Estou participando da promoção que o Augusto fez em um dos blogs dele, o Efetividade.net, e para isto eu precisava postar aqui uma foto da minha mochila, e de todo o conteúdo que carrego nela.

Tem muita tranqueira, coisa útil e alguns lixos que eu sempre esqueço de tirar dela.. Acho que todas têm, né.. Roubar minha bolsa seria BEM pior do que roubar meu carro, podem apostar.

Se você também quiser participar, clique aqui e siga as regras da promoção. É super simples, vai que você ganha um dos brindes divertidos que ele vai sortear ?

Bem, segue a foto da baderna – versão diminuta – pra não arruinar meu layout.

Clique para ver a versão gigante!

Eu pretendia postar a foto no Flickr pra fazer uso daquelas tags legais que eles têm, mas não estou afim de criar uma conta no Yahoo. Vou descrever tudo de maneira simples mesmo:

Da esquerda pra direita tem:
- O papelzinho indicando que não é fake
- Embaixo dele, um guarda-chuva. Fumar em locais descobertos tomando água na cabeça não é mole;
- Uma chave de fenda com multiplas pontas (eu esqueci de abrir o compartimento..) e com a ponta imantada;
- Pilhas normais, pilhas recarregáveis e o seu respectivo carregador;
- Um HD externo Western Digital de 1 TB;
- Um iPhone que eu uso basicamente pra jogar FieldRunners e outros TD’s básicos, porque, por N razões, comprei um Milestone pra substituí-lo..
- Fluído extra pro meu Zippo, que adora ficar sem nas horas mais cruéis da vida;
- O carregador, já com a extensão plugada, do meu Macbook Pro;
- O cabinho do iPhone;
- Cabo micro (ou mini, sei lá) USB pro Milestone e pro HD externo;
- Um pendrive DataTraveler de 4gb e outro de 16gb mais pra direita;
- O token de autenticação do Itaú;
- Dorflex e Salompas – Solução fail para as dores constantes na nuca e tendinite por excesso de horas no computador
- Cabos cross e normal, de rede;
- A apostila da Caelum;
- Caixa de fósforos, única coisa que nunca me deixa na mão;
- Alguns canivetes que nunca preciso mas esqueço de tirar lá de dentro. E um isqueiro à gás normal;
- O adaptador MiniDisplay Port do Macbook;
- Adaptador de cabos de energia elétrica do padrão novo, e idiota, da ABNT;
- O Magic Mouse;
- Mousepad do Slackware. Raramente o uso, mas carrego porque é leve e não custa nada;
- Livro para iniciantes de como desenvolver apps pro Android. Um dia eu chego lá !
- Guia de estudos pro SCSA (certificação de segurança do Solaris);
- Embaixo dos livros tem este suporte para laptops. Evita um pouco a dor na nuca que sinto frequentemente;
- Um frasco de álcool higienizador. Herança da paranóia da gripe H1N1, mas útil pra quando pego ônibus e fico com nojo das crianças passando as mãos sujas de Cheetos nas barras de segurança, bancos, e em todo o resto do veículo;
- O Macbook Pro itself;
- Fones de ouvido bluetooth da Nokia, que funcionam tanto no meu Android, quanto no PS3;
- Meu DINGOOOOO !
- GPS da Mio, aquela versão podre da Quatro Rodas que custa o triplo dos outros sem apresentar nada a mais por isso;
- Um gadget chamado O2 Cool, chinês, (que surpresa..) que funciona com uma única pilha e faz um ventinho razoável, além de borrifar água. Muito bom pra usar no verão.

E no fundão, claro, tem a mamãe (porque haja coração pra acolher tanto lixo), minha bolsa da Ogio, versão Ubuntu.

E é isso, um abraço !

Leia também:

1. Liberando root no Motorola Milestone 2.0 Furioso por não conseguir comprar os aplicativos pagos no Market,...
2. Liberar root no Milestone – firmware 2.1 Boa noite pessoal ! Seguindo a linha do tutorial anterior,...
3. Como remover apenas um grupo de usuário no Unix Olá pessoal ! Ontem foi dia de análise de alguns...

Seguindo a linha do tutorial anterior, que servia apenas para firmwares 2.0 e 2.0.1 (clique para ver), segue aqui um novo, que funciona nos Androids novos do nosso Milestone, versão 2.1.

Tenha as seguintes ferramentas e arquivos em mãos:
- Drivers do Milestone: Para Windows de 32-bits // Para Windows de 64-bits
- RSD Lite: Baixe aqui!
- Este arquivo SBF (que é o sistema operacional básico): Versão da Vivo // Versão da TIM
- Este outro SBF (versão hackeada, que nos permitirá instalar o root): Baixe aqui!
- O arquivo update.zip (que na verdade inicialmente se chama milestone_root.zip: Baixe aqui!

Jogue tudo numa pasta separada no seu HD, para que a bagunça fique menor.
Em seguida, instale os drivers para o Windows que você estiver rodando, e o RSD Lite também.

Agora começa a parte relativamente complicada. Mas seguindo os passos de forma correta não tem erro.

Certifique-se de estar com pelo menos uns 70% da bateria carregados. Você certamente não vai querer que o celular desligue no meio da atualização.

Em primeiro lugar, desligue-o. Em seguida, deslize o teclado QWERTY do seu Milestone, pressione para cima (em direção à sua tela de LCD) naquele direcional que ele tem, e então pressione o power on. Mantenha a combinação apertada até que a tela acenda. Pode soltar os botões.

Você verá na tela do Milestone um texto similar a este:

Bootloader
<versão do seu firmware>

Battery OK
OK to program
Connect USB
Data Cable

Conecte agora o cabo USB no seu computador, e o texto da tela irá mudar para:

Bootloader
<versão do firmware>

Battery OK
OK to Program
Transfer Mode:
USB

Abra agora o RSD Lite, e espere a tela ficar assim:

Clique nas reticências, e escolha o primeiro arquivo SBF que você baixou (o sistema operacional básico (cerca de 150mb (que você sabidamente já terá descompactado))).

Clique então no único dispositivo que você terá na lista grande que fica na parte de baixo, e então clique em start.
Aguarde alguns minutos – seu celular será reiniciado algumas vezes. NÃO interrompa este processo.

Na hora em que você puder ler, na coluna de Progress o status de Finished, e na coluna Result o status de PASS, quer dizer que o processo terminou.

Agora refaça as etapas anteriores, mas com o arquivo SBF que você baixou em segundo lugar (aquele que possui apenas cerca de 5mb).

Desplugue o cabo USB — Desligue o Milestone — Pressione para cima + power on — Aguarde a tela ficar com as mensagens que mencionei acima — Plugue o cabo USB — Use o RSD Lite para “flashear” o celular com o SBF menor.

Mesma coisa aqui. Clique nas reticências, selecione o SBF, clique no seu celular na lista grande do programa, clique em Start, aguarde o processo finalizar com “Finished” e “PASS“.

Estamos quase lá. Se você seguiu as etapas corretamente, falta apenas desbloquear o root, propriamente dito. Tudo o que dizemos até aqui foi abrir uma “brecha” no sistema operacional, para ele aceitar o procedimento a seguir.

Agora pegue o arquivo milestone_root.zip e o renomeie para update.zip. Jogue este arquivo na raíz do seu cartão SD.

Desligue novamente seu Milestone. Em seguida, pressione o botão da câmera fotográfica e Power On juntos. Na hora em que o celular ligar, solte o Power on, mas mantenha o botão da câmera fotográfica apertado, até que a tela a seguir apareça:

Pode soltar o botão da câmera agora.
Em seguida, pressione o botão de aumentar o volume e o da câmera, novamente, para abrir o menu de opções.

Nesta tela, selecione, usando o direcional do tecladinho físico, a opção apply sdcard:update.zip e aperte o botão dourado, no centro do direcional.
Ele irá agora instalar automaticamente alguns arquivos, aplicar uns patches e cozinhar um pernil pra você.

No fim deste processo (ele é bem rápido), escolha a opção de rebootar seu celular.

PRONTO !

Após o processo de boot finalizar, abra seu menu de aplicações (aquele que contém tudo o que você instalou) e verifique se existe lá uma nova opção: Superuser Whitelist. Tente abrí-la, e se conseguir seu telefone está com root liberado.

Agora corre, porque você já pode instalar o Wireless Tether

Se você tiver dúvidas, poste nos comentários. O meu tutorial anterior tem algumas dicas extras, especialmente na área de comentários. Dê uma olhadinha lá antes de entrar em pânico !

Grande abraço;

Leia também:

1. Liberando root no Motorola Milestone 2.0 Furioso por não conseguir comprar os aplicativos pagos no Market,...
2. ClamAV, MailScanner e o MTA Vamos para a segunda etapa das dicas de como melhorar...
3. Dia de grandes atualizações – Firefox, PHP e VirtualBox Hoje foi um dia repleto de boas notícias para o...

Muito mais simples do que fazer jailbreak no iPhone, e igualmente eficaz. Liberando o root, você está modificando o sistema operacional do telefone para aceitar a instalação dos aplicativos diretamente, abrindo-os em formato .apk no próprio celular e escolhendo a opção para o instalar.

O processo é simples e indolor. Vamos lá:

1- Baixe o arquivo Update.zip clicando neste link. Não o descompacte, ele é necessário desta forma mesmo, zipado.
2- Jogue o arquivo baixado para a raíz do seu cartão de memória. A raíz é a pasta principal do SD, assim como C:\ é a pasta raíz no Windows, e o / é no Linux. Se tiver dúvidas de como encontrar essa pasta, avise nos comentários.
3- Desligue seu Milestone.
4- Pressione, ao mesmo tempo, os botões da câmera fotográfica e o botão de ligar o aparelho. Mantenha-os apertados até a tela de recuperação do sistema aparecer. Algo parecido com isto aqui:
5- Quando o celular estiver parado na tela da exclamação, pressione, ao mesmo tempo, os botões da câmera fotográfica e o volume + (o botão que aumenta o volume das diferentes aplicações).
6- Um menu irá aparecer. Selecione a opção Apply Update.zip (ou algo parecido com isso, aqui era a segunda opção). Para escolher e clicar, abra seu Milestone e use o direcional que parece um leitor de digitais.
7- O celular vai processar algumas informações e retornar ao menu acima. Quando tudo estiver pronto, selecione a opção de Reboot, e reinicie normalmente.
8- Prontinho ! Você não vai notar diferença alguma no seu aparelho, exceto um novo ícone no menu principal chamado Superuser Whitelist. Deixe ele quieto lá, não vamos utilizá-lo para nada.

A partir de agora, você pode baixar da internet os aplicativos no formato .APK, jogar no seu cartão de memória e os instalar. O download inclusive pode ser feito diretamente do seu Milestone, caso você tenha um bom plano 3G ou uma conexão Wi-fi disponíveis.

Você pode deletar o arquivo Update.zip da raíz do seu SD, se quiser. Não precisamos mais dele.

Recomendo fortemente a instalação do Openhome, e de algum tema de sua preferência. Eles deixam o celular com uma aparência muito mais bacana.

Abraços e boa sorte !

Leia também:

1. Liberar root no Milestone – firmware 2.1 Boa noite pessoal ! Seguindo a linha do tutorial anterior,...
2. Dia de grandes atualizações – Firefox, PHP e VirtualBox Hoje foi um dia repleto de boas notícias para o...
3. YASG (Yet Another Security Guide) A importância da segurança da informação Tratar da segurança de...

To check if a file exists and it’s executable, use:

#!/bin/bash
FILE=/usr/bin/passwd

if [ -x $FILE ];
then
 echo "File $FILE exists and it is executable"
else
 echo "File $FILE does not exists or it isnt executable"
fi

There are several other options. Here’s the full available conditional expressions:

-e: Returns true value if file exists
-f: Return true value if file exists and regular file
-r: Return true value if file exists and is readable
-w: Return true value if file exists and is writable
-x: Return true value if file exists and is executable
-d: Return true value if exists and is a directory

Have fun improving your scripts !

Leia também:

1. Teste: Mod Syntax Highlighting Encontrei este mod e passarei a usá-lo de agora em...
2. Como remover apenas um grupo de usuário no Unix Olá pessoal ! Ontem foi dia de análise de alguns...
3. Faça seu cron calar a boca (e deixar de entupir sua mailbox) Se você também se irrita com os trilhões de emails...

Ontem foi dia de análise de alguns servidores da GM, especialmente os SOX, por estarmos próximos à outra auditoria.
Numa empresa grande como a HP, temos centenas de funcionários de suporte ao ambiente – Pessoas lidando com o sistema operacional, outros com banco de dados, alguns especialistas em ferramentas de monitoração, entre outros.

A menos que sua rede toda esteja rodando NIS ou LDAP (o que raramente acontece), você acaba tendo que criar todos estes ID’s nos servidores, e ao longo dos anos isso vira bagunça, se não for administrado corretamente.

Nessa revisão de ontem constatamos que possuíamos muita gente com acesso demais nos servidores. Isto é, com regras de sudo excessivas, pelo fato de serem membros de grupos desnecessários.

Tente administrar mais de 3.000 servidores e ir, de um por um, removendo os grupos de algumas dezenas de usuários. Complicado né ?
Foi com isso em vista que fiz um simples shell script, com a função de fazer algo que, na minha opinião, deveria ser um recurso nativo do Unix.As regras de sudo, num ambiente bem estruturado, são, em sua maioria, desenhadas para grupos – e então usuários adicionados aos grupos, dando-os permissões para a execução dos comandos como root.

Imaginemos então que o usuário torvalds é membro dos grupos admin, monitoracao e impressoras. E que nosso objetivo é retirá-lo do grupo admin, pois este grupo possui permissões para executar sudo su -.

Seria simples, não ?

usermod -g monitoracao -G impressoras torvalds

Porém agora considere o seguinte: O cara vai estar no grupo admin em todos os servidores, porém os grupos secundários dele são desconhecidos.
Além disso, você não pode conectar-se a cada servidor, grepando o /etc/group pelo ID dele, e montando um script para cada ocasião. Total perda de tempo, certo ?
Ah sim, mais um probleminha: Você vai rodar o script em Solaris, HP-UX, AIX e em alguns poucos servidores Linux. Portanto nada de comandos específicos.

Foi pensando nisso que eu criei um script simples, feio, mal-feito mas que funciona Usando apenas as ferramentas encontradas em todos os sabores de Unix, como sed, while-do, grep, cut, entre outros.
Ele automatiza a coisa, fantástico para uma ocasião como a minha, onde tenho em mãos uma ferramenta web que é capaz de rodar o script em todos os servidores ao mesmo tempo.

Enfim, sem mais delongas – Segue o script. Torço pro Google indexar isso logo e outros que passaram pelo mesmo problema que eu tenham uma solução mais prática:

# Entrar num diretório temporário:
mkdir –p /tmp/controlid && cd /tmp/controlid
# Pegar do /etc/group os grupos atuais do cara e jogar num arquivo temp:
grep torvalds /etc/group | cut -d: -f1 > currgroups
# Botar o output do comando anterior, todos na minha linha, separados por virgula:
while read line; do echo -n "$line,"; done <currgroups >currgroups2
# Tirar a porcaria da virgula que sobrou no final da string:
cat currgroups2 |sed 's/\(.*\)./\1/' > currgroups3
# Remover o grupo admin da lista acima. Troque a palavra admin abaixo pelo grupo que deseja remover.
cat currgroups3 | sed 's#,admin##g' > groups
# Atualizar os grupos do cara !
usermod -G `cat groups` torvalds

Sugestões de otimização para o script são sempre bem-vindas.

Um abraço a todos !

Leia também:

1. Dicas para administração de usuários – Unix Aqui vai uma mini coleção de dicas para gerenciamento de...
2. Using conditional expressions to improve your shell scripts You can use these very simple shell script conditional expressions...
3. A Sysadmin’s Universal Translator (Rosetta Stone) Clicando aqui e ali, encontrei algo que com certeza vai...

Três dos grandes ícones da ótima qualidade que programas OpenSource podem atingir lançaram suas novas versões:
- PHP, com o release 5.3.0;
- VirtualBox, chegou ao seu terceiro milestone, na versão 3.0;
- Firefox, na versão 3.5.

Algumas das principais novidades:

Firefox:
- Usando a nova engine TraceMonkey, o Firefox 3.5 é atualmente 2 vezes mais rápido do que a versão 3.0, e 10 vezes mais rápido do que a versão 2.0 em processamento de Javascript.
- Fazendo uso das novas tags HTML 5, o Firefox agora é capaz de exibir vídeos em OGG Theora diretamente no navegador, sem necessidade de plugins proprietários como Flash ou Java.
- Novos recursos de privacidade – Usando o novo recurso de “Esqueça este site”, o Firefox pode automaticamente remover do sistema operacional todo e qualquer vestígio que sites podem deixar no computador. Incluindo histórico, cookies, arquivos temporários..
Link para o changelog completo.

VirtualBox:
- Suporte ao OpenGL 2.0 em máquinas virtuais Linux, Windows e Solaris.
- Suporte ao Direct3D 8 e 9 para máquinas virtuais Windows.
- Suporte a até 32 CPU’s com recursos de VT-x e AMD-V.
Link para o changelog completo.

PHP:
- Suporte a Namespaces, uma forma simples de encapsular ítens.
- Funções Lambda.
- Muitas correções de bug (mais de 140, de acordo com o changelog).
Link para o changelog completo.

E é isso ! Ótimas novidades para todos: Programadores com o PHP, usuários frenéticos de internet com o Firefox, e fãs da virtualização com o VirtualBox.

Um grande abraço a todos !

Leia também:

1. YASG (Yet Another Security Guide) A importância da segurança da informação Tratar da segurança de...
2. Liberando root no Motorola Milestone 2.0 Furioso por não conseguir comprar os aplicativos pagos no Market,...
3. Liberar root no Milestone – firmware 2.1 Boa noite pessoal ! Seguindo a linha do tutorial anterior,...

Gastávamos horas e horas quebrando a cabeça em mistérios e investigações, aventuras, romances e uma série de outras situações divertidas e inusitadas.. Nem percebíamos o tempo passando !

Clássicos como Monkey Island, Maniac Mansion, Simon the Sorcerer, Day of the Tentacle, Broken Sword e muitos outros marcaram época, conquistando legiões de fãs ao redor do mundo.
A grande maioria dos quebra-cabeças exigiam muito raciocínio lógico, o que acabou por criar uma geração de geeks, pessoas rápidas no gatilho – e bem humoradas, especialmente se expostas à altas doses de Guybrush Threepwood.

Bem, garanto que muitos tiveram dejavús lendo isso.. Deu vontade de jogar tudo de novo, né ? E é justamente nessa hora que todos agradecemos ao ScummVM por existir !

Ah, o que é o ScummVM ? Uma plataforma que roda em quase duas dezenas de plataformas diferentes que provê compatibilidade à um grande número de jogos, mesmo em sistemas operacionais modernos. É complicado rodar The Secret of Monkey Island, feito para DOS, no Windows Vista, por exemplo.

Ele é muito mais simples de instalar e configurar do que o DosBox, uma ótima opção caso seu favorito não esteja na lista de compatibilidade de jogos, presente no site do software. Basta fazer o download da versão correspondente ao seu sistema operacional, instalar e adicionar os arquivos do jogo que você deseja jogar. Praticamente não precisamos configurar nada !

Ele está presente na maioria dos repositórios das grandes distribuições. Em distribuições derivadas do Debian, basta digitar o comando a seguir para instalar:

su -
apt-get install scummvm

Ele então estará imediatamente disponível no menu de Jogos do seu Gnome.

Creio que o procedimento seja similar para distribuições derivadas do RedHat. Algo como yum install scummvm

Feito isso, basta resgatar aqueles disquetes ou CD’s antigos contendo os jogos, ou então baixá-los da internet – cuidado com a pirataria hein ! :]

Escolha uma pasta de destino para os arquivos, como por exemplo /home/~usuario/scummvm e vá criando subpastas para cada um dos jogos que você for instalando. Dessa forma fica tudo organizado e simples de encontrar e gerenciar.

Em seguida é só clicar em “Start” e o jogo irá iniciar !

Boa diversão a todos ! Relembrar estes jogos onde explosões cinematográficas eram o de menos, e a história/gameplay eram os fatores mais importantes é bom demais !

Um abraço !

Leia também:

1. Liberando root no Motorola Milestone 2.0 Furioso por não conseguir comprar os aplicativos pagos no Market,...
2. YASG (Yet Another Security Guide) A importância da segurança da informação Tratar da segurança de...
3. Liberar root no Milestone – firmware 2.1 Boa noite pessoal ! Seguindo a linha do tutorial anterior,...

Tratar da segurança de computadores é realmente uma das situações mais complicadas possíveis. Você nunca saberá se está devidamente protegido até que alguém tente invadir sua rede e daí poderá ser tarde demais para um “puxa, eu devia ter caprichado mais no meu firewall”.

Todos sabemos que sistemas operacionais livres como GNU/Linux e *BSD’s são ideais para serem os responsáveis por tratar, filtrar e eventualmente bloquear o tráfego oriundo da Rede Mundial de Computadores antes destas passarem aos micros internos. É pensando nisto que irei tentar com algumas dicas simples, porém valiosas, conscientizá-los a como reforçar suas barreiras contra ataques.

Provavelmente você já conheça o termo Bastion Host. Este é o termo utilizado para definir a(s) máquina(s) que desempenha(m) algum papel crítico e importante na área de segurança de uma rede.

Imagine um Bastion Host como, geralmente, o gateway ou firewall de redes corporativas ou domésticas. É nele que a maior parte do serviço é feita, e ele sempre será considerado um alvo em potencial. É importante saber disso desde o início.

Considere sempre se você, como administrador do Bastion Host da sua empresa, possui os hábitos a seguir, importantes para manter a segurança em ordem:

• Lê sempre os arquivos de log críticos do sistema, como o messages ou o syslog?
• Removeu ou desabilitou os serviços desnecessários do(s) servidor(es): Pra que deixar um FTPd rodando se você não pretende utilizá-lo?
• Educou os usuários internos para um mínimo possível de consciência em navegação segura, não abrindo anexos suspeitos, e cuidando com links maliciosos?
• Possui um Firewall configurado de maneira restrita, correta e fechando todas as portas lógicas, liberando apenas as de extrema necessidade?
• Configurou algum sistema de IDS (Intrusion Detection System) para que ataques sejam automaticamente detectados, barrados e os responsáveis, devidamente bloqueados?

Essas são algumas formas de minimizar os problemas básicos. Como sempre dizemos, não existe host que esteja plugado na internet e seja 100% seguro contra ataques, porém podemos fazer a nossa parte.

A solução começa de dentro – Como lidar com usuários

Usuários internos de grandes empresas costumam ser a pedra no sapato dos administradores e responsáveis pela segurança lógica. Os principais cuidados a serem tomados são simples:

• Instant Messaging: Arquivos contendo instruções maliciosas são freqüentemente transmitidos por este meio. Bloquear as transferências, ou simplesmente impedir o acesso a estas tecnologias são formas de se livrar deste problema.
• E-mail: Spam, scam, worms, spywares e muitas outras coisas chegam diariamente, aos quilos, para muitas caixas postais. Ter um bom servidor de e-mails interno configurado para trabalhar em conjunto com SpamAssassin e Clamav minimiza a ameaça. Algum aplicativo anti-vírus instalado localmente em cada estação também é recomendável. Porém, como sempre, nada melhor do que ensinar ao usuário a pensar antes de sair clicando e abrindo quaisquer sites que deseja. Mostrar a eles como conferirem uma URL real antes de clicar no link é algo simples e mais eficaz do que muitos imaginam.
• Backup: Sim, a famosa cópia de segurança. É relativamente errado afirmarmos que jamais irá acontecer algo inesperado conosco, e para estas ocasiões, o backup é nossa fiel salvação. Ensine-os a gravar pelo menos os dados mais importantes, como aquela planilha que demorou 1 mês para ser feita…

Tenha ciência de que usuários não se importam com segurança. Eles, por natureza, nunca verificam por onde passam, não se preocupam com vírus, não pensam espontaneamente em atualizar o antivírus.
Eles sequer fazem logoff ao saírem de sites bancos ou outros serviços que requerem usuário/senha. Portanto, é seu dever ensinar o básico disso para eles. =) Num mundo ideal, onde todos os usuários-finais seriam cuidadosos, não precisaríamos de muitas precauções. Dependendo no nível de conhecimentos em informática deles, é válido inclusive “enjaulá-los” dentro de um ambiente limitado, como um usuário normal do Windows. Caso seja necessário instalar programas com nível de Administrador, faça você mesmo.

Aprofundando-se na questão: Servidor(es) de serviço(s)

Hoje em dia é raro encontrar uma rede totalmente desconectada da Internet. E nada melhor do que ter um Servidor para compartilhar a conexão entre as máquinas internas e assim economizar dinheiro, e também poder definir as políticas de acesso. Existem redes onde o Firewall, ou Bastion Host, representa vários papéis: Além de proteger a rede interna, também serve páginas na web (por meio de um apache, por exemplo), compartilha arquivos (samba), faz cache de recursos www (squid).
Nestes casos, segurança plena é algo difícil de ser alcançado. Devido a um grande número de portas lógicas e serviços abertos, o número de falhas e exploits a serem utilizados contra você é muito maior. Se este for o seu caso, considere o seguinte:

• Uma máquina exclusiva para firewall não precisa de um hardware poderoso. Aquele Pentium 200 MMX que você tem jogado no canto, com míseros 32mb de RAM é mais do que suficiente;
• Considerando o fator acima, chega-se a conclusão de que o investimento necessário será baixíssimo, e o ganho em segurança será enorme;
• Um firewall stand-alone pode redirecionar os recursos solicitados para as máquinas de dentro, provendo a mesma funcionalidade que você obtinha antes com o servidor que centralizava todos os recursos;

Imagine que a máquina Firewall esteja na frente da máquina Servidor Web, ou seja, Firewall tem o link externo (Speedy, por exemplo). Na máquina Firewall, você, com ajuda do IPTables, definirá que as solicitações feitas por outros, na porta 80, sejam redirecionados para Servidor Web, porém com o devido tratamento do tráfego, e possível bloqueio de IP’s que apresentem um ataque em potencial. E assim você terá seu site na internet, da mesma forma, porém com muito mais tranquilidade.

A moral da história é: O servidor que possui um link externo (com a internet) deverá, para fins de maior segurança, ter o menor número de serviços possível rodando. Ter um sshd por exemplo é relativamente obrigatório para administração remota, e mesmo assim você pode facilmente diminuir os riscos de invasão simplesmente mudando a porta padrão de funcionamento.
Outra questão importante é desativar os serviços desnecessários. Se você não tem muita experiência em Servidores e ainda não sabe desabilitar tudo o que deveria, pergunte em fóruns, leia Howto’s e utilize nosso bom e velho amigo, o Google! Deixar um servidor de FTP, outro de Telnet, Apache, MySQL e outras coisas rodando sem que se faça utilização dos mesmos é conceder aos crackers boas chances de invasão.

Como eu monto um bom firewall para minha rede?

Chegamos à parte técnica da coisa. Irei dividir esta seção em três partes fundamentais: Snort, Guardian e Acid. A explicação de cada um dos serviços é bem simples:

• O Snort analisa o tráfego da rede, trabalhando em conjunto com o IPTables. Caso alguma instrução maliciosa chegue ao Snort, ele dispara um “alerta”, que pode ser gravado num arquivo de textos ou bancos de dados.
• O Guardian necessita do Snort para funcionar. Ele monitora constantemente o destino do log do Snort (arquivos de texto ou databases). Se encontrar alguma coisa que tenha sido qualificada como prejudicial, maliciosa ou suspeita, ele age de acordo com as configurações feitas, como bloquear o IP de origem do ataque.
• O ACID é o responsável por emitir relatórios disso tudo. Se alguma tentativa de invasão, pacotes maliciosos ou coisas do gênero acontecerem, o ACID lê, interpreta e adiciona em um novo banco de dados, preparado para ser exibido de forma elegante via web.

Mãos na massa!

Instalando e configurando as dependências dos pacotes

Em primeiro lugar, certifique-se que possui os pacotes flex e bison instalados no seu sistema. Os sources para compilação podem ser encontrados aqui:

• Flex
• Bison

Usuários de distribuições derivadas de Debian podem instalar estas dependências via apt-get:

# apt-get install flex && apt-get install bison
Fedora e derivados:
# yum install flex && yum install bison

Agora iremos instalar a libpcap, componente necessário para o funcionamento do Snort. Baixe-a neste link: libpcap v0.8.1.
Descompacte o source e em seguida entre no diretório criado. Para compilar:

# ./configure && make && make install

E por último, iremos instalar a libpcre, também necessária para o Snort funcionar de acordo. No Debian e derivados:

# apt-get install libpcre3-dev

Não sei o nome deste pacote para Fedora e outras distribuições, porém deve ser semelhante, ou o mesmo. Pronto, chega de dependências. Vamos ao que interessa.

Compilando e configurando o Snort

Baixe o source do Snort aqui. Descompacte-o com:

# tar xzvf snort-2.6.1.1.tar.gz
Entre na pasta que será criada com os arquivos e então compile com:

# ./configure –with-mysql # make && make install
Agora vamos criar um diretório para depositarmos as regras de análise do tráfego da rede, e demais arquivos de configuração. Ainda dentro do diretório do source do Snort, digite:

# mkdir /etc/snort
# cp etc/* /etc/snort/
Prontinho. Iremos configurar agora o banco de dados aonde o Snort irá salvar os logs:

# mysql -u root -p (Você cairá no console de acesso do MySQL)

Digite:
mysql> CREATE DATABASE SNORT;
mysql> GRANT insert, select ON snort.* TO snort@localhost IDENTIFIED BY ‘senha_do_snort’;
mysql> GRANT insert, select, delete, update, create ON snort.* TO acid@localhost IDENTIFIED BY ‘senha_do_acid’;
mysql>quit;

Lembre-se de trocar a senha “senha_do_snort” por algo que você desejar. E para finalizar (lembre-se: esteja dentro do diretório do source do Snort):
# mysql -u root -p snort < schemas/create_mysql

Este comando irá importar o esquema de tabelas necessárias pro Snort gravar tudo direitinho. Agora é necessário baixar o arquivo de Regras do Snort. Estes arquivos são diretrizes que guiam o Snort na hora de analisar os pacotes, varrendo por ações maliciosas:

# cd /etc/snort/
# wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz # tar xzvf snortrules-pr-2.4.tar.gz # mv rules/* . (Reparem no ponto final existente na última linha. Não esqueçam de digitá-lo) Por fim, é necessário que façamos ajustes no arquivo de configuração do Snort. Edite o arquivo /etc/snort/snort.conf e configure as seguintes variáveis com seus devidos valores:

var HOME_NET [127.0.0.0/16,192.168.100.0/24]
var EXTERNAL_NET !$HOME_NET
output database: log, mysql, user=snort password=senha_do_snort dbname=snort host=localhost

Agora o Snort está pronto para rodar. Certifique-se de que o MySQL está rodando e execute:

# /usr/local/bin/snort -d -c /etc/snort/snort.conf
Este comando irá rodar o Snort em primeiro plano. Verifique se houve conectividade com o banco de dados e se o snort.conf está correto. Caso tudo corra bem, mate o processo e crie um init script chamado “snort” dentro da pasta /etc/init.d/ com o seguinte conteúdo:

• Init Script do Snort

Agora é só configurar o Snort para auto-inicializar em boot-time com o comando: Para Debian:
# update-rc.d snort defaults

Instalando e configurado o Guardian

O Guardian é um perl script que interage em conjunto com o Snort e Iptables para automaticamente bloquear hosts que disparem alertas de segurança. Faça o download do script neste link. Descompacte e entre no diretório criado. Em seguida, execute os comandos:
# mv scripts/iptables_block.sh scripts/guardian_block.sh
# mv scripts/iptables_unblock.sh scripts/guardian_unblock.sh
# cp guardian.pl scripts/guardian_block.sh scripts/guardian_unblock.sh /usr/local/firewall/scripts
# cp guardian.conf /etc/

Agora temos que alterar algumas linhas dentro do arquivo /etc/guardian.conf .

HostIpAddr xxx.xxx.xxx.xxx #preencha com seu IP público
Interface ethX #substitua X pela interface de IP válido
AlertFile /var/log/snort.log #arquivo de log do snort

Pronto, agora é só tentar subir o init-script do Snort. Execute:
# /etc/init.d/snort start
Caso não haja nenhum erro, então o Snort estará logando os possíveis ataques no banco de dados MySQL, e o Guardian irá automaticamente atualizar as regras do Iptables caso seja necessário.

Botando o ACID para funcionar

Você poderá baixar o código do ACID nesta URL. O Acid é um software desenvolvido em PHP que objetiva a visualização dos relatórios gerados pelo Snort. Para começar, descompacte o arquivo baixado e mova a pasta do Acid previamente descompactada para a pasta pública do Apache com o comando:
# mv acid/ /var/www/htdocs/
# cd /var/www/htdocs/acid

Agora teremos que fazer o download do ADODB, que é um conjunto de bibliotecas de conectividade entre o PHP e o MySQL. Digite os comandos a seguir:
# wget http://ufpr.dl.sourceforge.net/sourceforge/adodb/adodb493a.tgz
# tar xzvf adodb493.tgz

Em seguida abra o seu arquivo de configurações acid_conf.php e altere as diretivas a seguir:

$DBlib_path = “./adodb”;
$alert_dbname = “snort”;
$alert_host = “localhost”;
$alert_port = “”;
$alert_user = “acid”;
$alert_password = “senha_do_acid”;
$archive_dbname = “snort”;
$archive_host = “localhost”;
$archive_port = “”;
$archive_user = “snort”;
$archive_password = “senha_do_snort”;

Agora falta uma última etapa. Abra seu navegador e navegue para http://localhost/acid e clique no botão: Create_ACID_AG Pronto! Se tudo ocorreu sem complicações, você verá a tela no Acid com informações sobre alertas adicionados ao banco de dados. Caso você não esteja instalando o Snort num link com bastante acesso, simule um “ataque”, rodando o nmap em si mesmo.

Conclusões, créditos e blá blá blá

Finalmente terminamos de montar nosso firewall um pouco mais seguro.

Um assunto que não abordei aqui (de propósito) foi a criação das regras no Iptables, que simplesmente são o coração disso tudo. Sem elas, o Snort, o Acid, o Guardian e todo o resto não vão segurar o tranco sozinhos. Porém, como o assunto se estende e é bem complexo, talvez eu escreva algum material acerta disso em breve.

Espero que, mais do que ensiná-los o passo-a-passo da instalação, eu (e outros guias mais) tenham alertado a todos da importância da segurança em TODOS os ambientes, desde o primo de 17 anos que acessa sites de pornografia até o chefe do setor comercial que abre e-mails contendo pishing de sites.

Como não me aprofundei completamente neste assunto, espero também que os mais interessados corram atrás, postem dicas e outros guias que possam eventualmente completar este (ou até substituí-lo =P). Este é o caminho para o conhecimento.

Gostaria de parabenizar toda a nossa comunidade. Sermos dessa forma, com essa vontade de compartilhar, de aprender, de ensinar e de guiar os outros é magnífico.

Quem quiser entrar em contato comigo para esclarecimento de dúvidas, pode usar este campo de comentários daqui mesmo, ou me mandar e-mails. Meu endereço é: jzerbini (arroooba) gmail.com

Quem quiser copiar este tutorial, fique à vontade. Manter os créditos da autoria original é sempre bom também.

Abraço a todos!

Jeremias Zerbini Filho.

Leia também:

1. Dia de grandes atualizações – Firefox, PHP e VirtualBox Hoje foi um dia repleto de boas notícias para o...
2. Liberando root no Motorola Milestone 2.0 Furioso por não conseguir comprar os aplicativos pagos no Market,...
3. Liberar root no Milestone – firmware 2.1 Boa noite pessoal ! Seguindo a linha do tutorial anterior,...