficáz:

# Não entrarei nos méritos de opções.  

#! /bin/bash

# Gerando o dump da Base de dados ( Mysql )
/bin/echo “Gerando DUMP da base de dados”
/usr/bin/mysqldump –all-databases -u root -pSENHA  >/root/backup/bdtonto`date +%d-%m-%Y_%H%M`.sql
/bin/echo ” O BACKUP será gravado na sessao $sessao da mídia”
/bin/echo “Gerando arquivo ISO”
# Gerando imagem para Gravação
/usr/bin/mkisofs -r -o  /root/backup/dados`date +%d-%m-%Y_%H%M`.iso -C $sessao  -J -V”CD_BACKUP” /root/backup
/bin/echo “Pronto!”
/bin/echo “Gravando CD”
# Gravação da imagem em CD . Atenção à opção -multi
/usr/bin/cdrecord -v -multi -fs=16M speed=8 dev=/dev/hdc -data   /root/backup/dados`date +%d-%m-%Y_%H%M`.iso
/bin/echo “Pronto!”
/bin/echo “Gravando Confirmação”
# Confirma Backup
/bin/echo “Backup `date +%d-%m-%Y_%H%M` REALIZADO COM SUCESSO!” >> /home/CONFIRMABACKUP
/bin/echo “Backup Realizado com Sucesso!”

” A versão 2.0.0.5 do Firefox possui uma vulnerabilidade no sistema de gerenciamento de senhas que pode deixar sites maliciosos roubarem as senhas armazenadas dos usuários utilizando JavaScript.

O site de segurança Heise Security contém uma demonstração que prova a existência do bug, permitindo que o usuário insira uma senha de mentira e deixe o Firefox memorizar para em seguida exibir a mesma senha numa caixa de mensagens:

http://www.heise-security.co.u[...]sercheck/demos/moz/pass1.shtml

Um site malicioso poderia coletar senhas e armazená-las em um banco-de-dados, enviá-las por e-mail ou fazer qualquer outra coisa. Uma solução provisória é desabilitar o JavaScript ou evitar o uso do gerenciamento de senhas do Firefox.

Mais informações: http://lists.grok.org.uk/full-disclosure-charter.html  “

Por: Carlos Filipe Lombizani, SmartWarthog*at*gmail.com

A Revista ÉPOCA NEGÓCIOS do mês de Junho de 2007, em sua edição Nº 4 , trouxe como destaque uma matéria sobre o novo comportamento das empresas brasileiras a fim de se manter  no cenário competitivo junto às Gigantes Multinacionais. A revista destaca  propriedades a serem seguidas  como únicas formas de se manterem em um patamar elevado dentre as demais, numa parcela muito disputada de mercado. Muitas das características apontadas para tal estabilidade são velhas conhecidas das empresas no ramo de TI , como a necessidade de Inovação contínua e a implantação de um conselho administrativo para organização e estruturação  da Gestão e posteriormente a abertura do  capital, para recebimento de investimentos de acionistas para estas organizações. A edição traz abordagens interessantes sobre empresas brasileiras que vem se destacando pelo amadurecimento no mercado assim como os benefícios da transparencias nos processos de negocio gerado pela abertura de capital para investidores.

A Apple é novamente citada como exemplo de inovação , sendo considerada a “número 1″ no mundo no quisito, graças aos recentes lançamentos de seus “brinquedinhos caros” como o iPod e o mais recente e tão comentado iPhone, além desta, uma empresa brasileira recebe grandes méritos pela inovação de atuação no mercado e a sua política administrativa e operacional extremamente competitivas , a Tecsis. Uma empresa nascida dos braços da Embraer e que atua na fabricação das Pás ou Hélices acopladas a geradores utilizados na geração de Energia Eólica, tecnologia que cresce numa média de 28% ao ano e tende a evoluir ainda mais graças a tentativa de minimizar os danos causadores do Aquecimento Global. Por sinal, investimentos na industria auto-sustentavel e compromisso com a preservação do meio ambiente, são fatores de relevância para empresas que queiram se manter no mercado em dia com as demandas das gestões de qualidade para atuarem como geradora de lucros “limpos” e qualificados. Vale a pena conferir na íntegra as reportagens da edição. Forte abraço e até mais.

Ha algum tempo já não aplico o “zero penality hit patch” no Squid para acesso desvinculado ao controle de banda dos arquivos em cache , devido a estagnação do projeto , acarretando em incompatibilidade de versões do servidor Proxy/Cache , gerando inconsistência no desempenho do serviço. Atualmente venho marcando os pacotes contendo a string “X-Cache: HIT from ” (Previamente atribuído pelo squid) e gerando regras no controle de banda, atribuindo ao tráfego destes pacotes transferência a taxas típicas da Lan (1mbit, 10mbit até 100mbit) .

As regras referentes a Chain OUTPUT:

iptables -A OUTPUT -t mangle -j CONNMARK –restore-mark
iptables -A OUTPUT -t mangle -m mark ! –mark 0 -j ACCEPT
iptables -A OUTPUT -t mangle -m string –string ‘X-Cache: HIT from ‘ –algo kmp -j MARK –set-mark 6
iptables -A OUTPUT -t mangle -j CONNMARK –save-mark

Vale lembrar que os módulos ipt_string e ipt_CONNMARK devem estar carregados :

# modprobe ipt_string
# modprobe ipt_CONNMARK

Estamos definindo que os pacotes que contenham esta string receberão o mark 6 .

Agora definiremos as regras padrões de root para downloads , neste exemplo utilizaremos como regra de qdisc o HTB.

$tc qdisc add dev eth1 root handle 1: htb
$tc class add dev eth1 parent 1: classid 1:1 htb rate 1mbit ceil 1mbit
$tc qdisc add dev eth1 parent 1:1 handle 6: prio
$tc filter add dev eth1 parent 1: protocol ip prio 1 handle 6 fw classid 1:1

Pronto! o tráfego dos pacotes com mark 6 , serão referenciados às regras acima.

O controle de banda descrito em artigos anteriores está disponível com as modificações referentes a este tráfego. Clique Aqui!

Saudações , leitores.

Estive ausente por algum tempo , devido um acidente com proporções um pouco graves, mas estou de volta às minhas atividades e redações. Durante o período de repouso, preparei alguns artigos que espero poder postar no decorrer da semana. Desculpe a todos pela falta de comunicação referente ao fato e obrigado pelas manifestações de apoio. Grande Abraço.

Tiago Gomes Pereira.

  A gestão da Segurança da Informação tornou-se ainda mais interessante para mim, pela possibilidade de sincronia com outros sistemas normativos de gestão, como a ISO 9001, sendo uma ótima oportunidade para empresas que procuram a completa gestão em qualidade. A ABNT ( Associação brasileira de Normas Técnicas ) junto a representantes dos setores envolvidos e comissões de estudos, são responsáveis pela revisão para normatização destes modelos, a fim de prover uma base para estabelecer a gestão da Segurança da Informação.
 

O SGSI (Sistema de Gestão da Segurança da Informação) é um processo estratégico para a corporação,  além de estar inteiramente ligado aos processos de negócio, sendo necessário para sua implementação o levantamento de requisitos e expectativas , assim como  as necessidade, objetivos e ativos envolvidos nos processos de negócio da organização, para garantia das conformidades e critérios básicos de segurança para a informação, como a integridade, disponibilidade e confidencialidade. É interessante entender sobre a norma que rege os controles a serem seguidos e implementados para segurança da informação, em nosso caso a Norma ISO/IEC 27001.

Forte Abraço!

Este script é um simples auxílio para gravação de arquivos, de fácil entendimento e edição. Escrito em Shell Script .

Este Script foi desenvolvido para atender as necessidades de um cliente amigo e venho adotando para gerenciamento local pelos técnicos em provedores e redes corporativas aos quais dou suporte. Foi totalmente moldado a realidade deste cliente e pode ser moldado a sua, veja:

• O filtro de pacotes faz a leitura de um aquivo com respectivos dados de IP,MAC,NOMEDOCLIENTE e status para bloqueio.
• O controle de Banda faz a leitura de 3 arquivos com os ips dos clientes , cada arquivo caracteriza um plano de acesso
• Há um arquivo referente a lista de acesso do Servidor Proxy-Cache.
• Há um script isolado de para o controle de banda

Há maneiras de customização dos arquivos e scripts, a exemplo, o mesmo arquivo com dados de IPX MAC pode conter dados referentes a ao controle de banda , mas por carater didático , para melhor entendimento, escolhi esta forma de implementação para postar.

Este Script permite:

• Cadastrar Novos clientes, ipXmacXnome e demais atributos…
• Bloquear CLientes por nome, ip ou mac
• Desbloquear Clientes por nome, ip ou mac
• Cadastro no controle de banda de acordo o plano contratado
• Consultar Clientes conectados por nome, ip , ou mac
• Verficação de dados de clientes através consultar por nome, ip , ou mac
• Registro em arquivo de hosts , para resolução local de nome para consultas
• Registro em lista de acesso para o servidor Proxy-cache

confira a forma de gravação dos arquivos pelo gerenciador:

• /etc/rc.d/hosts.liberadosMAC
  A;192.168.1.111;00:00:00:00:00:00;JOAOMARIA
• /etc/rc.d/hosts.128  (Assim como os demais do arquivos lidos pelo controle de banda , hosts.64 e hosts.meioespeciais)
  192.168.1.111
• /etc/lista/clientesfull  (proxy-cache)
  192.168.1.111
• /etc/hosts
  192.168.1.111 JOAOMARIA

Vale lembrar que no momento do cadastro de clientes as operações para liberação de cliente são feitas de forma automatizada. Por exemplo,no momento do

cadastro do cliente já são cadastrados os respectivos dados nos diferentes arquivos , como hosts, lista de acesso e arquivo de ipxmac, assim também para

demais opções do gerenciador.

• Visualize o código Fonte
• Download do arquivo gerenciador.sh