Community Edition 76 - Linux New Media

Expediente editorial
Diretor Geral
Rafael Peregrino da Silva
rperegrino@linuxmagazine.com.br
Editores
Flávia Jobstraibizer
fjobs@linuxmagazine.com.br
Kemel Zaidan
kzaidan@linuxmagazine.com.br
Editora de Arte
Larissa Lima Zanini
llima@linuxmagazine.com.br
Colaboradores
Alexandre Borges, Alexandre Santos, Augusto
Campos, Hans-Peter Merkel Kay-Uwe Königsman,
James Mohr, Kurt Seifried, Marcel Gagné,
Markus Feilner, Michael Gotwald, Oliver Kluge,
Stefan Wintermeyer, Thomas Bader.
Tradução
Pablo Hess, Emersom Satomi, Michelle Ribeiro
Editores internacionais
Uli Bantle, Andreas Bohle, Jens-Christoph Brendel,
Hans-Georg Eßer, Markus Feilner, Oliver Frommel,
Marcel Hilzinger, Mathias Huber, Anika Kehrer,
Kristian Kißling, Jan Kleinert, Daniel Kottmair,
Thomas Leichtenstern, Jörg Luther, Nils Magnus.
Anúncios:
Rafael Peregrino da Silva (Brasil)
anuncios@linuxmagazine.com.br
Tel.: +55 (0)11 3675-2600
Penny Wilby (Reino Unido e Irlanda)
pwilby@linux-magazine.com
Amy Phalen (América do Norte)
aphalen@linuxpromagazine.com
Hubert Wiest (Outros países)
hwiest@linuxnewmedia.de
Diretor de operações
Claudio Bazzoli
cbazzoli@linuxmagazine.com.br
Na Internet:
www.linuxmagazine.com.br – Brasil
www.linux-magazin.de – Alemanha
www.linux-magazine.com – Portal Mundial
www.linuxmagazine.com.au – Austrália
www.linux-magazine.es – Espanha
www.linux-magazine.pl – Polônia
www.linux-magazine.co.uk – Reino Unido
www.linuxpromagazine.com – América do Norte
Apesar de todos os cuidados possíveis terem sido tomados
durante a produção desta revista, a editora não é responsável
por eventuais imprecisões nela contidas ou por consequências
que advenham de seu uso. A utilização de qualquer material
da revista ocorre por conta e risco do leitor.
Nenhum material pode ser reproduzido em qualquer meio, em
parte ou no todo, sem permissão expressa da editora. Assume-se
que qualquer correspondência recebida, tal como cartas, emails,
faxes, fotografi as, artigos e desenhos, sejam fornecidos para publicação
ou licenciamento a terceiros de forma mundial não-exclusiva
pela Linux New Media do Brasil, a menos que explicitamente
indicado.
Linux é uma marca registrada de Linus Torvalds.
Linux Magazine é publicada mensalmente por:
Linux New Media do Brasil Editora Ltda.
Rua São Bento, 500
Conj. 802 – Sé
01010-001 – São Paulo – SP – Brasil
Tel.: +55 (0)11 3675-2600
Direitos Autorais e Marcas Registradas © 2004 - 2011–:
Linux New Media do Brasil Editora Ltda.
Impressão e Acabamento: RR Donnelley
Distribuída em todo o país pela Dinap S.A.,
Distribuidora Nacional de Publicações, São Paulo.
Atendimento Assinante
www.linuxnewmedia.com.br/atendimento
São Paulo: +55 (0)11 3512 9460
Rio de Janeiro: +55 (0)21 3512 0888
Belo Horizonte: +55 (0)31 3516 1280
ISSN 1806-9428 Impresso no Brasil
Linux Magazine #76 | Março de 2011
Artífi ces da história
Em uma madrugada (insone) dessas, estava assistindo novamente ao
fi lme Forrest Gump: O Contador de Histórias (título nacional do fi lme de
Robert Zemeckis, com Tom Hanks no papel-título). Por obra e graça de
alguma conjunção universal, também estava lendo no livro A Cabeça de
Steve Jobs um trecho no qual o fundador da Apple comenta que, mais do
que ser bem-sucedido em suas empreitadas comerciais, ele está preocupado
em deixar uma marca no universo. Forrest Gump acabou por deixar uma
marca no universo, pois, mais do que contar suas histórias, ele as viveu. Isso
requer obstinação, algo que também não falta a Steve Jobs, além de uma
visão que beira a profecia e que leva o visionário a uma quase certeza de suas
aspirações e de seus planos estarem fadados ao sucesso. A história é pródiga
de exemplos desse tipo, e a maioria esmagadora deles comungava de um
traço comum, que ia além da própria obstinação: o acesso à informação –
ou a uma infraestrutura qualquer que garantia esse acesso. Esse ambiente
de troca aberta de ideias, com mentes brilhantes concentradas em resolver
tarefas similares, em um regime de saudável coopetição , foi decisivo para
dar cabo de problemas embricados e introduzir a revolução que culminou
na criação da Teoria da Relatividade e da Mecânica Quântica.
O ato de criação é profundamente marcante e impele a cultura e o avanço
humanos desde que “descemos das árvores”. Entretanto, essa atividade é
fortemente infl uenciada pelas condições de contorno da sociedade em que
ela acontece. Não fosse Charles Darwin um homem de princípios, e um respeitado
membro da nobreza britânica quando da época da criação da Teoria
da Evolução, Alfred Russel Wallace, o biólogo de origem humilde que vinha
trabalhando por mais de uma década na mesma teoria, jamais teria recebido
crédito algum na co-autoria da importante revelação da referida teoria. Assim,
na vasta maioria das vezes, não basta pioneirismo ou brilhantismo para que as
ideias e conceitos fl oresçam. Há todo um entorno que, senão imprescindível,
é fundamentalmente determinante para dar vazão à genialidade humana.
Afi nal, atores só podem brilhar quando há plateia para aplaudir.
No segmento da TI, a situação desse ambiente de criação era precária,
até que Richard Stallman defi niu o conceito de Software Livre em meados
da década de 1980. Isso levou a IDC a afi rmar em 2006 que “o software de
código aberto é a iniciativa mais importante e abrangente em tecnologia da
informação desde os anos 1980”. Essa iniciativa permitiu o assentamento
das bases de um ecossistema aberto de desenvolvimento de software que
culminou na criação do Linux na década seguinte, abriu as portas para a
ascensão do Google e do Facebook uma década mais tarde, levou à criação
da Wikipédia e conduziu à materialização do conceito de computação em
nuvem como o conhecemos hoje, bem como disseminou o uso da computação
móvel. Tudo isso – inclusive o kernel dos produtos da Apple, que ironicamente
foi batizado com o codinome Darwin e é baseado no kernel do
FreeBSD – tem como base o Software Livre. Esse ecossistema democratiza
a atividade de criação de software em todas as plataformas e nos transforma
de partícipes em potenciais artífi ces da história da tecnologia. Agora, cabe
a cada um escolher se deseja ser ator ou permanecer um telespectador da
história contada por esse fi lme.
printf(“G0, F0rr3st, g0!\n”);
Rafael Peregrino da Silva
Diretor de Redação
3
EDITORIAL

ÍNDICE
4
CAPA
Segurança em alta 29
Monitorar e manter seu sistema e rede seguras,
atualmente não é mais um bicho de sete cabeças.
Identidade livre e segura 30
A CAcert fornece diversas opções a seus membros
para obter certifi cados digitais gratuitos.
Invasão com Metasploit 36
O framework para testes de invasão Metasploit fornece
todas as ferramentas que os agressores usam – você
pode até praticar suas habilidades em um servidor
propositalmente inseguro que acompanha o pacote.
Monitoramento efi ciente 42
Se você precisa monitorar redes de grande escala, vai precisar
de um software poderoso. O OpenNMS oferece recursos
robustos de monitoramento em um pacote aberto.
Câmera indiscreta 47
Já imaginou o que mais você poderia fazer com sua webcam?
Apresentamos algumas ferramentas para confi gurar um
sistema doméstico de câmeras de monitoramento.
Em órbita 52
Preveja e rastreie a órbita de satélites e controle equipamentos de
rádio amador com o software de rastreamento de satélites gpredict.
www.linuxmagazine.com.br

COLUNAS
Klaus Knopper 08
Charly Kühnast 09
Augusto Campos 12
Zack Brown 14
Kurt Seifried 16
Alexandre Borges 18
NOTÍCIAS
Geral 20
➧ Mistura de telefone e console portátil da
Sony será lançado com Android 2.3
➧ Canonical disponibiliza Ubuntu 11.04 Alpha 2
➧ Qt não será plataforma de desenvolvimento para
telefones Nokia equipados com o Windows
➧ Logmein apresenta protótipo de aplicativo para
tablets Android Honeycomb no MWC
➧ Parceria entre NVIDIA e Samsung dá origem ao tablet Galaxy Tab 10.1
CORPORATE
Notícias 22
➧ Dell compra a SecureWorks
➧ Tuxera passa a fazer parte da Linux Foundation
➧ Servidores vendidos pela Dell nos EUA terão o
Ubuntu Enterprise Cloud pré-instalado
➧ HP anuncia novo diretor de vendas da divisão
Enterprise Services no Brasil
➧ Exército Brasileiro disponibiliza nova solução no Portal do Software Público
➧ Intel se diz desapontada com parceria entre Nokia e Microsoft
Entrevista com Victor Arnaud 24
A ALOG, é um dos principais datacenters do Brasil e atende
aproximadamente 1.200 clientes corporativos nas capitais do
Rio de Janeiro e São Paulo. Confi ra a entrevista realizada com
Victor Arnaud, diretor de processos e produtos, e que fala sobre
os planos para este ano no mercado de cloud corporativo.
Coluna: Jon “maddog” Hall 26
Coluna: Alexandre Santos 28
REDES
Nomes seguros 56
São necessários vários elementos para fortalecer o vulnerável sistema
DNS legado: um protocolo estável, servidores de nome confi áveis,
confi guração efi ciente e, acima de tudo, chaves. Após longa espera, o
DNSSEC fi nalmente está disponível para a zona-raiz, e os domínios de
topo já estão evoluindo ao oferecer compatibilidade com a tecnologia.
Linux Magazine #76 | Março de 2011
SEGURANÇA
Dados seguros 62
Um pequeno descuido pode custar a você horas de trabalho extra ou
milhares de reais para sua empresa. Conheça algumas ferramentas
de backup para ajudar na prevenção e recuperação de falhas.
Proteção de servidores web 70
Até mesmo servidores web confi gurados e atualizados com
correções de segurança, podem ser comprometidos por
conta de vulnerabilidades em aplicações web. O mod_security
é uma extensão do Apache que atua como um fi rewall de
aplicação para proteger o servidor web de ataques.
TUTORIAL
VoIP com Asterisk – parte V 76
O sistema telefônico ultrapassado, presente até pouco
tempo atrás nas empresas, é prolífi co em cobranças:
cada novo recurso ativado requer uma nova ativação de
serviço, com o preço adicionado ao pagamento mensal.
É hora de mudar. É hora de criar sua própria central VoIP.
SERVIÇOS
Linux Magazine 76 | ÍNDICE
Editorial 03
Emails 06
Linux.local 78
Preview 82
5

COLUNA
12
Coluna do Augusto
A Linux.conf.au (LCA) [1] é um evento australiano
que há alguns anos faz parte do calendário do Linux, e
que tradicionalmente conta com a presença do criador
do sistema, o fi nlandês Linus Torvalds.
Linus, aliás, tem longos laços com a Austrália – foi lá
que, em um zoológico da capital, o desenvolvedor foi
bicado, ainda na primeira metade da década de 1990,
por um pinguim – fato que acabou tendo relação com
a escolha do mascote do Linux.
Já é fato esperado que, a cada participação na LCA,
Linus dê entrevistas a veículos variados, frequentemente
não se furtando a responder questões sobre temas incomuns
ou mesmo a perguntas difíceis.
E na LCA deste ano não foi diferente: entrevistado
por um mantenedor do blog OMG!Ubuntu , o criador
original do kernel deu sua opinião sobre o Ubuntu e,
de quebra, comentou o que pensa sobre o Debian [2] .
Claro que todos somos livres para concordar ou discordar,
mas como se trata de uma opinião vinda de fonte
relevante, vale a pena conhecer e ter assunto para a
hora do cafezinho do lado de fora da sala de servidores.
Sobre o Ubuntu, o resumo é que Linus o testou algumas
vezes ao longo dos anos, enfrentou problemas e
desistiu de utilizá-lo – mas ele entende que desenvolvedores
do kernel não são o público-alvo da distribuição.
A razão pela qual ele diz que testou o Ubuntu é curiosa:
segundo ele, a razão principal é “o que o Ubuntu faz
tão bem, que é deixar o Debian usável”. Se o comentário
não foi claro o sufi ciente, ele explica: “Sempre
senti que o Debian era um exercício sem uma razão,
porque para mim a razão para uma distribuição é fazer
tudo fi car mais fácil. Fácil de instalar, de fi car bonito,
amigável, e o Ubuntu fez isso ao Debian.”
Humildemente discordo de Linus: não gosto de produtos
que se tornam mais complexos do que o necessá-
A opinião de Linus
Em entrevista, Linus Torvalds dá sua opinião
sobre as distribuições Debian e Ubuntu.
rio, mas não acho que toda distribuição é obrigada a ter
a facilidade como seu critério principal. Mas estamos
de acordo quanto à conclusão: o Ubuntu também me
parece muito mais usável e, ao contrário do fi nlandês,
eu faço parte do seu público-alvo, e o uso.
E ele vai além no louvor: “Penso que o Ubuntu fez
um trabalho realmente bom em tornar o Linux disponível
a um público maior e diferente, o tipo de público
que vem de uma experiência intrínseca com Windows
e Mac OS X.”
Elogios não enchem a barriga de ninguém, mas ter
esse tipo de endosso por parte de um desenvolvedorchave
do sistema operacional certamente deve ter feito
a alegria de muitos dos seus distribuidores e colaboradores
do Ubuntu – assim como acontece com seus
pares entre distribuições que ele realmente usa em seu
desktop, como o Fedora.
Não vejo grande graça ou vantagem em discutir
distribuições como se fossem times de futebol, mas o
assunto é sempre popular, portanto fi cam registrados
novos argumentos para manter abastecidos os debates
nos próximos meses! ■
Mais informações:
[1] Linux Conference Austrália:
http://lca2011.linux.org.au/
[2] Entrevista com Linus publicada no blog omgbuntu.com:
http://www.omgubuntu.co.uk/2011/01/ourexclusive-interview-with-linus-torvalds-lca2011/
Augusto César Campos é administrador de TI e, desde 1996, mantém o
site BR-linux.org, que cobre a cena do Software Livre no Brasil e no mundo.
www.linuxmagazine.com.br

COLUNA
18
Coluna do Alexandre
É
curioso observar como cada vez mais algumas
empresas estão praticando o pagamento de salários
menores para seus funcionários, mesmo
que estes se tornem cada vez mais especializados e
completos e consigam – com muito esforço e estudo –
certifi cações na área de TI.
As certifi cações de TI estão muito elaboradas atualmente
e criam os melhores fi ltros possíveis para confi
rmar que os candidatos a suas provas sejam, de fato,
merecedores das certifi cações que elas lhes concede.
Entre estas certifi cações mais populares estão: Red Hat
(RHCE e RHCA), Novell (CLP e CLE), Oracle (OCP
e Solaris), EC-Coucil (CEH e CHFI), VMware (VCP
e VCAP), (ISC)2 (CISSP), LPI (LPIC 1, 2 e 3), Cisco
(CCNP, CCNA e CCIE), Symantec (Netbackup, Veritas
Cluster, BE, SEP) etc. Não preciso dizer o quanto
essas empresas ou organizações notáveis dedicam de
esforço e empenho para criar uma marca que tenha
valor no mercado de trabalho mundial.
Na ampla maioria dos países, ter uma certifi cação
dessas representa a certeza de que o profi ssional está
apto a lidar com aquela tecnologia associada e mais
ainda: o peso dessas provas é, inclusive, maior do que
determinados títulos acadêmicos, por vários motivos.
Primeiro, pela qualidade. Segundo, porque, atualmente,
o ensino proporcionado pelas universidades (sobretudo
no Brasil) é via de regra sofrível e o estudante recém
formado não tem condições de atuar no mercado de TI.
Terceiro, por exigir uma educação continuada, ou seja,
impedir o comodismo de simplesmente não se dedicar
mais a aprender.
Mesmo com todos esses argumentos, é muito provável
que você já tenha ouvido a frase: “Ter certifi cação
não quer dizer nada”. Se você ouviu isso, pode ter
certeza de que quem disse isso a você é incompeten-
Você se valoriza
adequadamente?
A importância da especialização, vai além das fronteiras da
remuneração, passando atualmente pelo descaso e desvalorização
dos profi ssionais em algumas empresas do mercado.
te para ser aprovado na avaliação para a certifi cação
e, quase com certeza, não sabe do que está falando.
Essa frase pode vir de um profi ssional de baixa qualifi
cação ou mesmo de um contratante que está diminuindo
o esforço do profi ssional certifi cado para não
precisar valorizá-lo e, assim, não ter de pagar aquilo
que ele vale. Aliás, vou além, perguntando quem está
mais apto: os departamentos de educação das multinacionais
e/ou organizações que empregam tempo,
expertise e dinheiro para qualifi car os profi ssionais
seguidores de suas tecnologias ou alguns gerentes de
TI que muitas vezes nunca lidaram com uma tecnologia
complexa e sabem, no máximo, enviar emails
ou fazer apresentações?
Isso, acima de tudo, representa uma inversão de metas
e valores: ao invés de algumas pequenas e médias
empresas terem como objeto o lucro sobre a venda do
seu produto ou serviço para o cliente, no Brasil, essas
empresas tentam aumentar seu lucro sobre o funcionário,
pagando menos do que o merecido. Há duas razões
para esse comportamento: a conivência de profi ssionais
que aceitam valores abaixo da sua qualifi cação por necessidade
de ganhar dinheiro, todavia desvalorizando
todos os outros profi ssionais de sua área; e a má formação
de gestores, que ainda acreditam ingenuamente
que apresentar resultados de cortes de custos de curto
prazo é mais relevante do que o crescimento sólido da
companhia, sobretudo através da evolução e motivação
profi ssional dos seus comandados.
É possível ter profi ssionais certifi cados que não estejam
aptos o sufi ciente para exercer o cargo pretendido?
Claro que sim. Porém, quantos profi ssionais não certifi
cados têm ainda menos condições de atuar naquele
cargo? Certamente um número muito maior. É fato
que o advento dos simulados deturparam, de início,
www.linuxmagazine.com.br

alguns resultados de provas; contudo,
isso já foi melhorado pelas
principais empresas certifi cadoras
através de tarefas práticas em suas
provas ou, no caso das avaliações
com questões teóricas, do pedido
de análise de cenários e resoluções
de situações críticas.
Outro ponto indispensável é
não acreditar que o fato de saber
uma série de comandos e procedimentos
seja saber tecnologia.
Para qualquer analista que execute
sempre os mesmos procedimentos,
é quase certo que ele
vá acabar decorando tais informações.
No entanto, apenas os
grandes profi ssionais entendem
de fato os conceitos envolvidos,
as possibilidades da tecnologia e
sabem raciocinar de modo fundamentado
para encontrar soluções
para problemas novos e
projetos desafi adores.
O mercado de TI é muito competitivo
e por esse motivo meu
conselho é: estude bastante, não
se importe com profi ssionais que
não têm a mesma competência
que você e, sempre quando
alguma empresa se propuser a
pagar menos do que você realmente
vale, mude de empresa.
As melhores companhias estão
interessadas nos lobos. Deixe as
ovelhas para empresas que, com o
passar do tempo, irão desaparecer
do mercado. ■
Gostou do artigo?
Este artigo no nosso site:
http://lnm.com.br/article/4839
Alexandre Borges (alex_sun@terra.com.br,
twitter: @ale_sp_brazil) é Especialista Sênior
em Solaris, OpenSolaris e Linux. Trabalha com
desenvolvimento, segurança, administração e
análise de desempenho desses sistemas operacionais,
atuando como instrutor e consultor.
É pesquisador de novas tecnologias e assuntos
relacionados ao kernel.
Linux Magazine #76 | Março de 2011
19

CORPORATE
28
Tenho visto nos últimos anos vários especialistas
e “interessados” afi rmarem que o fato do Linux
ter sido portado em alta plataforma “salvou” esses
dinossauros da extinção. Será?
Para avaliarmos se esta afi rmativa faz sentido, é importante
voltar um pouco no tempo. Se observarmos o cenário
de 1999 para cá, podemos perceber que a carga não-linux
nos mainframes continua sadia e sem nenhum sinal de que
será substituída. O uso de mainframes com outros sistemas
está em alta, pois os fornecedores de hardware específi co
ainda têm o compromisso de manter em funcionamento,
mesmo nas máquinas recentes, os bilhões de dólares de investimento
já realizados pelos clientes há décadas. Mesmo
hoje, a quase totalidade das transações fi nanceiras mundiais
passa por uma máquina destas, por suas imbatíveis
características de robustez, segurança e escalonabilidade.
Mas, enfi m, o que mudou com a presença do Linux nos
mainframes? Por que esse casamento tem sido tão feliz, mesmo
antes do lançamento recente dos mainframes híbridos?
Para facilitar um pouco a compreensão dessa parceria
campeã pinguim-dinossauro, é importante fazermos
uma rápida comparação entre o que foi considerado por
Através das ferramentas de
virtualização do mainframe,
provisionar um ambiente inteiro
de servidores Linux incluindo
produção, homologação e testes
em centenas de máquinas se
torna uma tarefa corriqueira,
otimizada, efi ciente e segura.
Coluna do Alexandre Santos
O Linux salvou
os mainframes?
O que mudou com a presença do Linux nos mainframes?
Por que esse casamento tem sido tão feliz, mesmo antes
do lançamento recente dos mainframes híbridos?
muitos estrategistas militares uma das maiores revoluções
em máquinas de guerra: “o porta-aviões”.
Essa invenção foi capaz de aliar o benefício de carregar
com segurança enormes contingentes e toneladas de
carga bélica à fl exibilidade dos pequenos e ágeis aviões,
sendo capazes de serem provisionados rapidamente e se
infi ltrar nas linhas inimigas com efi ciência e excelente
relação custo benefício.
Através das ferramentas de virtualização do mainframe
(avós dos atuais hypervisors ), provisionar um ambiente
inteiro de servidores Linux incluindo produção, homologação
e testes em centenas de máquinas se torna uma
tarefa corriqueira, otimizada, efi ciente e segura. Grandes
clientes, mesmo aqui no Brasil, já experimentam esse tipo
de abordagem há mais de uma década, provando que essa
combinação, além de efi ciente, tem o melhor TCO ( total
cost of ownership , estimativa fi nanceira projetada para
consumidores e gerentes de empresas para avaliar os custos
diretos e indiretos relacionados todo investimento importante
para a empresa, como software e hardware, além do
gasto inerente de manutenção para mantê-los em funcionamento),
comprovado em centenas de estudos feitos por
órgãos independentes, em clientes no mundo todo.
Essa mudança criou novas oportunidades para os
fornecedores de aplicativos, que agora conseguem
executá-los em sistemas abertos, acessando aplicações
legadas pelo uso de uma arquitetura orientada a serviços
que protegem o investimento realizado. Além disso,
grandes fornecedores de software passaram a investir
bilhões de dólares em sistemas abertos, melhorando a
cada dia as características desse pinguim-turbinado que,
mesmo com pequenas asas, consegue pousar e decolar
nos porta-aviões mais rápidos do mundo. ■
Alexandre Santos (alexos@br.ibm.com) é gerente de estratégia e marketing
de System z da IBM Brasil.
www.linuxmagazine.com.br

Monitoramento e segurança
Segurança em alta
Monitorar e manter seu sistema e rede seguras, atualmente não é mais um bicho de sete cabeças.
por Flávia Jobstraibizer
O monitormento de sistemas e sua respectiva segurança
atualmente são assuntos comuns no dia a dia de um
profi ssional da área de TI, seja ele um analista ou um
especialista em segurança. Os especialistas criam regras
e tentam mantê-las todos os dias, protegendo o maior patrimônio
empresarial dos dias de hoje: a informação. Os
analistas, administradores e todos os outros espectros de
profi ssionais de TI, muitas vezes desconhecem algumas
regras de ouro na proteção da informação e acabam por
ser vítimas de roubo de dados, engenharia social e até mesmo,
por ingenuidade, comentam e entregam informações
importantes da empresa para usuários mal intencionados.
É comum abrir os principais sites de notícias da Internet
e encontrar uma variedade de manchetes sobre
falhas de segurança, dados que deveriam ser confi denciais
e que foram distribuídos através da grande rede,
vulnerabilidades nos aplicativos que você usa todo dia
– seja em seu celular ou em seu computador –, e que
são potenciais facilitadores para que seus dados se tornem
públicos sem que você perceba.
Pensando nisso, nesta edição da Linux Magazine , temos
uma grande variedade de artigos sobre monitoramento e
segurança de informações, a começar por um completo
artigo abordando uma das mais importantes vertentes
da segurança de dados: o backup. Diversas ferramentas
de backup são abordadas e comentadas entre seus prós,
contras, uso doméstico ou corporativo e outras variantes.
Matérias de capa
Invasão com Metasploit 36
Monitoramento efi ciente 42
Câmera indiscreta 47
Em órbita 52
Linux Magazine #XX | Mês de 200X
As invasões também são uma constante fonte de preocupações
para qualquer usuário de computador, novato
ou especialista. Confi ra o artigo Invasão com Metasploit ,
que irá abrir seus olhos quanto à falhas de segurança que
você nem imaginava existir!
E por falar nisso, você sabia que pode montar um
sistema de vigilância via vídeo, com sua webcam doméstica?
Não deixe de conferir o artigo Câmera indiscreta e garanta
um novo e importantíssimo uso para aquela webcam abandonada
em sua mesa e que até pouco tempo atrás servia
apenas para raras e corriqueiras conversas com amigos.
Outros destaques imperdíveis desta edição são um
artigo sobre DNSSEC, que aborda as melhores formas
de evitar as vulnerabilidades na resolução de nomes
de DNS legados e um artigo cobre CAcert, uma forma
gratuita e livre de obter certifi cados digitais para
aumentar a segurança dos seus sistemas!
Fique seguro e boa leitura!
29
CAPA

SEGURANÇA
62
SEGURANÇA | Ferramentas de backup
Ferramentas de backup
Dados seguros
Um pequeno descuido pode custar a você horas de trabalho extra ou
milhares de reais para sua empresa. Conheça algumas ferramentas de
backup para ajudar na prevenção e recuperação de falhas.
por James Mohr
Computadores têm pouco valor
quando não fazem o que
deveriam, seja porque pararam
de funcionar ou porque não estão
corretamente confi gurados. Sistemas
redundantes e máquinas sobressalentes
são métodos comuns de, em caso
de problemas, voltar rapidamente à
operação, mas não ajudam muito caso
o problema seja causado por confi -
gurações incorretas e esses arquivos
de confi guração sejam copiados para
as máquinas sobressalentes. Às vezes,
a única solução é restaurar as confi -
gurações a partir do backup .
Fazer backup de todos os seus dados
todos os dias não é sempre a melhor
solução. O tempo e o espaço de armazenamento
necessários podem ser
fatores limitantes. Em estações com
apenas alguns arquivos de confi guração
e poucos arquivos de dados, pode
ser sufi ciente guardar esses arquivos em
mídias externas, tais como pendrives e
discos rígidos USB. Então, se o sistema
falhar, pode ser mais simples reinstalar
e restaurar os poucos dados necessários.
Fazer uma recuperação completa do
sistema geralmente leva mais tempo.
Como cada sistema é diferente dos
demais, não existe uma única solução
ideal. Mesmo que você descubra um
produto com todos os recursos que se
possa imaginar, o tempo e o esforço
necessários para administrar o software
devem ser restritivos. Portanto,
é fundamental conhecer os aspectos
mais signifi cativos dos backups
e como eles podem ser abordados
no software escolhido para decidir
qual produto implantar ( quadro 1 ).
Cópia simples
Uma cópia simples dos seus dados para
uma máquina na rede local com o utilitário
rsync iniciado a partir de uma tarefa
agendada ( cronjob ) uma vez por dia é
uma forma efi caz de fazer backup dos
dados quando tudo vem de um único
diretório. Este método é simples demais
para empresas que possuem diversos tipos
de dados diferentes – às vezes tantos
dados que fi ca impossível fazer backup
de tudo todos os dias. Nestes casos, é
preciso decidir o que fará parte do backup
e quando ( quadro 2 ).
Em termos de escolher o que
fará parte do backup e sua respectiva
Quadro 1: Suporte
Uma consideração frequentemente
ignorada é a quantidade de suporte
disponível para o produto escolhido.
O suporte comercial pode ser
necessário no caso de implementação
de uma solução de backup
para empresas. Entretanto, a quantidade
de suporte gratuito (fóruns,
listas de email etc.) pode ser um
problema. Ao considerar softwares
de código aberto de qualquer tipo
para uma empresa, é sempre viável
conferir o site do produto. Se o produto
não possuir atualizações nos
últimos três anos, talvez seja melhor
procurar em outro local. Se os
fóruns possuem poucos posts e a
maioria estiver sem resposta, provavelmente
você também não terá
sanadas as suas dúvidas.
www.linuxmagazine.com.br

Quadro 2: Alternativas de backup
Se você usa Linux e seus repositórios de software estão corretamente confi
gurados, há vários aplicativos de backup disponíveis e que podem ser encontradas
por meio da sua ferramenta de instalação (por exemplo, YaST, Synaptic
ou mesmo a Central de Programas do Ubuntu). Na verdade, através
destas ferramentas de instalação é possível descobrir mais de vinte produtos
que se defi nem de uma forma ou de outra como ferramentas de backup
(sem contar aqueles explicitamente para backup de bancos de dados).
Algumas perguntas importantes para se fazer sobre seu software de backup:
Seu hardware tem suporte?
Como o software lida com backups de banco de dados?
É possível fazer uma recuperação dirigida (isto é, para um diretório diferente)?
O software é capaz de verifi car a consistência dos dados após um backup
e restauração?
O software consegue gravar dados em múltiplos volumes?
Você precisa mesmo de todos os recursos que a ferramenta oferece?
O software consegue fazer backup de um sistema remoto?
frequência, os arquivos devem ser escolhidos
por sua importância. Os arquivos
mais importantes são seus dados propriamente
ditos, tais como arquivos de
banco de dados, documentos de texto,
planilhas, arquivos multimídia, emails e
assim por diante. São arquivos únicos e
seria um grande desperdício de tempo e
dinheiro recriá-los caso fossem perdidos,
então precisam permanecer protegidos.
As informações de confi guração de
softwares do sistema, como o Apache
ou seu servidor de email, geralmente
mudam frequentemente, mas ainda
assim esses arquivos também precisam
fazer parte do backup.
A próxima defi nição deve ser a frequência
com que se deve realizar o backup
dos arquivos. Por exemplo, arquivos de
banco de dados podem receber backups
em máquinas remotas a cada quinze
minutos, mesmo que os arquivos estejam
em máquinas de um cluster com
RAID por hardware. Máquinas locais
podem receber backups até duas vezes
por dia: a primeira vez para copiar o
backup do dia anterior para um disco
rígido externo, e a segunda para criar
um novo backup completo. Também
pode ser considerada uma opção, realizar
uma vez por mês a gravação em
DVD dos dados mais importantes,
apenas por segurança ( quadro 3 ).
Linux Magazine #76 | Março de 2011
Onde armazenar?
Algumas empresas estão despreocupadas
quanto ao armazenamento de
várias versões de arquivos de backup
ao longo de extensos períodos de
tempo. Entretanto, em alguns casos
pode ser necessário guardar por meses
ou até mesmo anos essas versões
de backups (como, por exemplo, nos
casos de transações bancárias), e a
única forma efi caz de armazená-los
é em mídias removíveis (um disco
rígido externo, por exemplo). Outras
exigências praticadas por algumas
empresas, como a de guardar os backups
em locais diferentes, frequentemente
acrescentam complexidade ao
problema, pois embora seja possível
guardar arquivos em discos rígidos
ou mídias externas, essa estratégia se
torna pouco prática quando se chega
na casa dos terabytes de dados.
Para decidir qual tipo de mídia de
backup você precisa usar, é preciso
considerar não apenas a quantidade
total de dados, mas também quantas
máquinas devem fazer parte do backup.
Isso envolve a capacidade de
distinguir rapidamente quais serão as
fontes de dados a serem copiadas de
máquinas distintas. Mover um disco
rígido externo entre duas máquinas
pode ser a forma mais fácil, mas com
Ferramentas de backup | SEGURANÇA
20 máquinas defi nitivamente é melhor
cogitar um sistema centralizado.
Neste ponto também é preciso considerar
a velocidade com que se consegue
fazer um backup e possivelmente
recuperar os dados. Há empresas que
possuem tantos dados a serem copiados
que é comum levar mais de um dia para
realizar o backup de todas as máquinas.
Sendo assim, backups completos podem
ser agendados para realização em fi nais
de semana, com seus respectivos incrementais
entre eles. Além disso, em um
ambiente corporativo com dezenas de
máquinas, tentar descobrir exatamente
onde está localizada uma versão específi
ca dos dados aumenta consideravalmente
seu tempo de recuperação.
Por último, também é preciso levar
em conta o custo. Apesar de talvez existir
a tentação de utilizar um único e imenso
disco rígido para armazenamento dos
backups – por este ser mais barato do
que dois discos com metade do tamanho
–, conseguir alternar entre dois (ou
Quadro 3: Incremental
vs diferencial
Devido à quantidade de dados, as
empresas frequentemente possuem
um esquema de backup de duas camadas.
Uma vez por semana, é feito
um backup completo (de todos
os arquivos); nos dias seguintes são
feitos backups somente dos arquivos
que sofreram alteração durante essa
semana. Essa técnica é chamada de
backup incremental. Apesar de economizar
mídia, ela requer, potencialmente,
mais tempo para a recuperação.
Com esse método, primeiro é
preciso recuperar o backup completo
e, dependendo de quais arquivos
foram alterados, talvez seja preciso
acessar todos os backups incrementais
e restaurá-los individualmente.
Uma alternativa é o backup diferencial,
que armazena somente os arquivos
que foram alterados desde o
último backup completo. Ele tem a
vantagem de economizar tempo em
comparação com o backup incremental,
pois o máximo que se pode
ter de recuperar são dois backups.
63

64
SEGURANÇA | Ferramentas de backup
mais) discos acrescenta mais um nível
de segurança aos dados armazenados
caso um dos discos falhe. Além disso,
essa atitude permitiria potencialmente,
que, em caso de necessidade, um dos
discos possa ser levado para um cofre,
ou para uso em outro local.
Perfi s de backup
Atualmente, a adoção da retirada de
todas as unidades externas após um
backup ser completado, é comum em
grandes empresas. Essa ação permite
que tais cópias de segurança sejam
armazenadas em um cofre à prova de
fogo ou em algum local fora da empresa,
para prevenir roubo de informação.
Isto signifi ca que, ao criar backups incrementais,
a cópia mais recente de
um arquivo específi co pode estar em
qualquer uma das dezenas de unidades
externas ( quadro 4 ). Para resolver esse
problema, o software de backup precisa
ser capaz de acompanhar qual versão
de qual arquivo está armazenada em
qual local (isto é, em qual dispositivo).
Quando um software de backup
alcança esse nível, ele geralmente também
é capaz de gerenciar múltiplas
versões de uma determinada cópia
de segurança. Às vezes, também é
preciso criar backups mensais ou até
anuais e que depois são armazenados
por maiores períodos. Essa confi gura-
Quadro 4: Dados de quem?
Um aspecto importante é a capacidade
de gravar dados de fontes diferentes
em mídias específi cas. Por
exemplo, caso cada cliente possua
dispositivos de armazenamento específi
cos (frequentemente chamados
de pool ). Usando seus rótulos, o software
consegue decidir qual dispositivo
pertence a qual pool, então os dados
de ambientes diferentes não são
misturados. Esse esquema é muito
útil quando, por exemplo, um cliente
quer que seus backups semanais
sejam armazenados fora da empresa
e outro cliente frequentemente pede
as fi tas de backup para passá-las por
um sistema de teste local.
ção é comum quando existem dados
sensíveis, como cartões de crédito ou
informações bancárias. Para impedir
que o software sobrescreva dados em
dispositivos antigos, é necessário defi
nir um “tempo de reciclagem” que
especifi que qual é o tempo mínimo
para que a mídia possa ser reutilizada.
Como nem todo backup é igual e
nem todas as empresas são iguais, é
preciso levar em conta a capacidade de
o software ser confi gurado segundo as
suas necessidades. Se você tiver tempo e
espaço de armazenamento sufi cientes,
um software capaz de fazer apenas um
backup completo talvez atenda às suas
necessidades. Por outro lado, talvez você
queira ter a opção de escolher somente
diretórios específi cos, até mesmo ao
realizar um backup completo.
Muitos dos produtos que examinamos
possuem a capacidade de defi nir
perfi s. Por exemplo, você defi ne um
perfi l chamado Minha rede Linux ,
atribui a ele um conjunto das máquinas
que serão as fontes de dados para
a cópia de segurança e o software de
backup automaticamente irá selecionar
quais diretórios incluir e quais ignorar.
Já em um outro perfi l, chamado Meu
backup , você pode ter um conjunto
de diretórios diferente, selecionados somente
a partir da sua máquina, e também
pode incluir comandos a serem
executados antes do backup, seguido
de algum outro comando executado
imediatamente após sua conclusão.
Como funciona o
armazenamento
Como são armazenadas as informações
do backup? O software de backup
tem o seu próprio formato interno ou
utiliza um banco de dados como o
MySQL para guardar todas as informações?
Quanto mais sistemas você
armazenar, mais necessário será utilizar
um produto capaz de identifi car
quais arquivos serão salvos e também
onde serão salvos. A menos que você
esteja fazendo um backup comple-
to toda noite para um único destino
(isto é, uma unidade externa ou um
diretório em uma máquina remota),
encontrar o local correto onde está
localizado um arquivo específi co pode
ser um pesadelo. Mesmo que você
esteja lidando somente com alguns
sistemas, a administração dos backups
pode tornar-se um fardo.
Isso leva à questão da facilidade
de recuperação dos seus dados. Você
consegue, com facilidade, encontrar
arquivos de uma data específi ca caso
haja múltiplas cópias deste? Qual a
facilidade de recuperação de arquivos
individuais? E todos os arquivos
alterados em uma data específi ca?
Dependendo da sua empresa, talvez
haja obrigações legais em termos
de quanto tempo é necessário manter
certos tipos de dados. Em alguns casos,
pode ser questão de semanas; em outros,
podem ser dez anos ou mais. Você
consegue recuperar dados tão antigos
assim? Mesmo que não seja necessário
pela lei, ter backups de longo prazo é
uma boa ideia. Se você apagar algo
acidentalmente e não notar por um
período maior que seu ciclo de backup,
talvez jamais recupere esta informação.
Qual a facilidade para seu software de
backup criar cópias completas no fi -
nal de cada mês – por exemplo, para
garantir que a mídia não seja sobrescrita?
São questões pertinentes e que
devem ser levadas em conta.
Agendamento
Se o seu cenário atual impedir que
você faça backups completos rotineiramente,
leve em conta a facilidade
de agendá-los. É possível garantir
que seja feito um backup completo
a cada fi m de semana, por exemplo?
Além disso, é preciso levar em conta
as opções de agendamento da ferramenta
de backup escolhida. Ela consegue
iniciar backups automaticamente? Ela
depende de algum comando? É apenas
uma interface gráfi ca para uma ferramenta
já existente, e todas as operações
precisam ser iniciadas manualmente?
www.linuxmagazine.com.br

Não é porque um sistema operacional
específi co não tem um cliente de backup
que você está sem sorte: é possível
montar sistemas de arquivos com
Samba ou NFS e depois fazer backup
dos arquivos normalmente.
Utilitário rsync
O utilitário rsync está disponível em
todas as distribuições Linux, todas as
principais versões de Unix, Mac OS
X e também em Windows. Caso você
tenha apenas algumas máquinas, confi
gurar o rsync manualmente pode ser
uma solução viável. Se você preferir
uma interface gráfi ca, existem várias
disponíveis. Na verdade, muitos aplicativos
diferentes se baseiam no rsync
para realizar backups. O utilitário rsync
pode ser utilizado para copiar arquivos
tanto de uma máquina local para uma
remota quanto o contrário. Seus vários
recursos também o tornam uma ferramenta
útil para sincronizar diretórios.
Por exemplo, o rsync pode ignorar arquivos
que não tenham sido alterados
desde o último backup, e pode apagar
arquivos do sistema de destino que não
existam mais na origem. Se você não
quiser que arquivos já existentes sejam
sobrescritos mas ainda quiser que todos
os arquivos sejam copiados, é possível
solicitar ao rsync que adicione um
sufi xo aos arquivos que já existam no
destino. A capacidade de especifi car
arquivos e diretórios é muito útil para
fazer backups. Ela pode ser utilizada
com o nome completo do arquivo ou
diretório ou então a partir de curingas.
O rsync também permite especifi car um
arquivo como fonte das informações
de inclusão e exclusão de dados. Ao
determinar se um arquivo é uma nova
versão ou não, o rsync pode verifi car seu
tamanho e sua data de modifi cação, e
também pode comparar a chave única
de identifi cação dos arquivos. É possível
usar o modo lote, presente na grande
maioria dos sofwares de backup, para
atualizar múltiplos destinos a partir de
uma única máquina. Por exemplo, alterações
em arquivos de confi guração
Linux Magazine #76 | Março de 2011
podem ser propagadas para todas as
máquinas sem precisar especifi car os
arquivos alterados em cada destino. O
rsync também possui uma interface
gráfi ca, o Grsync ( fi gura 1 ), que é de
fácil utilização.
luckyBackup
A princípio, estávamos em dúvida quanto
a detalhar mais o utilitário luckyBackup
[1] , pois este ainda encontra-se
em uma versão 0.X e tem aparência um
tanto “amadora”. Porém, o ceticismo
quanto à ferramenta rapidamente se
desfaz quando começamos a trabalhar
com ela. O luckyBackup é muito fácil
de usar e oferece um número surpreendente
de opções. Apesar de sua
simplicidade, tem o diferencial de ter
conquistado o terceiro lugar no prêmio
SourceForge Community Choice Awards
de 2009 como o “Melhor novo projeto”.
A versão que utilizamos foi a 0.35,
em português, cujo código-fonte está
disponível nos repositórios do Ubuntu,
entre outras distribuições.
Descrevendo a si mesma como uma
ferramenta de backup e sincronização,
o luckyBackup também utiliza
o utilitário de sistema rsync , ao qual
envia várias opções de confi guração.
Embora não seja um aplicativo clienteservidor,
ele só precisa de uma conexão
com o rsync para criar backups a
partir de um sistema remoto.
Ao defi nir quais arquivos e diretórios
farão parte do backup, é criado
um perfi l, que é armazenado no
diretório home do usuário. Os perfi s
podem ser importados e exportados,
o que possibilita criar modelos
de backup que podem ser copiados
para outras máquinas. Mas essas
máquinas ainda irão precisar do binário
do luckyBackup para executar
os comandos do rsync .
Cada perfi l contém uma ou mais
tarefas, cada uma com um diretório
específi co de origem e destino, e inclui
as opções de confi guração selecionadas
( fi gura 2 ). Portanto, é possível ter
opções diferentes para diretórios dife-
Ferramentas de backup | SEGURANÇA
rentes (tarefas), todas em uma única
máquina (com perfi s distintos).
Dentro de um perfi l, a ferramenta
facilita a defi nição de uma tarefa de
recuperação com base em uma determinada
tarefa de backup. Essencialmente,
é o inverso do que se defi niu
para a tarefa de backup, mas é bem
fácil alterar opções para as restaurações
de dados, tais como a recuperação dos
dados para um diretório diferente.
O agendamento dos perfi s de backup
é feito pelo utilitário de agendamento
cron , mas a ferramenta
oferece uma interface simples para
auxiliar o usuário nesse processo. Os
parâmetros do cron são selecionados
na interface gráfi ca; basta clicar na
tarefa de backup a ser agendada.
O modo de console, ou linha de
comando, permite gerenciar e confi
gurar seus backups, até mesmo na
ausência da interface gráfi ca, como
ao usar um terminal Shell. Como os
perfi s são armazenados no diretório
home do usuário, é possível que os
usuários criem seus próprios perfi s
e façam seus próprios backups.
Apesar de não ser recomendado para
grandes empresas, por tratar-se de uma
versão em desenvolvimento, o lucky-
Backup oferece um conjunto básico
de recursos que pode satisfazer usuários
domésticos e pequenas empresas.
Figura 1
Grsyng, uma interface
simples para o rsync .
65

66
SEGURANÇA | Ferramentas de backup
Figura 2 Confi guração de perfi l
do luckyBackup.
Amanda
Inicialmente desenvolvido internamente
na Universidade de Maryland,
nos EUA, o Advanced Maryland Automatic
Network Disk Archiver (Amanda)
[2] é uma das ferramentas de backup
de código aberto mais utilizadas. O
desenvolvimento do software é patrocinado
pela empresa Zmanda [3] ,
que oferece uma versão enterprise do
software, com recursos adicionais, e
que pode ser comprada pelo site da
empresa. A versão para servidores do
software somente pode ser executada
em Linux e Solaris (incluindo
OpenSolaris), mas o Mac OS X e as
várias versões do Windows também
possuem clientes do Amanda.
A documentação descreve o aplicativo
como tendo sido projetado para
funcionar em “centros computacionais
de tamanho moderado”. Esta e outras
partes da descrição do produto parecem
indicar que a versão comunitária
gratuita talvez tenha problemas com
redes maiores e com muitos computadores.
Talvez seja essa a razão de a
Zmanda vender uma versão enterprise
do produto. A versão mais recente é a
3.1.1, lançada em junho de 2010, mas
ela apenas corrigiu algumas falhas. A
versão 3.1.0 foi lançada em maio de 2010.
O Amanda armazena o índice dos
arquivos e suas localizações em um
arquivo de texto. Naturalmente, isso
tem o potencial de tornar mais lentas
as buscas quando for necessário recuperar
arquivos específi cos. Entretanto,
a versão comercial usa o MySQL para
guardar as informações.
Os backups de múltiplas máquinas
podem ser confi gurados para execução
em paralelo, mesmo que você tenha
somente um dispositivo para armazenamento
de backups. Os dados são
gravados em um tipo de disco de espera
( holding disk ) e, de lá, vão para
a unidade de armazenamento ofi cial.
Os dados são gravados com o uso de
ferramentas padrão como o tar , o
que signifi ca que os dados podem ser
recuperados independentemente do
Amanda estar instalado na máquina.
O agendamento do backup também
é feito com uma ferramenta local, o cron .
Os comandos iniciam na hora desejada,
utilizando o arquivo de confi guração
correspondente como argumento.
O Amanda suporta o conceito de
unidades virtuais, que são armazenadas
no disco local. Essas unidades podem
ter qualquer tamanho menor que o disco
rígido físico. Essa técnica é útil para
dividir seus arquivos em pedaços sufi -
cientemente pequenos para serem gravados
em DVD ou até mesmo em CD.
Os backups são defi nidos por níveis,
sendo o nível 0 (zero) a indicação de
um backup completo. Os níveis subsequentes
são backups das alterações feitas
neste grupo de arquivos, desde a última.
O wiki da ferramenta indica que o mecanismo
de agendamento do Amanda
usa esses níveis para implementar uma
estratégia de otimização em seus backups.
Apesar de a otimização poder ser
útil em muitas situações, a explicação
é um pouco vaga a respeito de como
ela é alcançada – e descrições vagas de
como um sistema toma decisões sozinho
sempre são incômodas. Um ponto
negativo importante é que o Amanda
foi desenvolvido com um ambiente específi
co em mente, e é possível (senão
provável) que você apanhe um pouco
para fazê-lo funcionar da forma desejada
em outros ambientes. O padrão
desejado de um software, é sempre
confi ar no administrador do sistema.
Sendo assim, se o administrador quiser
confi gurá-lo de uma certa forma, o
produto não deve achar que sabe mais.
Por exemplo, é necessário defi nir se o
mecanismo de agendamento fará backups
completos em momentos diferentes
de quando você espera ou mesmo deseja.
Em muitos casos, grandes datacenters
fazem backups no fi nal de semana
quando o tráfego é menor, e não a cada
cinco dias . Se sua instalação demonstrar
súbitos picos de dados, o Amanda talvez
pense que sabe a data melhor do que
você e altere o agendamento.
Apesar de essas situações poderem
ser resolvidas com ajustes no sistema, é
constante o mau pressentimento quando
um software tem o potencial de fazer
algo inesperado. Afi nal, o administrador
de sistemas é quem foi contratado para
pensar e não apenas para apertar botões.
Para facilitar as coisas nesse sentido, a
Zmanda recomenda seu produto corporativo
comercial, é claro. Apesar de
o Amanda existir há anos e ser usado
por muitas organizações, boa parte das
informações no seu site estão defasadas
e diversos links remeteram ao site
comercial da Zmanda, onde se pode
comprar seus produtos. Além disso, a
página com a lista de recursos desejados
planejados é de 2004. Embora haja
uma nota declarando que a página é
antiga, ainda não existe qualquer explicação
de quais itens da ferramenta
ainda são válidos. Metade das páginas
na tabela de conteúdo administrativo
(atualizada pela última vez em 2007)
simplesmente listam o título sem links
para outra página.
Além disso, devo admitir que fi quei
chocado quando li o “acordo de licença
de contribuição da Zmanda”. O
Amanda é uma ferramenta de código
aberto disponível gratuitamente para
todos. Porém, no acordo, “você atribui
e transfere os direitos autorais da sua
contribuição à Zmanda”. Em troca,
recebe uma longa licença para usar e
distribuir sua contribuição. Traduzido,
isto signifi ca que você abre mão dos
seus direitos autorais e não apenas dá
à Zmanda o direito de usá-los, como
também signifi ca que a Zmanda tem
liberdade para incluir suas alterações
www.linuxmagazine.com.br

em seu produto comercial e ganhar
dinheiro com elas – e você só ganha
uma camiseta!
Areca Backup
Na intermediária do espectro de recursos
e um tanto menos conhecido está o
Areca Backup [4] . Executado a partir
de uma interface gráfi ca ( fi gura 3 ) ou
da linha de comando, o Areca oferece
um design simples e uma ampla gama
de recursos. A documentação afi rma
que ele pode ser executado em todos
os sistemas operacionais que possuam
instalado o Java 1.4.2 ou posterior, mas há
somente pacotes para Linux e Windows
disponíveis para download. A instalação
no Ubuntu ocorreu sem problemas e
não foi encontrada nenhuma referência
a limitações com distribuições específi cas
ou outros sistemas operacionais.
O Areca não é um aplicativo clienteservidor,
mas um aplicativo para backup
de sistemas de arquivos locais.
O site do Areca afi rma explicitamente
que o software não é capaz de criar
imagens de sistemas de arquivos ou de
discos inteiros, e não consegue gravar
dados em CDs e DVDs. Os backups
podem ser gravados em máquinas remotas
com FTP ou FTPS, e é possível
fazer backups a partir de sistemas de
arquivos remotos, mas sem nenhum
agente remoto. O Areca não oferece
um agendador, então é esperado que
você utilize algum outro software de
agendamento de tarefas (como o cron )
para iniciar seus backups automaticamente
em horários agendados.
Linux Magazine #76 | Março de 2011
Na minha opinião, a interface não é
tão intuitiva quanto as dos outros, e ele
usa uma terminologia diferente da de
outras ferramentas de backup, tornando
o progresso mais lento no início. Por
exemplo, o diretório de confi guração
se chama workspace (área de trabalho))
e um conjunto de confi gurações (que
podem ser iniciadas de uma só vez) é
chamado de group (grupo), em contraste
com um grupo de máquinas.
O Areca oferece três modos de execução,
que defi nem como os arquivos
serão salvos: padrão , delta e imagem .
O modo padrão é mais ou menos um
backup incremental, que guarda todos
os novos arquivos e também aqueles
modifi cados desde o último backup.
O modo delta armazena as partes
modifi cadas dos arquivos. O modo de
imagem explicitamente não é uma
imagem de disco; basicamente, tratase
de uma fotografi a atual do sistema
que armazena um aglomerado único
de todos os seus arquivos em cada backup.
Os backups padrão (diferencial,
incremental ou completo) defi nem
quais arquivos incluir.
A interface gráfi ca fornece duas
visões dos seus backups. A visão física
lista os arquivos criados por um
determinado destino. A visão lógica
é uma visão consolidada dos arquivos
e diretórios contidos no aglomerado.
O Areca consegue efetuar ações antes
ou depois dos backups, como enviar um
relatório do backup por email, executar
scripts Shell antes ou depois do backup
e assim por diante. Ele também oferece
Ferramentas de backup | SEGURANÇA
diversas variáveis, tais como o nome do
arquivo e do computador, que podem
ser passadas para um script. Além disso,
é possível defi nir múltiplos scripts
e especifi car quando eles devem ser
executados. Por exemplo, é possível
iniciar um script quando o backup for
concluído com sucesso e iniciar outro
caso ele retorne erro.
O Areca oferece várias opções interessantes
para criar backups. Ele permite
comprimir os arquivos individuais
assim como criar um único aglomerado
comprimido. Para evitar problemas
com arquivos muito grandes, é possível
confi gurar o backup para dividir o
aglomerado compactado em arquivos
de um tamanho defi nido. Além disso,
existe a opção de criptografar os arquivos
com os métodos AES 128 ou AES
256. Um aspecto muito agradável da
ferramenta, é a possibilidade de arrastar
diretórios diretamente do gerenciador
de arquivos para o Areca.
O fórum do Areca tem um tráfego
relativamente baixo, mas os posts são
bastante atuais. Entretanto, é possível
notar que diversos posts recentes permanecem
sem resposta há um mês ou
mais. O wiki é bem limitado, então
provavelmente, a melhor fonte de ajuda
é a documentação do usuário, que
é bastante extensa e fácil de entender.
Ainda há dois assistentes para facilitar
a criação de backups. O Backup
Shortcut simplifi ca o processo de criação
dos comandos necessários do Areca,
que em seguida são armazenados
em um script que pode ser executado
Figura 3 Interface do Areca Backup. Figura 4 Tela de administração do Bacula..
67

68
SEGURANÇA | Ferramentas de backup
pela linha de comando ou agendados
através do cron .
O assistente Backup Strategy gera
um script contendo um conjunto de
comandos de backup para implementar
uma estratégia específi ca para o
parâmetro informado. Por exemplo,
é possível criar um backup todo dia
para uma semana, um backup semanal
por três semanas e um backup
mensal por seis meses.
Bacula
O Bacula [5] é um produto incrível.
Embora seja mais novo que o Amanda,
certamente o ultrapassa tanto em
recursos quanto em qualidade. Para
ser honesto, a confi guração não é do
tipo “clicar com o mouse”, mas não
é isso que se espera dada a variedade
de recursos oferecidos pelo Bacula.
Apesar de o aplicativo utilizar
ferramentas locais para a realização
do backup, ele é um produto
verdadeiramente cliente-servidor,
com cinco componentes principais
que usam comunicação autenticada:
Director , Console , File , Storage
e Catalog . Estes elementos são implementados
individualmente com
base na função de cada máquina.
O componente Director supervisiona
todas as operações de backup,
restauração e outras, incluindo o
agendamento das tarefas de backup.
As tarefas de backup podem iniciar
simultaneamente, ou com base em
prioridades. O Director também oferece
controle e administração centralizados
e é responsável por manter o
catálogo de arquivos. O componente
Console é utilizado para interagir
com o componente Director e está
disponível como ferramenta gráfi ca
ou em linha de comando.
O componente File também é
chamado de programa cliente, pois
trata-se do software instalado nas
máquinas que enviarão seus arquivos
para backup. Como seu nome diz, o
componente Storage é responsável
pelo armazenamento e a recuperação
de dados de e para a mídia física. Ele
recebe instruções do Director e em
seguida transmite os dados de ou para
um script de execução em segundo
plano, sendo executado quando for
apropriado. Depois, ele atualiza o
componente Catalog enviando ao
Director informações sobre a localização
dos arquivos.
O componente Catalog é responsável
por manter os índices de arquivos
e o banco de dados de volumes,
permitindo que o usuário localize e
recupere arquivos com rapidez. O Catalog
mantém um registro não apenas
dos arquivos, mas também das tarefas
executadas. Atualmente, o Bacula suporta
MySQL, PostgreSQL e SQLite.
Um aspecto interessante do Bacula
é o interpretador Python embutido
que pode ser usado na confecção de
scripts, por exemplo, antes de iniciar
uma tarefa, ou em caso de erros, ou
ainda quando a tarefa termina e assim
por diante. Além disso, é possível
criar um CD de recuperação para
uma recuperação bare metal (sem
qualquer exigência quanto ao sistema
operacional ou software previamente
instalado), o que evita a necessidade
de reinstalar seu sistema manualmente
e depois recuperar seus dados. Este
processo é suportado por um arquivo
que contém uma forma compactada
de comandos do Bacula, permitindo
assim que se armazene o sistema sem
ter acesso ao componente Catalog.
A unidade básica é chamada de job
(trabalho), e consiste de um cliente e
um conjunto de arquivos, o nível do
backup, o que está sendo feito (efetuando
o backup, migrando, restaurando)
e assim por diante ( fi gura 4 ).
O Bacula suporta o conceito de
media pool , um conjunto de volumes
(isto é, discos ou unidades removíveis),
com volumes rotulados,
de onde é fácil comparar os rótulos
externos da mídia, assim como evitar
a sobrescrita acidental dessa mídia.
Ele também suporta o backup para
uma única mídia a partir de múlti-
plos clientes, mesmo que estejam
em sistemas operacionais diferentes.
O site do Bacula não é sofi sticado
como o do Amanda, mas é mais
útil em virtude de detalhes sobre o
funcionamento do programa serem
muito mais acessíveis e as informações
estarem mais atualizadas.
Conclusão
Embora somente tenhamos analisado
os produtos superfi cialmente, este
artigo oferece uma boa ideia do que
se pode fazer com um aplicativo de
backup. Naturalmente, cada um deles
possui muito mais recursos do que
os examinados aqui, então se algum
deles despertou seu interesse, confi ra
o site correspondente para descobrir
tudo que a solução tem a oferecer. ■
Mais informações
[1] luckyBackup:
http://luckybackup.
sourceforge.net/
[2] Amanda:
http://www.amanda.org/
[3] Zmanda:
http://www.zmanda.com/
[4] Areca Backup:
http://www.arecabackup.org/
[5] Bacula:
http://www.bacula.org/
Sobre o autor
James Mohr é responsável pelo monitoramento
de vários datacenters de um provedor
de soluções corporativas em Coburg, Alemanha.
Além de organizar o site Linux Tutorial,
em http://www.linux-tutorial.info, James é autor
de diversos livros e dezenas de artigos sobre
grande número de tópicos.
Gostou do artigo?
Queremos ouvir vir sua opinião. opinião
Fale conosco em
cartas@linuxmagazine.com.br
agazine.c m.br
Este artigo no nosso site:
http://lnm.com.br/article/4854
m.br/ar e/485
www.linuxmagazine.com.br

SEGURANÇA
70
SEGURANÇA | Proteção de servidores web
Apache seguro
Proteção de
servidores web
Até mesmo servidores web configurados e atualizados com correções de segurança, podem ser
comprometidos por conta em vulnerabilidades na aplicações web. O mod_security é uma extensão
do Apache que atua como um firewall de aplicação para proteger o servidor web de ataques.
por Sebastian Wolfgarten e Kemel Zaidan
Problemas de segurança na web
não são mais típicos de resultados de
configurações mal feitas ou em decorrência
do servidor desatualizado.
Tomcat, Apache, e até mesmo o IIS,
tornaram-se extremamente maduros
através dos últimos anos – tanto que
mesmo que eles não tenham nenhuma
vulnerabilidade notável, exceções
podem sempre vir a tona e contrariar a
regra. Além disso, os crackers voltaram
suas atenções para aplicações web e
scripts que são executados nos servidores.
Requisições de usuários cada
vez mais rebuscadas estão tornando as
aplicações web ainda mais complexas:
Ajax, interação com bases de dados externas,
interfaces back-end e serviços
de diretório são parte do conjunto de
uma aplicação moderna. Vetores de
ataques crescem para acompanhar este
desenvolvimento (quadro 1).
Firewalls para a Web
Em contraste aos filtros de pacotes
legados, os WAF (Web Applications
Firewall, ou Firewall de Aplicações
Web) não inspecionam os dados na
camada de rede ou transporte, mas
sim na camada nível 7 do protocolo
HTTP (camada 7 do modelo OSI)
[1]. Para isto acontecer, os firewalls
analisam os pacotes de entrada e saída,
requisições de clientes e respostas de
servidores para distinguirem entre
requisições legítimas e maliciosas
com base em regras.
Se necessário, podem até mesmo
lançar medidas de “contra-ataque”.
Ao serem configurados para isso,
podem até mesmo inspecionar conexões
HTTPS criptografadas.
Acessórios em Massa
Em firewalls da maior parte das redes
– estamos exagerando um pouco
aqui – ou você permitirá alguma ou
nenhuma conexão HTTP. WAF tem
como alvo conexões HTTP individuais
baseadas em seu conteúdo.
O ModSecurity é um WAF de alto
desempenho para o Apache e um
módulo complexo para o servidor de
Web Apache [2]. Originalmente desenvolvido
por Ivan Ristic, o software
conta hoje com o apoio da empresa
Breach Security, que patrocina sua
distribuição e desenvolvimento .
Duas variantes do softwares estão
disponíveis: a variante open-source
licenciada sob a GPLv2 e a versão
comercial, com suporte profissional,
softwares embarcados (appliances)
pré configurados, e console de gerenciamento.
O ModSecurity pode
ser executado no Linux, Solaris, FreeBSD,
OpenBSD, NetBSD, AIX e
Windows, com as próximas versões
somente disponíveis para o Apache
2.x. Este artigo discute a versão 2.5.10;
o sucessor, 2.6.11 é meramente uma
correção de falhas.
O escopo funcional do software é
enorme, mas compreensivelmente documentado
[3]. Ele registra requisições
HTTP e dá ao administrador acesso
irrestrito a elementos individuais de
uma requisição, como o conteúdo de
uma requisição POST. Ele também
identifica ataques em tempo real baseado
em modelos de segurança positivos
ou negativos e detecta anomalias
baseado em padrões fornecidos de
vulnerabilidades conhecidas.
www.linuxmagazine.com.br

Quadro 1: Ataques em servidores web
Comparado com aplicações locais, aplicações web são mais vulneráveis
porque elas envolvem diversos componentes diferentes – do navegador de
Internet, ao servidor web e a estrutura de retaguarda. As vulnerabilidades
podem ocorrer em qualquer lugar, mas o servidor está sempre no centro
deste ambiente.
Caso a aplicação web não valide sufi cientemente as entradas do usuário e ao
invés disso forneça as informações a um banco de dados sendo executado em
segundo plano, os invasores poderão usar ataques de SQL injection para injetar
seus próprios comandos na cadeia de comandos. Assim o invasor será capaz de
ler, modifi car, deletar dados e assim exercer uma maior infl uência na aplicação.
Caso a aplicação também permita aos invasores armazenar arquivos no servidor e
executá-los através da web, o invasor poderá confi gurar um Shell web. Isso acontece
porque o servidor executará os arquivos do invasor, e este poderá executar
comandos do sistema operacional no servidor web e fi nalmente escalonar seus
privilégios para ter acesso a um shell interativo. Assim, a arquitetura de um Apache
cuidadoso e confi gurado, não dará acesso root ao invasor, o que é frequentemente
desnecessário para acessar dados sensíveis. E quanto mais serviços estiverem
instalados no servidor, mais provável que o invasor encontre um que seja vulnerável.
Poderosas regras descobrem se os
números de cartões de crédito estão entre
os dados enviados ou utiliza GeoIP
para bloquear o acesso de determinadas
regiões. O ModSecurity verifi ca não
somente requisições de entrada mas
também requisições de saída. O software
pode implementar ambientes chroot.
Como um proxy reverso, ele protege
aplicações em outros servidores web,
como o Tomcat ou o IIS.
A Breach Security também fornece
uma coleção de regras que garantem a
segurança básica do servidor web. Uma
documentação compreensível, muitos
exemplos e listas de discussão fornecem
suporte ao usuário. Isso faz do ModSe-
Linux Magazine #76 | Março de 2011
curity uma boa escolha para proteger
servidores web e suas aplicações contra
vulnerabilidades. Mas antes mesmo
de pensar em alterar as confi gurações
complexas, você primeiro precisará
instalar módulos de terceiros .
Pacotes para
qualquer distribuição
Se optar por não compilar o pacote
para o Apache 2, poderá utilizar um
pacote pré-compilado para Debian,
RHEL, CentOS, Fedora, FreeBSD,
Gentoo e Windows. A instalação
manual requer o módulo mod_unique_
id, que não é automaticamente for-
Tabela 1: Fases de processamento do ModSecurity
Número Fase Designador Atividades
1
2
3
4
5
Fase de
pré-visualização
Requisição
do cliente
Requisição POST
Resposta
do servidor
Logging
REQUEST_HEADERS
REQUEST_BODY
RESPONSE_HEADERS
RESPONSE_BODY
LOGGING
Proteção de servidores web | SEGURANÇA
necido por algumas distribuições.
Você poderá usar a diretiva :
LoadModule security2_module
modules/mod_security2.so
para integrar o módulo no arquivo de
confi guração do Apache httpd.conf ou
apache.conf , caso sua distribuição não
faça isto. Após ser reiniciado, o servidor
web lista o módulo em seu error_log .
Regras de fi ltragem
O ModSecurity tem uma série de opções
confi guráveis, mas para entender como
elas funcionam, tudo que você precisa é
da confi guração básica. A opção SecRuleEngine
ativa o mecanismo de fi ltragem
de módulos e permite processar regras
de fi ltros. As confi gurações que podem
ser usadas aqui são On , Off e DetectionOnly
, que diz ao módulo para monitorar,
mas para não tomar alguma ação
em relação a conexão cliente-servidor,
mesmo que regras individuais estejam
confi guradas para permitir isto. Esta
confi guração é útil para testar módulos
e suas próprias regras. Para auxílio no
início ou para depuração, ative a opção
SecDebugLog para defi nir um log de diagnóstico
(exemplo: SecDebugLog /var/log/
httpd/modsec_debug.log ). Adicionalmente
poderá defi nido o parâmetro
SecDebugLogLevel para especifi car o
detalhamento em uma escala de 0 a
9, que envia comentários sobre sua
própria atividade e a maneira com
que ele processa regras defi nidas pelo
Filtragem o mais cedo possível de requisições antes
do controle de acesso, autenticação, autorização e
detecção MIME que são realizados pelo Apache.
Acesso completo ao conteúdo de
requisições de cliente (caso normal).
Opção inicial para fi ltragem de respostas do servidor.
Acesso completo ao conteúdo de reposta do
servidor a uma requisição de entrada do cliente.
Acesso a todas as informações relevantes antes de que
ela seja gravada nos arquivos de log do Apache.
71

72
SEGURANÇA | Proteção de servidores web
Figura 1: Assim que o ModSecurity for ativado, ele registrará atividades suspeitas no nível de detalhe especifi cado
no SecauditLogParts – neste caso, um ataque SQL Injection.
usuário. Os níveis 4 ou 5 são úteis para
fazer um ajuste fi no ou diagnóstico.
Em ambientes de produção, defi na
este parâmetro como 0 (zero).
O parâmetro SecDefaultAction defi -
ne o comportamento padrão do ModSecurity
para requisições que sejam
condizentes com uma regra de fi ltro
sem uma ação correspondente. A opção
também espera que você especifi que
uma fase de processamento para a ação
padrão, como listado na tabela 1 . O ModSecurity
aplica regras de fi ltragem em
cinco diferentes fases de processamento
e resposta a requisições de clientes [4] .
Na vida real, somente a fase 2, no qual
o cliente requisita o conteúdo, é fi ltrado
(ou seja, dados de entrada), e a fase
4, que manipula a resposta do servidor
(dados de saída) são importantes. Na
prática, você poderá usar a opção de
defi nir uma ou múltiplas ações que
o software fará quando a conferência
ocorrer [5] . Para registrar requisições de
entrada do cliente na auditoria da fase
2 e responder a tentativa de requisição
com a mensagem de erro HTTP 403
(Forbidden) você deverá fazer:
SecDefaultAction phase:2,log,audit
log,deny,status:403
Uma função padrão de negativação
massiva como o padrão deny é altamente
restritivo, mas ele somente oferecerá
uma proteção máxima se você defi nir
fi ltros e ações ( quadro 2 ). O software oferece
algumas alternativas pré-defi nidas,
incluindo parâmetros de conversão de
requisições, execução de scripts externos
(por exemplo, executar um antivírus)
ou redirecionar requisições maliciosas.
O último é útil quando você estiver
investigando ataques ou desejar encaminhá-los
a um honeypot (armadilha
destinada a atrair um invasor). A confi
guração básica ( listagem 1 ) também
registra o conteúdo de requisições de
entrada e respostas retornadas. Ele envia
informações para o log de auditoria
como mencionado anteriormente. A
primeira diretiva, SecAuditEngine , ativa
este comportamento. A opção para a
segunda diretiva defi ne se o software
armazena as entradas do log de auditoria
em um arquivo único ( Serial ) ou
grava um arquivo para cada transação
( Concurrent ). O Concurrent será necessário
caso você tenha a intenção de
implementar o produto ModSecurity
Console add-on (console adicional do
ModSecurity). A Breach Security oferece
um software para gerenciar múltiplas
instâncias, desde que este não precise
monitorar mais do que três servidores.
A terceira instrução, defi ne a localização
do log de auditoria relativa ao
caminho de instalação do Apache.
Finalmente a instrução SecAuditLogParts
defi ne a informação que o ModSecurity
registra no log de auditoria
( tabela 2 ). Neste caso, será o cabeçalho
e conteúdo da requisição, junto
com a reação do ModSecurity. Os
resultados são mostrados na fi gura 1 .
Após esta preparação, você poderá
adicionar a diretiva mais importante
em sua confi guração; SecRule . Esta
Listagem 1: Confi guração
básica do ModSecurity
01 # saída do Dig no arquivo
dnssec_root.key:
01 SecRuleEngine On
02 SecAuditEngine On
03 SecAuditLogType Serial
04 SecAuditLog logs/audit.log
05 SecAuditLogParts ABCFHZ
06 SecDebugLog logs/debug.log
07 SecDebugLogLevel 5
08 SecRule REQUEST_URI “/etc/
passwd”
09 SecDefaultAction phase:2,
log,auditlog,deny,status:403
regra defi ne a fi ltragem e opcionalmente
a ação que o módulo fará se
descobrir que a regra é pertinente. Se
não defi nir uma ação, a ferramenta
executará o comando padrão defi nido
na diretiva em SecDefaultAction . As
regras sempre seguem este padrão:
SecRule Variable Operator [Action]
O número de variáveis é enorme e
elas cobrem cada elemento da requisição
do cliente (tanto para POST quanto
para GET) assim como os detalhes
mais importantes do ambiente servidor
[6]. Além disso, você pode utilizar ex-
Quadro 2: Ataques internos
Uma vulnerabilidade na aplicação
web pode expor o servidor Apache
não importando o quanto ele esteja
bem confi gurado e atualizado. Isto
é particularmente perigoso se o servidor
estiver em uma ambiente de
hospedagem onde muitos consumidores
compartilham os recursos
de um único servidor físico. Os mecanismos
de proteção, como virtualização,
separarão instancias individuais;
no entanto, a segurança de
todo o sistema depende do elo mais
fraco. Com um sniffer (rastreador de
pacotes), por exemplo, os invasores
podem simplesmente capturar conversas
que não estiverem criptografadas.
E isto dará ao invasor um
vetor de entrada.
Linguagens de script e camadas
como PHP ou Ruby on Rails ajudam
desenvolvedores web alcançarem
resultados mais rapidamente, mas
eles geralmente concentram-se em
perigos que podem ocorrer quando
não é dada a devida atenção
a segurança. Em ambientes mais
complexos, como Java, Tomcat e
JBoss, não são necessariamente a
resposta, já que ocultam muitos aspectos
do desenvolvedor.
www.linuxmagazine.com.br

Tabela 2: Argumentos do SecAuditLogParts
Abreviação Descrição
A
B
C
D
E
F
G
H
J
K
Z
pressões regulares. Por exemplo, para
investigar uma requisição HTTP com
o intuito de investigar se o cliente esta
requisitanto a string (cadeia de caracteres)
/etc/passwd com um método
GET, você usaria esta regra:
Secrule REQUEST_URI “/etc/passwd”
Se a requisição for condizente com
a regras, o ModSecurity executará a
ação padrão deny . A fi ltragem por tipo de
navegador poderá ser feita desta forma:
SecRule REQUEST_HEADERS: User-
Agent “nikto”
Este exemplo diz ao servidor web
para recusar tentativas de acesso do
scanner de segurança Nikto [7] . Se
desejar que o Modsecurity execute
uma ação específi ca para uma regra,
você poderá substituir a ação padrão:
Secrule REQUEST_HEADERS: User-
Agent “nikto”
“phase:2,pass,msg:’Scan do Nikto
detectado’”
Esta regra diz ao módulo para gravar
uma mensagem “scan do Nikto
detectado” no arquivo de log quando
Linux Magazine #76 | Março de 2011
Cabeçalho da linha (obrigatório).
Cabeçalho da requisição.
Conteúdo requisitado; somente disponível se o conteúdo
existir e o ModSecurity estiver confi gurado para armazená-lo
Reservado
Conteúdo de resposta temporária; somente disponível
se o Modsecurity estiver confi gurado para isso.
Cabeçalho de reposta fi nal após possível manipulação pelo
ModSecurity; O Apache gravará os cabeçalhos Date e Server.
Reservado
Trailer de auditoria equivalente ao C, exceto que quando a
requisição contém alguma forma de dado; neste caso, o
software construirá uma requisição adequada que exclui
o conteúdo do arquivo para simplifi car as conferências.
Reservado
Lista todas as regras que conferem linha
por linha na ordem da aplicação.
Fim da linha (obrigatório).
detectar que o navegador da requisição
do cliente da fase 2 conferir. A
regra então substitui a ação padrão
drop , que é defi nida por SecDefaultAction
com a ação pass . Isto permite
ao cliente requisições de passagem. A
listagem 1 mostra uma visão geral da
confi guração básica para fi ns de testes
do ModSecurity discutidos até aqui.
Na prática
Após iniciar o Apache, uma requisição
como http://www.exemplo.com/index.
html?file=/etc/passwd conferirá com
a regra modelo da linha 8. Então a
ação defi nida na linha 9 bloqueará
a requisição. O cliente verá um erro
HTTP 403 Forbidden (negado). Ao
mesmo tempo, as linhas 3 a 7 dirão ao
ModSecurity para registrar a transa-
Listagem 2: Requisição bloqueada
Proteção de servidores web | SEGURANÇA
ção no log de auditoria e enviar uma
visão detalhada da maneira como o
cliente foi processado até o log de depuração.
Isto signifi ca que o arquivo
error_log do Apache, terá uma nota
para demonstrar que a requisição do
cliente foi efetivamente bloqueada,
como mostrado na listagem 2 . Uma vez
que o ModSecurity esteja funcionando
corretamente, você poderá iniciar
a adição de regras e modifi cá-las para
as aplicações web que deseja proteger.
A arte de
detectar ataques
Para fornecer proteção efetiva contra
diversos tipos de ataques, os administradores
de sistema precisam confi gurar
um conjunto de regras robustas
para o ModSecurity. Para formular
regras que os protejam contra SQL
injections , scripts cross-site, ou ataque
de inclusão de arquivos locais e
remotos, por exemplo, você precisará
de conhecimento de como ataques
em servidores web funcionam.
É claro que nem todo administrador
tem esse conhecimento e tempo
para reinventar a roda. Para contornar
isso, o projeto Open Web Application
(OWASP) oferece um conjunto de
regras para o ModSecurity [8] que se
apoia na detecção de anomalias para
proteger servidores web contra alguns
ataques padrões, como requisições
inválidas de clientes, SQL injections,
scripts cross-site, e ataques remotos
ou locais de injeção de comandos
ou email. Isso fornece uma proteção
robusta básica, que poderá ser então
modifi cada para se adaptar ao seu ambiente
de aplicações, caso necessário.
01 SecAuditLogType Serial Wed Nov 04 05:39:19
02 [error] client ModSecurity: Access
03 denied with code 403 (phase 2). Pattern match
04 "/etc/passwd" at REQUEST_URI. [file "/usr/local/
05 httpd‐2.2.14/conf/httpd.conf"] [line "420"] [hostname
06 " www.example.com "] [uri "/index.html"] [unique_id
07 "SvFZ138AAQEAAAc4AgQAAAAA"]
73

74
SEGURANÇA | Proteção de servidores web
Listagem 3: Acesso ao GeoIP
01 LoadModule geoip_module modules/mod_geoip.so
02 LoadModule security2_module modules/mod_security2.so
03 GeoIPEnable On
04 GeoIPDBFile /usr/tmp/GeoLiteCity.dat
05 SecRuleEngine On
06 SecGeoLookupDb /usr/tmp/GeoLiteCity.dat
07 SecRule REMOTE_ADDR "@geoLookup"
08 "chain,drop,msg:’Connection attempt from .CN!’"
09 SecRule GEO:COUNTRY_CODE "@streq CN: "t:none"
Para instalar estas regras básicas,
baixe o pacote e descompacte-o no
diretório de confi guração do Apache.
Então mova as regras, incluindo o subdiretório
base_rules para o diretório do
ModSecurity . Você poderá ver os arquivos
de confi guração modsecurity_
crs_10_global_config.conf e modsecurity_
crs_10_config.conf e modifi cá-los para
atender suas necessidades. As regras são
bem documentadas. Adicionalmente
você deverá ativar os logs de auditoria
e depuração para ver exatamente o que
o módulo está fazendo. Para fazer isso,
você precisará incluir as regras padrão
no seu arquivo httpd.conf como segue:
Include conf/modsecurity/*.conf
Include conf/modsecurity/base_
rules/*.conf
Após reiniciar, o seu servidor Apache
terá uma proteção sólida que
responderá com o erro HTTP 403
Figura 2: O site do secretário-geral
da ONU Ban Ki-moon foi
afetado por uma vulnerabilidade
de validação
de parâmetro de variável.
Uma regra ModSecurity
virtual patching protegeu o
website temporariamente
até que o administrador
corrigisse o problema.
para quaisquer requisições de clientes
classifi cadas como ataques.
Os desenvolvedores devem primeiro
testar as regras padrão exaustivamente
em um ambiente de testes antes de
colocá-las em um ambiente de produção.
Caso contrário corre-se o risco
de bloquear acessos de usuários legítimos.
Também é necessário lembrar
que o ModSecurity adicionará uma
carga extra de aproximadamente 5%
no processamento do seu servidor web.
Evitando ataques
nas Nações Unidas
Em algumas situações, você não
pode corrigir uma vulnerabilidade
em aplicações web imediatamente.
Imagine uma loja online descobrindo
uma falha de segurança uma semana
antes do Natal e serão necessários diversos
dias para corrigir o problema,
signifi cando que a loja deverá fi car
offl ine durante aquele tempo: o dono
deverá tomar uma decisão: viver com
o risco e manter a loja, incluindo a
vulnerabilidade online e assim tendo
o benefício da lucratividade das compras
de Natal, ou proteger a empresa
e seus consumidores desligando o website
e corrigindo a vulnerabilidade.
O ModSecurity fornece uma
técnica para contornar o problema
na forma de um patch virtual, permitindo
defi nir uma ou mais regras
que evitem que a vulnerabilidade
seja explorada, porém sem removê-la.
A documentação do ModSecurity
refere-se ao caso que data do ano de
2007, quando tentaram invadir o site
das Nações Unidas [9] . A sub-página de
comunicação com o secretário General
Ban Ki-moon [10] teve o parâmetro
statID que expôs uma vulnerabilidade
SQL Injection ( fi gura 2 ). Se descobrir
uma vulnerabilidade deste tipo, você
poderá temporariamente defi nir uma
regra para o Modsecurity que evitará que
os hackers explorem a vulnerabilidade
mesmo que ela continue a existir. No
entanto, esta não é uma boa solução a
longo prazo, pois ela não evita um desastre
até que os desenvolvedores web
removam a vulnerabilidade do código
fonte da página. A seguinte solução
deverá funcionar para corrigir a falha:
SecRule &ARGS “!@eq 1”
SecRule ARGS_NAMES “!^statid$”
SecRule ARGS:statID “!^\d{1,3}$”
Três linhas adicionadas em um container
de localização do Apache asseguram
que as requisições válidas de usuários
para o arquivo statements_full.asp
somente serão permitidas se tiverem um
argumento (primeira regra) chamado
statid (segunda regra) com números
de 1 a 3 dígitos (terceira regra) como
terceiro parâmetro. Quaisquer requisições
que não seguirem este padrão,
serão limpas pela ação padrão, como
defi nido em SecDefaultAction . Isto efetivamente
evitará que um invasor explore
a vulnerabilidade de SQL injection.
Sem informações
internas
O Modsecurity também fi ltra dados
de saída, especifi camente requisições
de respostas do servidor para
informações internas. A linguagem
de programação PHP mostra mensagens
de erro desta forma:
Fatal Error: Connecting to MySQL
server ‘dbserv.example.com’ failed.
No entanto, você poderá desativar
mensagens de erro do PHP nas
respostas. O Google lista uma série
de sites onde mensagens de erros de
www.linuxmagazine.com.br

PHP revelam muitos detalhes das aplicações.
Estas informações são muito
úteis a invasores, pois podem ajudá-los
a entender o funcionamento interno
e a estrutura de uma aplicação web e
direcionar melhor o ataque. Para dizer
ao ModSecurity para bloquear mensagens
de erro do PHP e evitar que
estas sejam exibidas aos usuários, você
poderá defi nir uma regra como esta:
SecRule RESPONSE_BODY “Fatal error:”
O cabeçalho RESPONSE_BODY refere-se
ao conteúdo de respostas a um cliente,
e apesar de não ser particularmente
elegante, ele indica o que você potencialmente
tem em mãos. Com uma
expressão regular cuidadosamente
trabalhada, você pode, por exemplo,
utilizar a mesma técnica para evitar
que números de cartões de crédito
sejam revelados por uma aplicação
web comprometida após um ataque
de SQL injection feito com sucesso.
Localização geográfi ca
Outro cenário avançado para o ModSecurity
envolve cooperar com um
provedor GeoIP, o Maxmind [11] . O
GeoIP localiza os usuários geografi -
camente, a partir do seu endereço IP,
o que signifi ca que poderá restringir
o acesso de um website a uma região
específi ca, por exemplo, a Pensilvânia
– se você administrar um site com conteúdo
em Holandês da Pensilvânia que
ninguém mais entenda – e ou bloquear
totalmente um determinado país.
Para fazer isto, você deverá instalar o
módulo mod_geoip2 no Apache2, junto
com o software GeoIP e o banco de
dados GeoLitecity.dat [12] .
Imagine que o engenheiro mecânico
de uma empresa da Alemanha esteja
preocupado com a possibilidade de espionagem
industrial vinda do oriente;
neste caso, ele deverá usar a confi guração
da listagem 3 para evitar o acesso a
partir da China – isso se os usuários da
China não falsifi carem a sua origem. As
últimas duas linhas formam uma cadeia
de regras de fi ltragem. A linha 6 localiza
a região geográfi ca para o endereço
IP de requisição, então a linha 7 efetua
a requisição e envia a mensagem para
um arquivo de log caso ela venha da
China. Isto pode não ser politicamente
correto, mas é tecnicamente efetivo.
Conclusão
O ModSecurity possui um grande escopo
de características, e pode levar
algum tempo para entendê-lo completamente.
Mas se você enfrentar o
desafi o de desvendar as profundezas
deste módulo, ele te retornará dividendos
através de métodos compreensivos
que darão proteção adicional contra
ataques em aplicações web, graç as ao
esquema de regras pré-defi nidas que
torna o inicio fácil. E também ao desenvolvedor
por trás do projeto que
fornece produtos comerciais e serviços
como treinamentos. Os administradores
armados com o ModSecurity, podem
sentar-se bem no alto de suas suas celas,
até mesmo se invasores estiverem
tentando derrubá-los do cavalo. ■
Sobre os autores
Sebastian Wolfgarten trabalha como especialista
de segurança da informação com
o Banco Central da Europa como um consultor,
gerente e auditor de projetos internos
com o objetivo de aumentar a segurança da
infraestrutura de TI. Antes disto, ele passou
diversos anos trabalhando para o Ernst &
Young AG na Alemanha e como um assessor
de Segurança da Informação na Irlanda.
Ele também trabalhou como perito em segurança
da informação na T-Mobile Alemanha.
Kemel Zaidan é escritor com formação em
dramaturgia pela USP. Membro ativo da comunidade
Ubuntu e de software livre brasileira,
graduando em Análise de Sistemas
pela FATEC, Faculdade de Tecnologia de
São Paulo, já palestrou em diversos eventos
pelo país e é editor da Linux New Media.
Gostou do artigo?
Queremos ouvir sua opinião.
Fale conosco em
cartas@linuxmagazine.com.br
agazine.com br
Este artigo no nosso site: te:
http://lnm.com.br/article/4885
m.br/ar /488
Mais informações
[1] Melhores Práticas da
OWASP: Uso de fi rewalls
para aplicações web: http://
www.owasp.org/index.php/
[2] ModSecurity:
http://modsecurity.org /
[3] Manual de referencia
do modSecurity:
http://modsecurity.
org/documentation/
modsecurity-apache/2.5.10/
html-multipage
[4] Fases de processamento
do ModSecurity:
http://modsecurity.
org/documentation/
modsecurity-apache/2.5.10/
html-multipage/
processing-phases.html
[5] Ações do ModSecurity:
http://modsecurity.org/
documentation/modsecurityapache/1.9.3/htmlmultipage/05-actions.html
[6] Variáveis do ModSecurity:
http://modsecurity.org/
documentation/modsecurityapache/2.1.0/htmlmultipage/05-variables.html
[7] Nikto:
http://cirt.net/nokto2
[8] Projeto da OWASP
de regras padrões do
ModSecurity: http://www.
owasp.org/index.php/
[9] Blog do ModSecurity,
“Correções virtuais durante
reposta a incidente: Deface
das Nações Unidas”:
http://blog.modsecurity.
org/2007/08/27/
[10] Conferencias do Secretário
Geral das Nações Unidas:
http://www.un.org/apps/
news/infocus/sgspeeches/
[11] Serviço de prevenção à
fraudes GeoIP Maxmind:
http://www.maxmind.com/
[12] Bloqueando tráfego
específi co de países com
o Apache ModSecurity e
o GeoIP por Suvabrata
Mukherjee: http://
linuxhelp123.wordpress.
com/2008/12/11/apache

TUTORIAL
76
TUTORIAL | VoIP com Asterisk - Parte V
Asterisk descomplicado
VoIP com
Asterisk – parte V
O sistema telefônico ultrapassado, presente até pouco tempo atrás nas empresas, é prolífi co
em cobranças: cada novo recurso ativado requer uma nova ativação de serviço, com o preço
adicionado ao pagamento mensal. É hora de mudar. É hora de criar sua própria central VoIP.
por Stefan Wintermeyer
Na edição 75 da Linux Magazine
, apresentamos recursos
como ramifi cações no plano
de discagem, operações aritméticas
com expressões e operações sobre texto.
Você pôde conhecer ainda o que
é e como funciona o banco de dados
do Asterisk, e como terceirizar partes
do plano de discagem. Nesta quinta
parte do tutorial, vamos abordar controles
remotos e estacionamento de
chamadas. Mãos à obra!
Controle remoto
Uma instalação do Asterisk sem
patches tem basicamente três formas
de ser controlado remotamente:
➧ com o comando asterisk -rx
;
➧ com arquivos de chamada ( callfi les );
➧ pelo gerenciador Asterisk Manager
Interface – AMI.
A opção -rx no comando asterisk
é uma interface conveniente para
automatizar scripts Shell e a criação
Listagem 1: Arquivo
features.conf
01 parkext => 700
02 parkpos => 701-720
03 context => parkedcalls
04 parkingtime => 45
05 blindxfer => #1
06 atxfer => *2
e consulta de variáveis do Asterisk.
Por exemplo, executar o comando
asterisk -rx ‘sip show peers’ no
console listará os pares SIP.
Os arquivos de chamada são miniscripts
sem inteligência, executados
automaticamente pelo Asterisk se
localizam no diretório /var/spool/
asterisk/outgoing/ . Se a data do
arquivo de chamada estiver no futuro
(digamos que você salvou seu
arquivo de chamada com uma data
de daqui três meses, por exemplo), é
possível agendar eventos como chamadas
de despertador, por exemplo.
Um arquivo simples pode conter as
seguintes linhas:
Channel: SIP/500
Context: chamada-interna
Extension: 501
Assim que o Asterisk solicitar
um callfi le, o telefone SIP 500 será
chamado e o Asterisk irá esperar até
que o telefone seja atendido. Quando
isso ocorrer, o Asterisk iniciará a
extensão 501 no contexto chamadainterna
, que chama o telefone 501
e permite, assim, a conexão entre
as duas pontas da chamada. Estes
arquivos de chamada parecem, a
princípio, muito simples, mas, para
muitos profi ssionais Asterisk, são o
meio encontrado para o controle
de processos bem mais complexos.
A AMI é, teoricamente, a ferramenta
mais poderosa e mais complexa de todas.
Uma complicação extra é o fato de que
seu processamento em grandes sistemas
telefônicos sempre sofre panes. O serviço
AMI do Asterisk pode ser alcançado
via telnet , o que permite o acesso por
outros e inseguros serviços. Para usar a
AMI, consulte a documentação [1] .
Briga no
estacionamento
Para “estacionar” chamadas em andamento,
é preciso observar o arquivo
features.conf ( listagem 1 ). Na linha
parkext => 700 é defi nida a extensão
na qual o usuário pode estacionar a
chamada. Os números das “vagas”
no estacionamento são defi nidos pela
diretiva parkpos => 701-720 .
A linha parkingtime => 45 , defi ne
o tempo de estacionamento da chamada
em segundos. Com isso, o Asterisk
retorna a conversa estacionada
automaticamente à extensão original.
Para atender uma chamada estacionada,
desligá-la ou transferi-la para outra
extensão, basta selecionar o número
da “vaga” ocupada por ela. Para isso,
é preciso adicionar o contexto de estacionamento
ao seu plano de discagem
– caso contrário, o Asterisk não
encontrará a posição da vaga ( quadro 1).
www.linuxmagazine.com.br

Listagem 2: Inclusão de
arquivos externos
01 [vendas]
02 include => emergencia
03 include => interna
04 include => externa
05
06 [producao]
07 include => emergencia
08 include => interna
09
10 [interna]
11 exten => _XX,1,Dial(SIP/
${EXTEN},90)
12 exten => _XX,n,Voicemail
(${EXTEN},u)
13 exten => 99,1,VoiceMailMain
(${CALLERID(num),s)
14
15 [externa]
16 exten => _0X.,1,Dial(SIP/
${EXTEN:1}@ProvedorSIP)
17
18 [emergencia]
19 exten => 190,1,Dial(SIP/
${PREFIXO}190@ProvedorSIP)
20 exten => 193,1,Dial(SIP/
${PREFIXO}193@ProvedorSIP)
Planos de
discagem claros
Mesmo que o seu plano de discagem
seja bem estruturado com expressões
regulares, instalações de médio porte podem
fi car desorganizadas. Felizmente,
é possível usar a linha #include arquivo
para incluir arquivos inteiros no plano
de discagem. No plano de discagem em
uso, digite include nomesdoscontextos
para incluir os contextos. Isso pode ser
visto no exemplo da listagem 2 . Nele,
todos telefonam a partir do contexto
vendas , internamente sem alteração
e externamente com o uso de um 0
(zero) no início. Ambos os contextos
permitem telefonar para os números
de emergência 190 e 193 (e você pode
adicionar outros números de emergência,
caso deseje). Nas linhas 19 e
20 , observe que o ${PREFIXO} guarda o
código de área que está armazenado
em uma variável. Também deve-se verifi
car com o provedor SIP se ele roteia
corretamente esses números.
Linux Magazine #76 | Março de 2011
Temporização
com includes
Com os includes , é possível estruturar
seu plano de discagem não apenas
com mais facilidade e clareza, mas
também utilizá-los para ocasiões distintas.
A sintaxe é emprestada pelo
crontab , e fi ca parecida com:
include=>contexto|horas|dia da
semana|dia do mês|mês
No caso de múltiplos includes ,
o Asterisk os lê de cima para baixo.
Um exemplo típico para empresas
é mostrado na listagem 3 .
Desde o começo desta série de
tutoriais, você aprendeu a utilizar
as ferramentas para programar novas
aplicações telefônicas com fl uxos de
dados complexos – com lógica, baseadas
em tempo e com interatividade
com arquivos de voz.
Na próxima edição da Linux Magazine
, você aprenderá como misturar
ISDN e telefones analógicos ao Asterisk
e à telefonia VoIP e também sobre
como trabalhar com fax e adaptadores
de telefone analógico (ATAs). Até lá! ■
VoIP com Asterisk - Parte V | TUTORIAL
Quadro 1: Mediação e “estacionamento” de chamadas
Todo administrador que usa Dial(SIP/1234) para chamar o telefone 1234 tem
a chance de mediar a conversação já estabelecida. No Asterisk, este recurso
já está embutido na aplicação Dial() e pode ser ativado com um único parâmetro.
Com o parâmetro T , o originador da chamada tem a possibilidade de
transferir a chamada, e com t (minúsculo), o receptor da chamada pode fazer
o mesmo. Então, Dial(SIP/1234,,tT) cria a conectividade citada acima.
A forma como os demais participantes se juntarão à chamada é defi nida pelo arquivo
/etc/asterisk/features.conf . Ele especifi ca, por exemplo, blindxfer=>#1 ,
que passa a ser a combinação de teclas da “transferência às cegas” ( Blind Transfer
), no jargão do Asterisk. Para transferir uma chamada para o telefone interno 345 ,
digite, sob estas condições, a combinação de teclas [#][1][3][4][5] e pressione o botão
de transferir do seu aparelho (caso possua) ou aguarde o timeout .
Algumas linhas abaixo, ainda no arquivo features.conf , é defi nida a combinação
para transferência assistida ( attended transfer ) como atxfer => *2 .
Esta função informa, antes de transferir a chamada, que o destino será o número
345 . A versão 1.4 do Asterisk tem algumas diferenças relativas à forma
como são feitas as transferências às cegas e assistidas.
Para a maioria dos usuários, a melhor forma é a transferência assistida, pois eles
podem simplesmente desligar caso não desejem ser transferidos. Dependendo
do tipo de telefone, a função de transferência pode ter uma tecla específi ca.
Listagem 3: Arquivo
extensions.conf
01 ; Feriados
02 include =>
feriado|*|*|24|dec
03 include =>
feriado|*|*|01|jan
04
05 ; Dia
06 include => diautil|09:00-
18:00|mon-fri|*|*
07 include => diautil|09:00-
18:00|sat|*|*
08
09 ; Caso não coincida com
nada, deve ser noite.
10 include => noite
Mais informações
[1] Documentação do AMI:
http://www.asterisk.org/
astdocs/node201.html
Gostou do artigo? rtigo?
Queremos ouvir sua opinião.
Fale conosco em
cartas@linuxmagazine.com.br
gazine.com r
Este artigo no nosso site: e:
http://lnm.com.br/article/4854
m.br/ar /485
77

SERVIÇOS
80
Calendário de eventos
Evento Data Local Informações
Web Security Forum 09 e 10 de abril São Paulo, SP
Seminário de
Cloud Computing
www.websecforum.com.br/
evento/
13 de abril São Paulo, SP www.ideti.com.br/cloud/
8º CONTECSI 1 a 3 de junho São Paulo, SP
LinuxCon Brasil 2011
17 e 18 de
novembro
São Paulo, SP
http://www.tecsi.fea.usp.br/
eventos/contecsi/
http://events.linuxfoundation.
org/events/linuxcon-brazil
Nerdson – Os quadrinhos mensais da Linux Magazine
Índice de anunciantes
Empresa Pág.
Tecla 02
Othos 07
Plusserver 08
Central Server 13
UOL Host 15
Senac 25
Komputer 35
Impacta 41
F13 51
WatchGuard 69
SOA + Cloud Symposium 81
Bull 83
Sony 84
www.linuxmagazine.com.br

PREVIEW
82
Linux Magazine #77
Ubuntu User #22
Tablets
Os tablets estão tomando conta do
mercado de dispositivos móveis. Muitos
usuários estão até mesmo apostando seus
netbooks e smartphones, inutilizando-os
em detrimento desta novidade portátil.
Muitas são as opções de escolha, desde
aparelhos simples, com recursos básicos,
até verdadeiros super minicomputadores,
com poder de processamento, velocidade
e memória compatíveis com desktops,
smartphones e notebooks poderosos.
Aliando forma à função, os tablets atualmente
possuem capacidade para ver
vídeos, fazer ligações, navegar na Internet
e até mesmo desenvolver software!
Na próxima edição da Linux Magazine,
você vai conhecer alguns destes
poderosos aparelhos, seus sistemas e
particularidades. Não perca! ■
Ubuntu 11.04
O novo Ubuntu 11.04, codinome Natty
Narwhal, está saindo do forno. Muitas
mudanças são esperadas e previstas para
este lançamento. Entre elas, podemos
destacar o novo modo de organização
da área de trabalho, que agora utiliza
o Unity, interface de usuário padrão
adotada pela versão 10.10 para netbooks,
embora o Gnome continue ativo e funcional
no sistema. Os recursos multitouch
também vêm aperfeiçoados e com
muitas novidades.
www.linuxmagazine.com.br