29 setembro 2008

Horário de Verão

Caros amigos leitores,

Existe um pacote no Debian e Ubuntu que pode facilitar a vida dos administradores: tz-brasil. Talvez outras distribuições também possuam.

Introdução

Tz-Brasil é um programa que ajusta o horário do seu computador automaticamente para o horário de verão no Brasil (lembrando que a data de início e fim geralmente muda em relação ao ano anterior). Uma combinação para quem sempre tem que estar com o horário correto é utilizá-lo junto com o ntpdate.

Preparando

Antes de mais nada verifique se o seu sistema está configurado com o fuso horário correto. Para isso utilize tzconfig.

# tzconfig
Your current time zone is set to America/Sao_Paulo
Do you want to change that? [n]:


No exemplo acima o sistema está configurado para America/Sao_Paulo. Ok, pressione n e siga para o próximo passo. 


Caso o fuso horário esteja errado pressione y e configure-o corretamente. 


Instalando



Para instalar, simplesmente rode



aptitude install tz-brasil



Rodando



O Tz-Brasil é adicionado automaticamente no cron, sendo rodado periodicamente. Caso queria rodá-lo em modo verbose use



tz-brasil --test


Caso queira forçar uma atualização use



tz-brasil --force


Fonte: Forum Debian - http://wiki.forumdebian.com.br/index.php/Tz-Brasil

22 setembro 2008

Medindo Velocidade da conexão com BING

O Bing é um software usado para medir a velocidade de conexão de determinado link entre dois computadores. Escrito por Pierre Beyssac e licenciado pela GPL, este software é muito eficaz na hora de medir o peso de determinada conexão.

Para entender melhor a função do mesmo, imagime que em sua casa ou na empresa na qual você possa ser um colaborador, umas das ferramentas de comunicação ou de transporte de arquivos pesados é uma pratica de prioridade O. Empresas de publicidade e propaganda, que utilizam em grande escala o tranporte de imagens com uma resolução de extremo tamanho, gif's animados, arquivos de mp3 etc. Com o crescente fuxo de sua rede as conexões de 100Mb/s acabam não trabalhando com a mesma proporção e o que valerá é a capacidade de conexão de um ponto ao outro. (Host_A <==> Host_B). Ficamos as vezes imaginando qual é o motivo de determinadas variações inexplicaveis em nossa rede na hora de uma transferencia de determinado conteúdo.

O Bing utiliza o protocolo ICMP naturalmente, emitindo um pacote ICMP com pedido de resposta e analisa a mudança resultante do RTT (Round Trip Time). Variando um pouco o RTT, o Bing faz medidas de cada múltiplo que está sendo medido.O envio de pacote pelo Bing só é possível por que ele utiliza o icmp_dev, onde o sistema de exploração não é o único permitidos para fazer envio de pacote, naturalmente usaria sockets primários para essa finalidade mas o Winsock não suporta os soquetes primários. (no caso do windows)

Instalando o bing em sistemas de Unix e derivados

=================================================

O Bing é um programa bem conhecido no mundo open source e muitos administradores de redes o utilizam. Um dos objetivos da comunidade de software livre em geral é facilitar a vida dos usuários para que os mesmos não passem parte de seu tempo compilando pacotes, por isso as distribuições de ponta já incluem um vasto cardápio de programas em seu mirror. Com o Bing não é diferente. Ele está bem enraizado em vários mirrors. Para instalar o Bing, iremos mostrar duas formas convencionais que já sabemos. A primeira compilando o pacotes e outra através do mirror padrão.

Para fazer o download do arquivo tar.gz entre na seguinte url

http://www.boutell.com/lsm/lsmbyid.cgi/002078vv.

A forma de instalação é simples, entre no diretório em que foi feito o download e descompacte o arquivo e de os seguintes comandos:

$ make

# make install

# apt-get intall bing, para os derivados do debian

# urpmi bing, para os derivados do Hed Hat

Após instalado, podemos agora ver algumas de suas utilidades e seu funcionamento. Em muitos casos não são usados todos os seus parâmetros, mas isso não significa que os Bing não seja poderoso. Existem casos que administradores de redes possuem um conjunto de ferramentas especificas para realizar sua tarefas diárias, onde se aplica-se o seguinte ditado popula é;cada caso, é um caso;.

Iniciando então o uso do software, experimente dar o seguinte comando para testar a velocidade de sua conexão.

# Bing ip_maquina_local ip_gateway

# Bing 192.168.0.168 192.168.0.1

Em seguida digite ctrl+c para que ele possa retornar a estatística, o qual na saída padrão exibirá todos os resultados de sua pesquisa. No final dos resultados será apresentado o valor, ou seja o tamanho do link.

--- estimated link characteristics ---

host bandwidth ms

warning: rtt big 192.168.0.168 0.013ms < rtt small 192.168.0.168 0.015ms

192.168.0.1 21.787Mbps 0.121

Esse procedimento é o mais correto para medir a conexão, pois ela mede a conexão real entre dois hosts, ao contrário de alguns metodos que algumas pessoas usam. É possível também determinarmos o tamanho do pacote enviado dando o seguinte comando:

# bing -S 1000 192.168.0.168 192.168.0.1

Cuidado! Não aumente muito o tamanho do pacote porque isto podia provocar a fragmentação/remontagem do IP sobre a ligação para medir o *or* nas ligações intermediárias. Se você permanece abaixo de 1400 bytes, você está seguro (exceto no SLIP lig onde você não deve ultrapassar 1000).

Com a opção -v podemos também verificar tamanho de bytes que são disparados para fazer o pedido de resposta, entendendo que ele joga dois valores para que possa se fazer a leitura precisa, disparando 72 bytes e 136 bytes.

Existe casos em que a medição não será precisa no caso de algumas conexões discadas por exemplo devido a limitação do hardware.

Em casos de ligações saturadas o bing trabalha medindo rtts, onde na hora da medida haverá um atraso minimo na hora de fazer a leitura do pacote.

Conexões

IP/X25 fazem a encapsulagem em pacotes pequenos, por isso é muito difícil saber a capacidade exata porque o consumo geral pelo pacote do IP não é fixo e não varia com o tamanho de pacote. Entretanto, um Bing inteligente poderia encontrar o tamanho de encapsulamento lentamente aumentando o tamanho de pacote e detectando etapas no RTT.

Sabendo as perdas do pacote em host 1 e em host 2, é possível computar a perda entre eles.

O Bing tem o poder de calcular determinadas perdas, mas vale resaltar que essas perdas são desprezíveis, em relação ao resultado obtido na saída padrão.

Esta é uma das diversas ferramentas que o mundo de código aberto pode lhes apresentar.

fonte: DICA - L - http://www.Dicas-L.com.br

18 setembro 2008

Prós e contras de 6 Distruições LINUX

linux Dez meses atrás foi escrito um artigo citando os prós e contras de seis distribuições Linux: Ubuntu, Kubuntu, Kurumin, Mandriva, Debian e openSUSE. Este artigo pode ser baixado em PDF aqui.

De lá para cá, muita coisa mudou. As distribuições Linux tiveram boas melhorias e algumas até “acabaram”, como o Kurumin, que deu espaço para o Kurumin NG, resultado da união entre os brasileiros Kurumin e Kalango. Esta atualização de texto serve justamente para atualizar as informações anteriores (óóó!) e corrigir alguns “probleminhas” que existiam antes.

Cada distribuição tem sua própria característica. Enquanto o Ubuntu tenta ser prático e fácil, o Slackware prefere não mudar o seu jeitão de “difícil” e sem ferramentas gráficas de configuração. Usuários do Slack preferem ter controle total sobre o sistema (ou se acharem superiores aos que usam distribuições consideradas mais fáceis, como muito se vê por aí).

As opiniões do texto são pessoais e escritas por um usuário Linux com três anos de experiência que utiliza o Mandriva como distribuição padrão.

Ubuntu

www.ubuntu.com

O Ubuntu é, reconhecidamente, uma distribuição que preza pela praticidade, além de ser a preferida dos usuários que estão começando com o Linux. Por quê? Tem uma comunidade super ativa, tornando a resolução de problemas muito melhor e rápida, documentação bastante completa, inclusive dicas de todos os tipos escritas por vários usuários ao redor do mundo. Isso tudo sem contar que, se você não tem uma conexão boa, pode requisitar um CD pelos correios, de maneira totalmente gratuita. Os dois principais problemas: extras e desempenho. O Ubuntu realmente não traz muita coisa inovadora. A comunidade programou algumas GUIs que facilitam (e muito) a vida do usuário iniciante e… Só. Configurações um pouco mais avançadas ainda devem ser feitas pelo terminal, já que é característica do GNOME exibir apenas informações mais simples e “esconder” o resto. No entanto, para gerar toda essa facilidade, é necessário sacrificar o desempenho, compilando muitos drivers com o kernel e carregando serviços desnecessários. As últimas versões têm aumentado bastante os requisitos mínimos e já pedem no mínimo 384 MB de memória para que o LiveCD seja executado.

  • Recomendação: Usuários iniciantes
  • Ponto forte: Praticidade
  • Ponto fraco: Desempenho
  • Documentação: 5/5
  • Estabilidade: 4/5
  • Desempenho: 3.5/5
  • Praticidade: 5/5
  • Extras: 3/5
  • Comunidade: 5/5
  • Sistema de pacotes: DEB (apt-get)
  • Ambiente gráfico principal: GNOME
  • Lançamento: Outubro de 2004
  • Predecessor: Debian
  • Origem: Ilha de Man
  • Forma de distribuição: LiveCD
  • Arquitetura: i386 (32 bits) e amd64 (64 bits)

Fedora

www.fedoraproject.org
Uma distribuição que serve perfeitamente os usuários iniciantes e intermediários é o Fedora, baseado e patrocinado pelo grande e conhecido Red Hat, hoje mais voltada à ambientes corporativos e servidores (aliás, o servidor do Guia do PC é powered by Red Hat Linux Enterprise). A distribuição possui o instalador Anaconda, um dos mais fáceis e práticos atualmente e o SELinux, software inicialmente desenvolvido pela NSA que traz políticas mais avançadas de segurança, útil principalmente em servidores web. Para se manter atualizado, é necessário vontade: atualizações geralmente são feitas a cada cinco meses, e você não tem todo o tempo do mundo para continuar utilizando uma versão antiga, como as versões LTS do Ubuntu, por exemplo. A distribuição sempre traz boas melhoras e as últimas atualizações de softwares, além de ser bem trabalhada graficamente.

  • Recomendação: Usuários intermediários
  • Ponto forte: Praticidade
  • Ponto fraco: Comunidade
  • Documentação: 4/5
  • Estabilidade: 4/5
  • Desempenho: 4/5
  • Praticidade: 4.5/5
  • Extras: 4/5
  • Comunidade: 3.5/5
  • Sistema de pacotes: RPM (Yum)
  • Ambiente gráfico principal: GNOME
  • Lançamento: Novembro de 2003
  • Predecessor: Red Hat
  • Origem: Estados Unidos
  • Forma de distribuição: LiveCD GNOME / LiveCD KDE / DVD ou CD de instalação
  • Arquitetura: i386 e x86_64 (64 bits)

Mandriva

www.mandriva.com
O Mandriva é o resultado da união entre a distribuição brasileira Conectiva e o francês Mandrake, um dos primeiros a focarem nos usuários iniciantes, com ferramentas gráficas, inclusive de instalação, bastante completas, amenizando o fato de que, na época antes do Mandrake, dominar o shell era imprescindível para utilizar o Linux no dia-a-dia. O Mandriva é a distribuição que mais recomendo para quem está começando, por vários motivos: não traz muitas firulas desnecessárias (na versão 2009.0, inclusive, trará uma remoção de pacotes que não serão utilizados, como drivers de vídeo de outra marca que não a sua, por exemplo), e traz uma comunidade nacional não tão ativa quanto à comunidade do Ubuntu, mas que merece respeito. A documentação é básica, trazendo um guia e uma wiki, mas peca por não ter muitos usuários e, portanto, não ter dicas e artigos como do Ubuntu. No Centro de Controle Mandriva, dá para fazer de tudo: importar fontes do Windows com um só clique, transferir arquivos e configurações do sistema da Microsoft, instalar e remover pacotes, configurar o servidor gráfico (adeus xorg.conf), os efeitos 3D, como os do Compiz Fusion ou do Metisse, enfim. É uma ferramenta “tudo em um”. O problema é que a estabilidade não é das melhores: a versão 2008.0 vinha um Flash Player instável que crasheava em sites como o YouTube.

  • Recomendação: Usuários intermediários
  • Ponto forte: Extras
  • Ponto fraco: Estabilidade
  • Documentação: 4.5/5
  • Estabilidade: 3.5/5
  • Desempenho: 4/5
  • Praticidade: 5/5
  • Extras: 4.5/5
  • Comunidade: 4/5
  • Sistema de pacotes: RPM (urpmi)
  • Ambiente gráfico principal: KDE
  • Lançamento: Julho de 1998 (Mandrake) e Outubro de 1997 (Conectiva)
  • Predecessor: Mandrake e Conectiva
  • Origem: França e Brasil
  • Forma de distribuição: LiveCD One / DVD Free / DVD PowerPack (pago)
  • Arquitetura: i586 (32 bits)

openSUSE

www.opensuse.org
Uma das distribuições com mais recursos inovadores: openSUSE. Traz o YaST, painel de controle super completo (mesmo) que recentemente foi aberto à comunidade, mas voltado para usuários mais avançados que os do Mandriva, e o Delta RPM, até agora exclusividade da distribuição, que é uma mão na roda para os usuários com conexão lenta ou dotados de impaciência excessiva. O Delta RPM baixa apenas uma parte do pacote de correção de segurança, o que significa que você raramente fará download de duzentos megabytes de arquivos para atualizar o erro de tradução da palavra “Editar” no editor de desenhos do OpenOffice.org. Na versão 10.2, o YaST era lento e instável em computadores com pouca memória e na versão 10.0, a distribuição foi obrigada a ter um Service Pack, para corrigir os bugs do sistema. Seu principal problema é o peso: ele ainda é feito para computadores mais modernos, apesar do grande esforço da equipe.

  • Recomendação: Usuários intermediários
  • Ponto forte: Extras
  • Ponto fraco: Desempenho
  • Documentação: 4.5/5
  • Estabilidade: 3.5/5
  • Desempenho: 3/5
  • Praticidade: 5/5
  • Extras: 5/5
  • Comunidade: 3.5/5
  • Sistema de pacotes: RPM (YaST)
  • Ambiente gráfico principal: KDE
  • Lançamento: Março de 1994
  • Predecessor: Segundo usuários, Slackware
  • Origem: Alemanha
  • Forma de distribuição: LiveCD GNOME / LiveCD KDE / DVD de instalação
  • Arquitetura: i386 (32 bits), x86_64 (64 bits) e ppc (IBM PowerPC e Apple)

Gentoo

www.gentoo.org
A principal diferença do Gentoo em relação às outras distribuições é o fato dele usar a ferramenta Portage para gerenciamento de pacotes, que permite que o usuário tenha um sistema totalmente adaptado ao seu hardware, já que ele pode compilar cada pacote durante a instalação, de forma automatizada, otimizada e, claro, sem aqueles problemas chatos de dependências: o Portage as resolve para você. Pelo fato de ser uma distribuição altamente compilada, torna-se, na teoria, muito mais rápida que as outras, trazendo para o usuário um baixo consumo de processamento e memória. No entanto, isso tem um preço: tempo e paciência. Uma instalação totalmente otimizada geralmente não leva menos que oito horas (principal motivo que afugenta novos usuários), e a instalação de novos pacotes também é lenta. Se você não se importa com isso e prefere resultados a “longo prazo”, pode ser ótima. Seu principal problema é a comunidade nacional: ela é praticamente inexistente, e se resume basicamente a um site desatualizado e um subfórum inativo no fórum oficial do Gentoo. Apesar disso, a documentação (em inglês) é relativamente boa e pode ser lida no site oficial.

  • Recomendação: Usuários avançados
  • Ponto forte: Desempenho
  • Ponto fraco: Comunidade
  • Documentação: 4/5
  • Estabilidade: 4/5
  • Desempenho: 5/5
  • Praticidade: 3.5/5
  • Extras: 4/5
  • Comunidade: 1.5/5
  • Sistema de pacotes: SRC (Portage)
  • Ambiente gráfico principal: Xfce
  • Lançamento: Março de 2002
  • Predecessor: Não tem
  • Origem: Estados Unidos
  • Forma de distribuição: CD de pacotes / CD mínimo / LiveCD Xfce
  • Arquitetura: alpha, amd64, hppa, ia64, ppc, ppc64, sparc64 e x86

Debian

www.debian.org
Perfeito para quem precisa de estabilidade em operações críticas, o Debian é uma distribuição que foca na estabilidade do sistema. É muito raro o Debian Stable ter algum bug ou falha grotesca, já que os pacotes são exaustivamente testados, e é por essa razão que ver coisas como Firefox 2.0.0.3 ou KDE 3.5.5 é comum (se você precisar de pacotes mais atualizados tente o Debian Testing ou Unstable). Além disso, o Debian é considerado uma das distribuições mais puras da atualidade, já que só e somente a comunidade mantém o sistema, não dependendo de empresas. A distribuição pode ser instalada em computadores com configurações fracas de hardware e das mais diversas arquiteturas, indo do i386 de 32 bits até o Sparc e o PowerPC. Uma característica da distribuição é que o usuário precisa configurar quase tudo pela linha de comando, não existem muitas ferramentas gráficas. Existem as do ambiente gráfico, e só. Hoje, o Debian é a distribuição-base para as centenas de outras que tem como objetivo encher o ranking do DistroWatch.

  • Recomendação: Usuários avançados e servidores web
  • Ponto forte: Estabilidade
  • Ponto fraco: Extras
  • Documentação: 5/5
  • Estabilidade: 5/5
  • Desempenho: 5/5
  • Praticidade: 3.5/5
  • Extras: 2.5/5
  • Comunidade: 4/5
  • Sistema de pacotes: DEB (apt-get)
  • Ambiente gráfico principal: GNOME
  • Lançamento: Agosto de 1993
  • Predecessor: Não tem
  • Origem: Estados Unidos
  • Forma de distribuição: 21 CDs de instalação / 3 DVDs de instalação
  • Arquitetura: alpha, amd64, arm, hppa, i386, ia64, mips, mipsel, powerpc, sparc, s390, source, multi-arch

Concluindo, este texto teve como objetivo citar as diferenças entre as principais distribuições Linux do mundo e, talvez, ajudar o usuário iniciante a escolher sua primeira distribuição.

fonte: Paulo Seikishi Higa (Revista Guiapc) - http://www.guiapc.com.br

17 setembro 2008

Internet - A História da internet

Caro amigos leitores,

Gosto de gastar parte do meu tempo assistindo documentários, seja la qual for. Zapeando pelos canais de tv, me deparei com um documentário da Discovery Channel que estava falando sobre INTERNET.

Começa ai a briga da Microsoft pelo o mundo da internet.

Caso queira entender um pouco melhor sobre o surgimento da internet, leia este post: Internet - Introdução

Assistindo a este vídeo e voltando um pouco mais trás, e analisando os casos do adolescente canadense Mike Rowe (veja Quadro 1 abaixo) ou o caso da Revista Veja (veja o Quadro 2 abaixo), além de outras atitudes desta conceituada empresa, podemos deduzir que, impera mesmo a arrogância, prepotência e monopólio, ou medo da concorrecia? E o porquê de tudo isso.

Quadro 1

O nome acima é de um site que, nas últimas semanas, esteve na mira dos advogados da Microsoft. Hackers? Spammers? Piratas de software? Nada disso: o endereço pertence a um webdesigner de 17 anos que mora na província da Colúmbia Britânica, no Canadá. Seu nome? Mike Rowe.

O problema é que os advogados da Smart & Biggar, firma que assessora judicialmente a empresa de Bill Gates no Canadá, consideraram que o nome do domínio soava muito parecido com... Microsoft. Por isso, enviaram carta explicando que Rowe estava infringindo as leis de copyright e que deveria transferir o domínio para a fabricante do Windows.

<clique aqui e veja o texto por completo>

Sandra Pecis
Terra Informática
Site Terra

Quadro 2

Estamos no meio de uma revolução, na qual a violência é simbólica. Nela, as vítimas são enredadas em sistemas de crenças sem que disso percebam. Como a do fundamentalismo de mercado, que prega a supremacia da liberdade do capital sobre a liberdade humana.

<clique aqui e veja o texto por completo>

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasilia

Video

fonte: Discovery Channel Brasil - www.discoverybrasil.com

Terra Informática - www.terra.com.br

Universidade de Brasilia - http://www.cic.unb.br

11 setembro 2008

Ubuntu - Curso Básico Ubuntu 8.04

Caros amigos Leitores,

Meu amigo João Pena de Portugal que também é blogueiro, me indicou um link para o Curso de Ubuntu que se localizava no site da UOL.

Após uma leitura, achei muito interessante em estar postando esta informação no meu BLOG.

Este curso tem uma boa apresentação. Ele é a tradução do Curso elaborado pela CC by NC SA - Creative Commons.

Traz uma boa explicação para todos os componentes nativos do UBUNTU 8.04. Material muito bom. Ideal para os iniciantes.

Vale apena dar uma olha neste material.

<Clique aqui para fazer Download do Curso de UBUNTU>

<Clique aqui para fazer Download do UBUNTU DESKTOP>

<Clique aqui para fazer Download do UBUNTU SERVIDOR>

fontes: Joao Pena - http://1rst.spaces.live.com/

UOL - http://www.uol.com.br

04 setembro 2008

scripting - Windows scripting uma ótima ferramenta

Caros amigos leitores,

Muitos usuários imaginam que os scripts são apenas usados nos sistemas operacionais LINUX/UNIX. Mais isso não é verdade!

O Windows X, também se utiliza de scripts para otimizar alguns serviços. Tais como:

  1. Criação de muitos usuários para diferentes grupos.
  2. Mostrar quantos compartilhamentos existentes.
  3. Mostrar informações de Hardware. E muitos outros serviços.

E muitos outras coisas podemos fazer com os Microsoft Scripting.

Estarei logo abaixo mostrando um scripts simples para que mostre-me a quantidade de DISPOSITIVOS ONBOARD existentes no meu hardware.

Abra o bloco de notas copie e cole o script abaixo:

On Error Resume Next

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

Set colItems = objWMIService.ExecQuery("Select * from Win32_OnBoardDevice")

For Each objItem in colItems
Wscript.Echo "Description: " & objItem.Description
Wscript.Echo "Device Type: " & objItem.DeviceType
Wscript.Echo "Model: " & objItem.Model
Wscript.Echo "Name: " & objItem.Name
Wscript.Echo "Tag: " & objItem.Tag
Wscript.Echo "Version: " & objItem.Version
Wscript.Echo
Next

Após você copiar o texto, salve-o como onboard.vbs (extensão dos scripts windows). Execute o arquivo da seguinte forma:

c:>cscripts onboard.vbs (clique na figura abaixo)

onboard1

Aqui executamos o arquivo e mostrou as interfaces onboard. A impressão foi apenas na tela, mais podemos optar para ele gravar em arquivo texto ou imprimir direto na impressora, utilizando-se do PIPE para redirecionamento, como exemplo abaixo:

c:>cscripts onboard.vbs > onboard.txt (gravando em arquivo texto).

c:>cscripts onboard.vbs > port:lpt1 (enviando direto a impressora conectada ao computador).

Gostaram né...

Estarei nos próximos posts aumentando o nível de complexidade de utilização destes scripts para Windows.

Um abraço a todos...

fonte:The Script Center Script Repository - http://www.microsoft.com/technet/scriptcenter/scripts/default.mspx?mfr=true

ShellScripts - Geração automatica de senhas

De tempos em tempos administradores de sistemas precisam criar um grande número de contas. Criá-las manualmente, além de ineficiente e propenso a erros, pode demorar uma eternidade. Imagine o caso de universidades ou escolas que recebem centenas ou mesmo milhares de novos alunos a cada semestre.

Sistemas Linux possui um utilitário feito sob medida para esta situação chamado mkpasswd.

O comando mkpasswd, quando invocado sem argumentos, retorna uma senha:

# mkpasswd
9nn7sJJvj


Uma shell script simples para criar quantas contas forem necessárias e que atribui a cada usuário uma senha pode ser criada facilmente. Para efeito de nosso exemplo considere que a lista dos usuários a ser criados encontra-se no arquivo novos-usuarios.txt.



#!/bin/bash
for usuario in `cat novos-usuarios.txt`
do
useradd $usuario
mkpasswd $usuario > $usuario.senha
# Criação da carta ao usuário, contendo
# sua senha, normas de uso e recomenda-
# ções gerais
cat > $usuario.carta << EOF
Prezado Usuário(a),

Conforme sua solicitação, foi criada uma conta em nossos computadores
centrais com as seguintes especificações:

computador: computador.dominio.com.br
identificação: $usuario
senha: `echo $usuario.senha`

Solicitamos a memorização das informações contidas neste documento e sua
destruição em seguida devido ao caráter confidencial destas informações.

Realize a troca de sua senha já em seu primeiro acesso para algo que
lhe seja mais fácil de lembrar.

Lembre-se, nunca divulgue a sua senha de acesso para ninguém. A
segurança de seus dados e do sistema como um todo dependem de você.

Para maiores informações consulte o endereço
http://www.dominio.com.br/suporte ou envie uma mensagem para
suporte@dominio.com.br

Atenciosamente, Suporte Técnico - Centro de Computação

EOF
lpr $usuario.carta
rm $usuario.*
done


O processo acima cria a conta do novo usuário, atribui-lhe uma senha inicial de acesso e imprime, na impressora padrão do sistema, uma carta a ser entregue ao novo usuário.



Os comandos useradd e mkpasswd aceitam diversas opções, que podem ser usadas para especificar com mais precisão o ambiente do usuário. Para simplicidade de entendimento, os comandos empregados na shell script acima utilizaram os valores padrão. Após o processamento todos os arquivos temporários são removidos.



Problemas acontecem. Recomendamos sempre que se gere um backup dos arquivos envolvidos /etc/passwd, /etc/shadow e /etc/group) antes da execução deste script.



Outra recomendação importante é que todas as senhas criadas por este método sejam expiradas, requerendo do usuário a sua troca quando do primeiro login.





fonte: Dicas - http://www.dicas-l.com.br

Shellscripts - usando cores e formatação em shell Scripts

Já se deparou com a necessidade (ou vontade) de destacar texto ou simplesmente fazer o output do seu script tornar-se visualmente chamativo ?

Normalmente programadores (especialmente em shell script) não adotam isso por gostarem do texto puro, da linha de comando. Telinha preta :)

Todavia, se você é daqueles que acredita que seus scripts podem ficar melhores com alguma "cosmética", acredite, eles ficam mesmo. Pelo menos visualmente.

Inserir cores e diferenciar texto pode ser interessante quando você quiser destacar um erro, evidenciar diferenças ou, simplesmente, chamar à atenção para algo importante.

Sendo assim, aqui vai uma dica para inserir cores em um script (ou texto):

Essa dica foi testada em vi e funciona legal em terminais que suportam o formato ANSI. Basta que você adicione uma certa sequência ao comando echo para alcançar seu objetivo.

A sintaxe genérica é:

  echo "^[[#m<texto>"


Onde: ^[ é um caracter especial produzido pressionando Crtl-v e, em seguida, Esc;



O hash (#) é substituído por um número, dependendo do tipo de efeito que voce pretende adicionar ao seu texto;



O segundo [ e a letra m são caracteres normais;



Sendo assim, a sequencia



  echo "^[[33mTestando apenas^[[0m"


ira mostrar o texto Testando apenas em amarelo



Enquanto a sequencia:



  echo "^[[31m^[[1mTestando apenas^[[0m"


ira mostrar o texto Testando apenas em vermelho e negrito (um vermelho um pouco mais forte)



Para imprimir o resultado de uma variável, basta definí-la corretamente e não permitir que o comando echo a interprete. Assim, segue um exemplo de como imprimir a variável TESTE com fundo azul, texto vermelho, negrito e sublinhado:



  TESTE="Testing Only"
echo "^[[4m^[[1m^[[44m^[[31m${TESTE}^[[0m"


Neste exemplo, alem de formatar o texto, também delimitei o início e fim do nome da variável com {} - isso para evitar qualquer erro de interpretação pelo echo e pelos caracteres especiais.



Note que eu sempre termino com a sequencia ^[[0m. Esse é o código passado ao echo que irá retornar seu cursor ao estado "normal", ou seja, como estava previamente (sem cores).



Abaixo anexo uma pequena tabela C de várias cores e formatos. Existem mais códigos, mas esse são os que eu mais utilizo. Sugiro que, se houver tempo e disposição, você descubra as outras combinações e possibilidades... ;)





Tabela de códigos:





CORES DE TEXTO



PRETO 30



VERMELHO 31



VERDE 32



AMARELO 33



AZUL 34



MAGENTA 35



CIANO 36



BRANCO 37



CORES DE FUNDO



PRETO 40



VERMELHO 41



VERDE 42



AMARELO 43



AZUL 44



MAGENTA 45



CIANO 46



BRANCO 47



MODOS ANSI



NORMAL 0



NEGRITO 1



BAIXA INTENSIDADE 2



ITALICO 3



SUBLINHADO 4



PISCANDO 5



PISCA RAPIDO 6



INVERSO 7



INVISIVEL 8





Note que alguns comandos nativos do Unix, como cat e pg, por exemplo, já mostram o resultado formatado, ou seja, colorido. Outros comandos, como more irão mostrar o código completo. O interessante, aqui, é notar que no último exemplo (com variável), o cat naquele script exibira:



  TESTE="Testing Only"
echo "${TESTE}"


Onde o texto ${TESTE} já será mostrado colorido.



Mas note também que um simples (e famoso) Crtl-c dessa sequência, seguido de Ctrl-v no vi não irá funcionar. Isso porque os caracteres ^[ são especiais e não um texto puro. Assim, é necessário que eles sejam "passados" para o vi como tal... copiar o arquivo, ou fazer um cat dele direcionar a saida para outro arquivo, no entanto, funcionam perfeitamente.





FONTE: Cantinho do Shell - http://www.dicas-l.com.br/cantinhodoshell

PROJETO DE lEI 84/99 - Serve pra quem???

Os cibercrimes e o anonimato

O enorme aumento dos crimes cometidos por meios eletrônicos, em função da popularização do uso de computadores e da Internet é um dos aspectos negativos do avanço tecnológico.

Cibercrimes ou crimes de informática podem ser definidos como formas ilegais de conduta realizadas mediante a utilização de um computador que geralmente está conectado à internet.

Há uma grande gama de cibercrimes: manipulação de caixas eletrônicos, pirataria de programas ou demais obras, plágios, com ofensa a direitos autorais, passando por abusos nos sistemas de telecomunicação, como envio de e-mails com conteúdo ameaçador, publicação de imagens de conteúdo ilegal, ofensivas à moral ou de pedofilia.

Nota-se, portanto, que enquanto alguns ofendem a pessoa humana, a moral e os costumes, outros crimes tem traços marcadamente econômicos.

Com certeza essa grande variedade é bastante motivada por dois pressupostos na internet:

- não há responsabilidade e

- há anonimato

Esses seriam 2 enganos, pois:

- há responsabilidade na internet, seja civil e/ou criminal. E poderá ser requerida pela parte lesada, desde que esteja comprovada a conduta ilícita do autor, o dano e o nexo de causalidade entre o ato e o dano.

- rastrear as condutas efetuadas no meio eletrônico teoricamente é possível.

Mas a identificação feita mediante o número IP (Internet Protocol), o registro de logs de acesso, a conta do e-mail e seus dados cadastrais e senhas ou cadastros nos provedores e sites permitiria identificar computador utilizado e não a pessoa que praticou o delito, pois o computador pode ter sido usado por terceiro autorizado ou não.

Entretanto, o rastreamento de condutas criminosas no meio eletrônico é possível, mas pode ser extremamente dificultado, pois profissionais experientes podem usar vários recursos para enganar a polícia e o provedor que armazena as informações, a fim de impossibilitar a sua identificação e permanecerem anônimos, pelo menos por tempo suficiente para garantir uma fuga.

E, ainda, em muitos países, como o Brasil, os provedores de internet tratam as informações de seus clientes como sigilosas e privadas. Ou seja, há a necessidade uma ação judicial contra o provedor para que libere essas informações, pois os próprios provedores poderiam sofrer outros processos por parte de clientes que, após ter seus dados divulgados, sofresse algum dano ou se sentisse lesado. Só depois disso o computador em que foi cometido o delito será identificado.

A ineficácia da legislação

Devemos nos preocupar com a pirataria pois são possíveis danos sérios para a sociedade e os cidadãos, a começar pela saúde pública, afetada por medicamentos pirateados, Entretanto, há vários produtos falsos em circulação que expõem o consumidor a riscos de choques, explosões e outros acidentes.

Assim, a real possibilidade de obtenção de grandes lucros fez a criminalidade virtual crescer de modo alarmante no mundo todo desde o final do século XX. E, evidentemente, a legislação em vigor é ineficiente em combatê-la.

As leis são antigas e/ou os legisladores pensam de modo antigo. e os métodos tradicionais são ineficientes para acompanhar a rapidez com que a tecnologia muda a forma de atuação dos criminosos. Os crackers invadem sistemas para roubar dados ou praticar vandalismo eletrônico. Eles não deixam rastros, dificultando a detecção da fraude. Conectam-se a partir de telefones públicos, de celulares ou de linha telefônica convencional clonados. E todo o tempo surgem novos recursos de software ou hardware que possibilitam o anonimato.

É importante notar que estamos num mundo em que elementos cruciais, como a instituição democrática do voto, a educação, as comunicações, o comércio dependem profundamente da ciência e da tecnologia. Mas, curiosamente, a educação foi extremamente deixada de lado e poucas pessoas compreendem a ciência e a tecnologia.

Além do mais, o processo de legislar tem uma lentidão, extremamente notória no caso brasileiro, que não segue a velocidade da Internet. Como outros cidadãos, os legisladores e os fiscais não são devidamente informados e treinados. Assim, não há legislação específica ou metodologia que ampare uma boa investigação e auditoria.

Brasil - sonegação e cibercrimes

Aparentemente, as principais condutas delituosas observadas no Brasil são:

agressões à honra, exibição de imagens de conteúdo sexual com envolvimento de crianças e adolescentes, divulgação de textos ou visuais racistas, fraudes em cartões de crédito, assalto a contas bancárias e pedofilia.

Admite-se que o Brasil está entre os 10 países que apresentam mais casos de pirataria. Os segmentos mais severamente afetados são: distribuidoras de combustíveis, fabricantes legais de produtos de limpeza doméstica, produtores de software, indústria farmacêutica, manufatura de brinquedos, confecções e setor de cigarros.

Esse dato leva a uma enorme sonegação de impostos. Calcula-se que somente com a falsificação nas áreas de roupas, tênis e brinquedos, o Fisco deixa de arrecadar mais de RS 10 bilhões anuais.

Assim, a pirataria, a fraude, o contrabando e a sonegação impedem o crescimento da arrecadação de impostos no Brasil, onerando as empresas que operam na legalidade e os contribuintes adimplentes, que arcam com uma carga tributária enorme.

Algumas condutas que se referem ao pagamento de impostos tiveram certa atenção governamental, especialmente pelo fato do governo perder uma quantidade significativa de impostos, determinada pela ação dos criminosos.

Ou seja, aparentemente no Brasil há preocupação com os cibercrimes econômicos.

A capacidade da Receita Federal superar e prever a sagacidade e disfarce de organizações criminosas é pequena, pois elas estão cada vez mais especializadas em sequestros, furtos, adulteração, danificação, controle ou geração da perda proposital de informações confidenciais do Fisco, acarretando a quebra do sigilo fiscal do contribuinte.

Uma parceria entre Fisco e Polícia Federal propôs uma alternativa contra o cibercrime, que iria desonerar as empresas e, ao mesmo tempo, garantiria mais eficácia à arrecadação de tributos: é um projeto que teve início no final de 2005, com o objetivo de implantar um modelo nacional de nota fiscal eletrônica (NF-e), para substituir a emissão do documento fiscal em papel, documento que comprova a existência de uma transação comercial de compra e venda de mercadorias ou prestação de serviços, com validade jurídica garantida pela assinatura digital do remetente. O intuito seria simplificar as obrigações acessórias dos contribuintes e permitir o acompanhamento em tempo real das operações comerciais pelo Fisco.

A assinatura digital garantiria a autenticidade ao documento, pois utiliza chaves públicas e privadas,códigos criptografados que permitem apenas o acesso às informações por quem as enviou e por quem as recebeu. O modelo está sendo adotado por grandes contribuintes e vale para emissão de notas para operações de compra e venda entre empresas, não chegando ao varejo, que ainda trabalha com o cupom fiscal.

Entretanto, a NF-e é resultado de uma imposição do Governo e não de um debate amplo no Congresso Nacional, as falhas logo começaram a aparecer. O projeto já recebeu várias críticas, mas é necessário notar que algo simples, como o armazenamento inadequado de senha ou o seu extravio fica sob total responsabilidade do contribuinte e coloca em risco todo o projeto. E que para fraudar a Nota Fiscal Eletrônica, o .grampo. de internet (similar do grampo telefônico) já seria possível. Assim, o projeto da Nota fiscal eletrônica não representa redução da carga tributária. Pior: pode estimular a concorrência desleal e não oferecer retorno positivo às empresas.

Os bancos

Mesmo sob ataque dos fraudadores, o comércio eletrônico tem faturamento maior a cada ano. No Brasil tal faturamento está na casa de uma dezena de bilhões de reais, segundo estimativa da Associação Brasileira de Provedores de Internet (Abranet).

E, também, os bancos, evidentes alvos de fraudes, apesar de terem auferido enormes lucros nos últimos anos, apresentam uma conta de prejuízos anuais que já ultrapassou RS 1 bilhão devida a crimes virtuais. E as tentativas de fraudes pela rede crescem a cada ano.

Paralelamente, a partir de 2009, os bancos pretendem suprimir o uso de boletos bancários, cumprindo o projeto conhecido como DDA (Débito Direito Automático).

Como o custo de uma operação eletrônica (R$ 1,46} é muito menor que com o uso de um instrumento não-eletrônico (cheque, por exemplo, chega a R$ 3,11) isso significa uma grande redução de custos anuais para os bancos.

Assim, o controle de riscos é fundamental para o setor bancário, que já gasta mais de R$ 1bilhão por ano em sistemas de segurança.

Assim, o projeto relatado pelo senador Eduardo Azeredo (PSDB/MG), com emendas do senador Aloízio Mercadante (PT/SP), parece ter atendido, principalmente, os interesses do Fisco e do setor bancário. Aliás, o projeto destinado a coibir crimes de pedofilia é outro, totalmente diferente, e foi aprovado no mesmo dia pelo Senado.

E o cidadão brasileiro?

Percebe-se o quão pouco conhecemos do que ocorre. Como explicar que .Tropa de Elite. foi filme brasileiro mais compartilhado em redes P2P e que também fez enorme sucesso de bilheteria do cinema nacional?

Paralelamente, percebe-se a nos E.U.A. uma evolução positiva do faturamento dos estúdios de cinema, embora a pirataria seja cada vez maior.

Assim, aparentemente o usuário que copia um arquivo não é necessariamente alguém que compraria aquele filme ou música no varejo se não existissem serviços de torrent.

Portanto, nota-se que está faltando conhecimento e transparência por parte daqueles que deveriam elaborar um conjunto normativo apto a garantir interesses legais do sistema econômico na utilização da Internet, sem ferir os direitos fundamentais das pessoas e da sociedade.

É óbvio que a tecnologia faz com que todas as práticas mudem muito mais rapidamente do que qualquer método propôs até agora e os delitos cometidos desafiam a capacidade de um sistema punitivo superado há muito tempo.

A capacidade de enfrentamento ao cibercrime econômico exige um repensar das abordagens tradicionais. E é crucial construir um modelo eficiente e que não atropele as liberdades de expressão e de opinião, os pilares de um regime constitucional-democrático.

Ou seja, jamais podemos nos esquecer do brasileiro que, antes de ser um usuário da Internet é um cidadão.

A Internet deve ser um ambiente saudável e competitivo, onde a liberdade, a criatividade e a cooperação imperem. Onde cada cidadão possa ser um produtor de conteúdo, de conhecimento. E onde os direitos individuais e a privacidade de todos sejam respeitados.

Referências Bibliográficas

Antônio Curi

Ameaça do cibercrime e nota fiscal eletrônica

(http://www.40graus.com/colunas/colunas_ver.asp?pagina=&idColuna=3269&idColunista=92&titulo=),

Visualizado em 19/07/2008.

Antônio Leopoldo Curi

O flagelo da pirataria

(http://www.perfuradores.com.br/index.php?pg=view&tema=ponto_vista&id=15290)

,

publicado em 12/06/2007. Visualizado em 19/07/2008

Antônio Leopoldo Curi

Verdades e mitos da nota fiscal eletrônica Comentário 11 a .Cibercrime ameaça empresas públicas e privadas.

(http://www.migalhas.com.br/mostra_noticia_articuladas.aspx?cod=31985),

Visualizado em 19/07/2008.

Cibercrime: uma ameaça à nota fiscal eletrônica (

http://www.cenofisco.com.br/otributario/default.asp?noticia_id=149&edicao_id=17&edicao_numero=17),

Visualizado em 19/07/2008.

Coriolano Aurélio de Almeida Camargo Santos Cibercrime ameaça empresas públicas e privadas (http://www.migalhas.com.br/mostra_noticia_articuladas.aspx?cod=31985),

Visualizado em 19/07/2008.

Coriolano Aurélio de Almeida Camargo

A nota fiscal eletrônica e o atual cenário das fraudes eletrônicas.

(http://www.portalfiscal.se.gov.br/WebPortalFiscal/notaFiscalEletronica/mate

rias_publicadas.jsp?news=principal.html#noticia),

publicado em 23/06/2006. Visualizado em 19/07/2008.

Correio Braziliense

Combate ao cibercrime

(http://pfdc.pgr.mpf.gov.br/clipping/julho/combate-ao-cibercrime/),

publicado em 07/07/2007. Visualizado em 19/07/2008.

Fábio Reis

A nota fiscal eletrônica e o atual cenário do cibercrime. Tema para o trabalho preventivo do Instituto Nacional De Criminalística da Polícia Federal.

publicado em 10/07/2008. Visualizado em 19/07/2008.

Felipe Zmoginski, Felipe

Estudo nega impactos negativos da pirataria (http://info.abril.com.br/aberto/infonews/072008/16072008-30.shl),

publicado em 16/07/2008. Visualizado em 18/07/2008

Gean Oliveira

Crimes na Internet (http://vouprocanada.com/2007/01/26/crimes-na-internet/),

publicado em 26/01/2007. Visualizado em 19/07/2008.

Sérgio Amadeu da Silveira

Veja o que aconteceria com quem baixou o filme Tropa de Elite se o projeto do Azeredo fosse lei

(http://samadeu.blogspot.com/2008/07/veja-o-que-aconteceria-com-quem-baixou.html),

publicado em 18/07/2008. Visualizado em 18/07/2008

Veja como funciona a nota fiscal eletrônica (http://www.boadica.com.br/noticia.asp?codigo=14316),

publicado em 27/11/2007. Visualizado em 19/07/2008

Verônica Couto

Crimes na internet: Quem ganha e quem perde com o projeto (http://www.softwarelivre.org/news/11793),

publicado em 15/07/2008. Visualizado em 18/07/2008

Fátima Conti - fconti@uol.com.br @@

20 de julho de 2008 @@

Originalmente publicado em

http://xocensura.wordpress.com/2008/07/20/projeto-de-lei-8499-%E2%80%93-serve-a-quem/

01 setembro 2008

Vista - Melhorias na Proteção de Dados e na Segurança do Windows Vista

Novos recursos tornam o Windows Vista ainda mais seguro do que os sistemas operacionais clientes anteriores do Windows

Publicado em: 1° de junho de 2005
Por Tony Northrup

As ameaças na segurança estão em contínua evolução. Para estar protegido contra ameaças na Internet e nas redes sem fio, o sistema operacional cliente do Microsoft Windows também precisa evoluir. O Windows Vista é o sistema operacional Windows mais seguro e confiável que existe e ele irá ajudar as organizações a alcançarem seus objetivos empresariais e computacionais. Este documento descreve as melhorias mais significativas na segurança, os benefícios que elas promovem, e porque os novos recursos são importantes para os profissionais de TI.

Visão Geral

A Microsoft está fazendo investimentos importantes em tecnologia para proteger ainda mais os consumidores. Os esforços incluem o uso de um ciclo de vida de desenvolvimento para desenvolver softwares mais seguros e o oferecimento de inovação tecnológica na plataforma para proporcionar defesa em camadas ou defesa em profundidade. O Windows Vista inclui muitas melhorias e recursos de segurança para proteger os computadores clientes das ameaças de última geração, incluindo worms, vírus, e outros softwares maléficos (os também chamados malwares).

• O User Account Protection (Proteção da Conta do Usuário) permite aos usuários serem mais produtivos e mudarem configurações comuns sem a necessidade de privilégios administrativos. Isto evita que os usuários façam mudanças potencialmente perigosas em seus computadores, sem limitar suas habilidades para executarem aplicações.

• O navegador da Web embutido no Windows Vista, o Microsoft Internet Explorer (IE), inclui muitos aperfeiçoamentos na segurança que protege os usuários contra phishing e ataques spoofing. Os novos recursos incluem o modo protegido do Internet Explorer (protected mode), que ajuda a evitar que os dados e configurações dos usuários sejam apagados ou alterados por sites mal-intencionados ou malware.

• As capacidades anti-malware do Windows Vista detectam muitos tipos de software suspeitos e podem alertar o usuário antes de permitir que as aplicações façam alterações potencialmente maléficas.

• A nova filtragem de saída no firewall proporciona controle administrativo sobre aplicações de compartilhamento (peer-to-peer) e outras aplicações similares que as empresas queiram restringir.

• O Windows Service Hardening (Fortalecimento de Serviços do Windows) limita o dano causado por invasores caso eles consigam comprometer um serviço, reduzindo o risco dos invasores fazerem mudanças permanentes no Windows Vista cliente ou de atacarem outros computadores da rede.

• Os administradores podem usar o Network Access Protection (Proteção de Acesso à Rede) para evitar que clientes que não estejam seguindo a política de saúde do sistema interno possam conectar-se à rede interna e potencialmente espalhar malware para as outras máquinas.

Os usuários corporativos com computadores com hardware adequado têm o beneficio da proteção de dados em computadores perdidos ou roubados com o Secure Startup. Um computador sendo executado com o Secure Startup terá seu disco rígido totalmente encriptado - tornando os dados, arquivos, e-mail, e propriedade intelectual inacessível para qualquer um que tente invadi-lo.

Finalmente, para garantir que os departamentos de IT tenham uma grande variedade de mecanismos de autenticação, o Windows Vista inclui uma nova arquitetura de autenticação que é mais fácil de ser estendida por desenvolvedores de terceiros. Teremos, enfim, uma variedade maior de Smart Cards, scanners de fingerprint, e outras formas de autenticação. Juntas, estas melhorias de segurança farão com que os usuários sintam-se mais seguros usando seus PCs.

User Account Protection

Hoje em dia, muitos usuários do Windows executam privilégios administrativos tanto no trabalho quanto em casa. A execução com credencial de administrador resulta num desktop mais difícil de ser gerenciado e com custo de suporte potencialmente mais alto. A implantação de desktops sem que os usuários sejam administradores pode resultar em economia porque um usuário não administrativo não pode mais configurar erroneamente a rede ou instalar uma aplicação que afete a estabilidade do sistema. A execução sem privilégios administrativos é atualmente um desafio, já que muitas aplicações costumam falhar e os usuários finais ficam frustrados com a impossibilidade de desempenhar tarefas comuns como adição de impressoras. No Windows Vista, a iniciativa User Account Protection introduz mudanças substanciais no sistema operacional para melhorar a experiência para o usuário não-administrativo. Por exemplo, num contexto corporativo, um laptop de usuário poderá programar uma chave WEP para ser anexado a uma rede sem fio em casa, instalar uma impressora, fazer o download e a instalação de atualizações de aplicações, instalar e configurar uma conexão VPN (Virtual Private Network), e desempenhar muitas outras tarefas, todas como usuário não-administrativo.

Por padrão, o Windows Vista executa a maioria das aplicações com permissões limitadas, mesmo que o usuário registre-se em seu computador com privilégios administrativos. Isto não evitará que os usuários desempenhem tarefas administrativas para as quais foram concedidas permissões. Quando os usuários tentarem desempenhar tarefas administrativas, o Windows Vista pedirá explicitamente que eles confirmem suas intenções ou forneçam credenciais administrativas, dependendo da configuração da política que você escolher. Você também pode controlar este recurso com as configurações da Política de Grupo.

Se os usuários se registram como usuário normal, não pertencentes ao grupo local de administradores, eles ainda podem executar a maioria das aplicações do Windows Vista sem direitos adicionais. Apesar de existirem algumas exceções, a maioria das aplicações será executada tão bem numa conta de usuário normal quanto numa de administrador.

Para aqueles momentos onde os privilégios do administrador são necessários, não é preciso clicar em Run As porque o Windows Vista automaticamente exibirá um prompt como mostra a Figura 1.


Figura 1: O Windows Vista automaticamente exibe um prompts para credenciais de administrador quando estas são necessárias.

Algumas aplicações não serão executadas no Windows XP sem privilégios administrativos porque elas tentam alterar localizações de registros e arquivos que afetam todo o computador, como C:\Program Files, C:\Windows, ou HKEY_LOCAL_MACHINE. O Registry and file virtualization no Windows Vista redireciona escritas no registro e em arquivos por máquina para localizações por usuário se o usuário não tiver privilégios administrativos. Isto faz com que contas normais executem aplicações que precisam escrever para áreas do registro ou sistemas de arquivos que somente os administradores podem acessar.

Benefícios

O User Account Protection permite que organizações tenham um desktop melhor gerenciado com um custo de suporte mais baixo. Ele ajuda a reduzir a necessidade para as organizações re-descreverem os computadores graças às mudanças de configuração dos usuários e diminui o risco de impactos causados por malware em todo o sistema.

Para entender os benefícios do User Account Protection, considere um usuário médio que esteja viajando a negócios e usando uma conta de usuário padrão sem conhecimento de uma senha de Administrador local. Para passar o tempo no quarto do hotel, ele tenta fazer o download de um jogo na Internet. O jogo, no entanto, é um cavalo de Tróia, e tenta instalar um malware que começa automaticamente assim que o computador é iniciado. Como o usuário não é um administrador, o jogo não consegue ser instalado, e a máquina do usuário continua protegida do cavalo de Tróia. Mais tarde, para imprimir um documento na impressora do hotel, ele precisa instalar um novo driver de impressora. Para garantir que o driver não esteja sendo adicionado por um software maléfico, o Windows Vista alerta o usuário através de um prompt para que ele verifique se realmente deseja instalar o driver. Desta forma, o User Account Protection protege os usuários sem limitar o que eles podem fazer.

Porque é Importante

Com o Microsoft Windows XP e com outras versões anteriores do sistema operacional Windows, os profissionais de TI tinham duas escolhas:

• Dar aos usuários privilégios administrativos e então lidar com os chamados de suporte resultante das instalações inadequadas de softwares ou das alterações nas configurações.

• Dar aos usuários privilégios restritos e então lidar com os chamados de suporte quando as aplicações não funcionam adequadamente.

Com o Windows Vista, não é preciso fazer concessões. Os usuários podem ser produtivos e ao mesmo tempo estarem protegidos de malware, que tiraria proveito de privilégios administrativos, enquanto são ainda capazes de executar quase todo o tipo de aplicação. Quando os usuários precisam desempenhar tarefas administrativas, o Windows Vista confirma suas solicitações. Enfim, isto significa menos chamados de suporte e menos tempo gasto configurando aplicações para serem executadas com privilégios restritos.

Autenticação

Descrição de Recursos

O Windows Vista continua a ter suporte de autenticação embutido para senhas e Smart Cards. Muitos consumidores estão procurando alternativas para senhas para autenticação, e por isso o Windows Vista simplifica para os desenvolvedores o processo de adição de seus próprios métodos de autenticação no Windows, como os biométricos e os tokens. O Windows Vista também oferece melhorias para o protocolo de autenticação Kerberos e para os logons de smart-cards. As ferramentas de implantação e gerenciamento, como as ferramentas self-service de reset de número de identificação pessoal (personal identification number - PIN), facilitam o gerenciamento dos Smart Cards. Um modelo comum de Interface de Programação de Aplicações (API) para os desenvolvedores de smart-cards também facilita o desenvolvimento.

Benefícios

As melhorias relacionadas ao Smart Card no Windows Vista facilitam o trabalho de implantação e de suporte para as organizações que adotarem este método de autenticação. O Windows Vista beneficia diretamente os desenvolvedores que oferecem mecanismos de autenticação customizados como biométricos e tokens ao facilitar a implantação destes mecanismos. Os departamentos de TI são beneficiados indiretamente já que têm a sua disposição uma variedade maior de opções de fabricantes de terceiros.

Porque é Importante

Para muitas organizações, a autenticação de fator único não é suficiente. As organizações de TI que valorizam a segurança precisam de autenticação de fatores múltiplos. Ao facilitar o processo de criação de métodos de autenticação customizados, os departamentos de TI terão mais opções de escolha para biometric, Smart Card, e outros tipos de autenticação poderosa.

Anti-Malware

Descrição do Recurso

O User Account Protection, discutido anteriormente neste documento, e as melhorias de segurança relacionadas ao Internet Explorer (incluindo o novo modo protegido que veremos posteriormente) podem reduzir o impacto do malware no Windows Vista. Além destes novos recursos, o Windows Vista pode eliminar muitos worms, vírus, e root kits, protegendo assim a integridade do sistema operacional e a privacidade dos dados do usuário. Ele também pode detectar, eliminar e bloquear spyware em tempo real.

Nota As funções embutidas de detecção, limpeza e bloqueio anti-spyware têm como objetivo principal os usuários individuais. O planejamento atual não inclui o gerenciamento corporativo para anti-malware através de políticas de grupo além da habilitação/ inabilitação da proteção.

Benefícios

O malware freqüentemente é executado no background dos computadores dos usuários, reduzindo o desempenho de seus sistemas. Isto muitas vezes leva os usuários a concluírem prematuramente que seus computadores estão muito lentos e que precisam ser rearranjados, aumentando o custo de manutenção das máquinas. Pior ainda, o malware freqüentemente está infestado com bugs e torna o computador não confiável.

No entanto, a maior ameaça do malware é relação à segurança. O malware tem o potencial para introduzir vulnerabilidades no sistema de segurança de um computador. Se um invasor explorar estas vulnerabilidades, ele poderá acessar dados confidenciais. Portanto, a proteção adicional contra malware oferecida pelo Windows Vista melhora o desempenho dos computadores em sua rede como um todo, reduzindo o atendimento de suporte e melhorando sua segurança.

Porque é Importante

Os departamentos de IT gastam uma grande parte de seus recursos resolvendo problemas causados por malware: desempenho lento dos computadores, confiabilidade baixa e falhas na segurança. Os recursos anti-malware embutidos no Windows Vista oferecem aos usuários maior controle sobre os softwares que são instalados e executados em seus computadores. Os usuários avançados podem visualizar o status do software anti-malware no Centro de Segurança.

Network Access Protection

Descrição do Recurso

O Windows Vista inclui um agente que pode prevenir que um cliente conecte-se à rede interna se ele não possuir as atualizações de segurança, assinaturas de vírus, ou se não estiver de acordo seus critérios de segurança. O Network Access Protection (Proteção do Acesso à Rede) pode ser usado para proteger os clientes de acesso remoto bem como as conexões de rede local (LAN). O agente informa o ao serviço de proteção do acesso à rede o status de saúde do cliente Windows Vista, como o fato de ter as atualizações e as assinaturas de vírus mais recentes instaladas, e este serviço determina se concede ao cliente o acesso à rede interna ou se restringe seu acesso a uma rede protegida. A funcionalidade do cliente é dependente da infra-estrutura do Network Access Protection, que será incluída no Windows Server "Longhorn".

Benefícios

O Network Access Protection pode melhorar a segurança tanto dos computadores móveis quando de suas redes internas. Muitas vezes, os usuários que viajam com seus computadores não conseguem conectar-se à rede interna por muito tempo. Quando eles conseguem se conectar, as conexões podem ser tão breves que seus computadores não têm tempo para fazer o download das últimas atualizações, configurações de segurança, e assinaturas de vírus. Portanto, muitas vezes os computadores móveis estão menos protegidos do que os demais. O Network Access Protection melhora a segurança destes computadores móveis ao garantir que as últimas atualizações sejam instaladas antes que os usuários se conectem a rede.

Porqu é Importante

Os vírus e worms são muitas vezes introduzidos em uma rede interna protegida por clientes remotos ou outras máquinas infectadas ao se conectarem a rede. O Network Access Protection no Windows Vista, quando usado com o Windows Vista Server que está por vir, permite que sejam instalados requisitos para o status de saúde do cliente de acesso remoto. Se um computador cliente não atender estes requisitos, é possível:

• Prevenir que o computador conecte-se à sua rede interna aumentando o risco para a disseminação de um vírus ou worm.

• Fornecer instruções para os usuários sobre como atualizar seus computadores, ou mesmo atualizar os computadores automaticamente se houver tecnologia para tanto.

• Conceder acesso a um número limitado de servidores em sua rede para permitir que os usuários façam o download de atualizações.

Firewall

Descrição do Recurso

O firewall pessoal embutido no Windows Vista é construído sobre o alicerce da funcionalidade incluída no Microsoft Windows XP Service Pack 2. O firewall também inclui filtragem de saída sobre aplicações, que proporciona controle total sobre o tráfego. Por exemplo, o Windows Firewall no Windows Vista permite aos Administradores impede que aplicações (como compartilhamento de igual para igual ou aplicações de mensagem instantânea) entrem em contato ou respondam a outros computadores. Além disso, as configurações do firewall no Windows Vista podem ser feitas pelos objetos da Política de Grupo para simplificar a capacidade de gerenciamento.

Benefícios

Muitas aplicações potencialmente arriscadas, como aplicações de cliente de compartilhamento de igual para igual que podem transmitir informações pessoais através da Internet são projetadas para desviar de firewalls que bloqueiam conexões de entrada. O firewall do Windows Vista dá aos administradores corporativos a habilidade para configurar a Política de Grupo para aplicações que devem ser bloqueadas ou autorizadas, proporcionando a eles o controle sobre quais aplicações podem comunicar com a rede.

Porque é Importante

Uma das maneiras mais importantes dos departamentos de TI mitigarem os riscos de segurança é a limitação das aplicações que podem acessar a rede. O firewall pessoal embutido no Windows Vista é uma parte importante desta estratégia. Com firewall pessoal, os administradores podem permitir que uma aplicação seja executada localmente em computadores, mas prevenir que ela comunique-se através da rede. Assim os administradores têm o controle granular que precisam para mitigar riscos de segurança sem causar um impacto negativo na produtividade do usuário.

Windows Service Hardening

Descrição do Recurso

O Windows Service Hardening impede serviços importantes do Windows executem atividades anormais no sistema de arquivos, rede, ou em outros recursos que possam ser usados para permitir que o malware se instale ou ataque outros computadores. Por exemplo, o serviço de Remote Procedure Call (RPC) pode ser impedido de substituir arquivos do sistema ou de modificar o registro.

O Windows Services representa uma grande porcentagem de toda a superfície de ataque no Windows - da perspectiva da quantidade de base (footprint) de códigos "always-on" no sistema, e o nível de privilégio de cada código. O Windows Vista limita o número de serviços que são executados e que são operacionais por padrão. Hoje em dia, muitos sistemas e serviços de terceiros são executados na conta LocalSystem, onde qualquer brecha pode levar a prejuízos ilimitados à máquina local - incluindo a formatação de disco, o acesso aos dados do usuário, ou a instalação de driver.

O Windows Service Hardening reduz o risco em potencial de um serviço comprometido ao introduzir novos conceitos que são usados pelos serviços do Windows:

• Introdução de um identificador de segurança por serviço (per-service security identifier - SID). Ele permite a identidade por serviço que, por sua vez, permitirá a partição do controle de acesso através do modelo atual de controle de acesso do Windows que abrange todos os gerentes de recursos e objetos que usam as listas de controle de acesso (access control lists - ACLs). Os serviços podem agora aplicar ACLs explícitas aos recursos que são privados para o serviço, impedindo que os outros serviços, bem como o usuário, acesse o recurso.

• A transferência de serviços do LocalSystem para uma conta menos privilegiada, como o LocalService ou o NetworkService. Isto reduz o nível total de privilégio do serviço, que é similar aos benefícios produzidos pelo User Account Protection (Proteção da Conta do Usuário).

• Retirada de privilégios desnecessários do Windows por serviço, por exemplo, a habilidade para faz depurações.

• Aplicação de um token restrito a escrita para o processo de serviços. Isto pode ser usado nos casos onde o conjunto de objetos escritos pelo serviço está ligado e pode ser configurado. As tentativas de escrever para os recursos que não concederem explicitamente acesso ao serviço SID falharão.

• Políticas de firewall de rede são designadas para os serviços, prevenindo o acesso à rede fora dos limites normais do programa do serviço. A política do firewall está diretamente ligada ao identificador de segurança por serviço (per-service security identifier - SID).

Benefícios

O Windows Service Hardening oferece uma camada adicional de proteção para serviços baseados no princípio de segurança de defesa em profundidade. O Windows Service Hardening não pode evitar que um serviço vulnerável seja comprometido; outros componentes do Windows Vista e estratégias de defesa em profundidade como o firewall do Windows e bons processos de gerenciamento de atualizações ajudam a fazer isto. Ao invés disso, o Windows Service Hardening limita a dimensão do prejuízo que pode ser causado por um invasor caso ele seja capaz de identificar e explorar um serviço vulnerável.

O Windows Service Hardening também é suportado para uso por autores de serviços de terceiros, permitindo aos autores de aplicações a obtenção do mesmo benefício de segurança de seus códigos.

Porque é Importante

O custo de um comprometimento na segurança pode ser. Dados confidenciais podem ser comprometidos, os usuários podem perder dados, e a produtividade pode ser sacrificada. Um departamento de TI pode demorar semanas consertando os estragos causados por um comprometimento sério. O Windows Service Hardening pode ajudar a reduzir drasticamente os estragos causados por um serviço comprometido ao prevenir que ocorram mudanças significativas na configuração ou infecção de outros computadores da rede. Com o Windows Service Hardening, o que poderia ter sido uma grande exploração da segurança pode ser potencialmente limitado a um comprometimento menor.

Melhorias no Internet Explorer

Descrição do Recurso

O Windows Vista será baseado na Proteção de Contas de Usuários para limitar o Internet Explorer a apenas os privilégios necessários para se navegar na Web, não suficientes para modificar arquivos do usuário ou configurações, por padrão. Este recurso disponível apenas no Windows Vista, conhecido como Modo Protegido, estará no Beta 2. Como resultado, mesmo se sites mal intencionados atacarem uma vulnerabilidade no Internet Explorer, o código do site não terá privilégios suficientes para instalar software, copiar arquivos para a pasta de inicialização do usuário ou alterar configurações do navegador.

Para ajudar a proteger as Informações dos usuários, o Internet Explorer:

• Destaca a nova barra de status de segurança ao visitor um site protegido por SSL e permite ao usuário facilmente validar a validade do certificado de segurança do site.

• Possui um filtro de phishing, que ajuda os usuários a navegarem de forma mais segura avisando-os quando sites da Web tentarem roubar informações confidenciais. O filtro trabalha analisando o conteúdo do site Web, procurando por características conhecidas de técnicas de phishing e usando uma rede global de fontes de dados para decidir se o site deve ser confiável. O dado do filtro é atualizado várias vezes por hora, o que é importante dado a velocidade que sites de phishing podem aparecer e potencialmente coletar dados do usuário.

• Limpa todos os dados em cache com um único clique.

Benefícios

Os novos recursos no Internet Explorer ajudarão os usuários a acessarem os recursos na Internet e ao mesmo tempo ajudará a minimizar as ameaças à segurança. A redução do risco apresentado pelos sites mal-intencionados ajuda a diminuir os custos potenciais com a segurança.

Porque é Importante

Os sites mal-intencionados podem comprometer os computadores dos usuários, mesmo que eles estejam apenas visitando sites aparentemente seguros. As melhorias oferecidas pelo Internet Explorer no Windows Vista ajudam a reduzir consideravelmente o risco de comprometimento do navegador, reduzindo assim os riscos de segurança. Combinando o User Account Protection e novo modo protegido do Internet Explorer, não haverá tantos pedidos de suporte de usuários reclamando sobre a alteração de uma home page ou sobre barras de ferramentas indesejadas no Internet Explorer.

Proteção de Dados

Descrição do Recurso

O roubo ou extravio de propriedade intelectual é uma preocupação crescente para as organizações. O Windows Vista aperfeiçoou o suporte para a proteção de dados seja para documentos, diretórios ou máquinas. O Gerenciamento de Direitos integrado do cliente permite que as organizações reforcem políticas sobre o uso de documentos. O Encrypting File System (Sistema de Arquivos Encriptados), que fornece encriptação de diretório e arquivo baseada no usuário, foi aperfeiçoado para permitir o armazenamento de chaves de encriptação em Smart Cards, proporcionando maior proteção às chaves. Além disso, o novo recurso protegido de startup corporativo adiciona proteção de dados no nível da máquina. Em um computador com hardware apropriado, ele fornece encriptação total do volume do sistema, incluindo arquivos do sistema Windows system e o arquivo de hibernação, que ajuda a evitar que o comprometimento dos dados em uma máquina perdida ou roubada. Para oferecer uma solução fácil de ser implantada e gerenciada, um chip Trusted Platform Module (TPM) 1.2 é usado para armazenar as chaves que encriptam e decriptam setores no disco rígido do Windows. Ele requer o TPM e uma infra-estrutura de gerenciamento corporativo para garantir que o recurso seja utilizado facilmente pelos usuários finais.

A encriptação completa do volume Secure Startup veda a chave de encriptação simétrica em um chip Trusted Platform Module (TPM) 1.2. Um chip TPM é um componente de hardware disponível em alguns computadores mais novos que armazena chaves, senhas e certificados digitais.

O Secure Startup também armazena medidas de arquivos do sistema operacional central em um chip TPM. Cada vez que o computador é iniciado, o Windows Vista verifica se os arquivos do sistema operacional não foram modificados em um ataque offline. Um ataque offline é um cenário onde um invasor faz a inicialização de um sistema operacional alternativo para ganhar controle sobre o sistema. Se os arquivos tiverem sido modificados, o Windows Vista alerta o usuário e recusa a liberação da chave necessária para acessar o Windows. O sistema então entra num modo de recuperação, alertando o usuário para que forneça a chave de recuperação para permitir o acesso ao volume de inicialização do sistema. O modo de recuperação também é usado se um drive de disco é transferido para outro sistema. O modo de recuperação exige uma chave de recuperação que é gerada quando o Secure Startup é habilitado, e aquela chave é específica para uma máquina. Dessa forma, o Secure Startup é ideal para corporações com uma infra-estrutura de gerenciamento para armazenar chaves de recuperação, como o Active Directory. Caso contrário, existe o risco de perda de dados se um computador falhar, seu drive for transferido para outro computador e a chave de recuperação não estiver disponível.

Benefícios

O Windows XP e versões anteriores do Windows são vulneráveis para ataques offline que tentam obter dados de computadores perdidos ou roubados. Os ataques offline, diferentemente dos ataques online, que ocorrem quando o sistema operacional está sendo executado (e, portanto, pode ser mitigado pelos firewalls e pelos softwares antivírus), ocorrem quando o sistema operacional está desligado. Os tipos de ataques offline mais comuns são:

• Iniciando um computador offline com um disco de inicialização e zerando a senha do administrador para que o invasor possa iniciar o sistema operacional e autenticar.

• Acessando o disco rígido do computador diretamente com um sistema operacional diferente para desviar das permissões de arquivo.

O Secure Startup pode ser usado para proteger contra os dois tipos de ataques. Esta proteção é valiosa principalmente para os computadores moveis, que estão mais vulneráveis a roubo.

Porque é Importante

Computadores extraviados ou roubados muitas vezes contêm informações pessoais identificáveis ou propriedade intelectual corporativa. O comprometimento destes dados pode resultar em publicidade negativa para uma organização quando forem divulgadas noticias sobre o roubo, o que acontece quando uma organização notifica seus clientes de que suas informações pessoais foram perdidas. Isto pode acarretar perda da confiança dos clientes e repercussão negativa na mídia.

Com a encriptação de volume total do Windows Vista, os riscos de que um invasor use ataques offline e comprometa arquivos confidenciais é drasticamente reduzido. A encriptação proporciona a garantia de que se um laptop for roubado ou extraviado, o invasor não poderá acessar dados importantes sobre a empresa ou os clientes naquela máquina.

Nota Os recursos discutidos neste site estão sujeitos a alterações. Alguns recursos podem não estar incluídos no produto final por razões técnicas, mercadológicas ou diferentes.

Fonte: Microsoft Technet - http://www.microsoft.com/brasil/technet/

IPTABLES - Implementado um firewall em apenas 10 minutos

Atualmente, vivemos em uma contínua guerra virtual, onde tentativas de invasão são frequentes não só em ambientes corporativos como também em ambientes domésticos. Assim, pretende-se mostrar aqui como se pode implementar um pequeno firewall pessoal como base no iptables, o filtro de pacotes instalado por padrão em todas as distribuições de GNU/Linux, com o intuito de aumentar a segurança das estações de trabalho de usuários domésticos. Para tanto, utilizar-se-á apenas a tabela filter do iptables, visto que para este caso as demais tabelas são desnecessárias.

Vale ressaltar que nessa dica não há uma rigidez na construção das regras para o firewall, visto que o que pode ser bom para um certo usuário pode não ser bom para outro.

Entretanto, a intenção aqui é procurar apresentar um conjunto comum de regras aplicáveis a todos, podendo posteriormente, de acordo com o usuário, ser realizado apenas algumas adaptações.

A dica baseia-se na distribuição Debian, porém, pode ser utilizada para todas as distribuições. Como requerimentos, caso ainda não estejam carregados, será necessário o acréscimo dos módulos do Kernel ip_tables e ipt_LOG

# modprobe ip_tables

# modprobe ipt_LOG

Verificando serviços instalados e portas abertas

================================================

O primeiro passo é verificar quais são os serviços que estão sendo executados na estação já que, em geral, de acordo com a instalação de uma dada distribuição, certos serviços já estarão rodando, tais como:

| **sshd** | Secure Shell Server, serviço de terminal remoto seguro. |

| **http** | Servidor web Apache |

| **rpcbind** | utilizado por alguns serviços de arquivos, como NFS. Seu uso deve ser evitado. |

Para tanto, pode-se fazer uso das ferramentas netstat ou nmap.

Tendo nmap instalado na máquina, pode-se executar o seguinte comando para identificar os serviços e portas abertas na estação: <Leia o post sobre NMAP>

# nmap -sS Nome_da_sua_Maquina ou Seu_endereco_IP

Starting Nmap 4.50 ( http://insecure.org ) at 2008-03-18 17:18 BRT

Interesting ports on Sua_Maquina (Seu endereco_IP):

Not shown: 1704 closed ports

PORT STATE SERVICE

22/tcp open ssh

80/tcp open http

111/tcp open rpcbind

113/tcp open auth

Nmap done: 1 IP address (1 host up) scanned in 0.671 seconds

Pela saída do comando, podemos observar que há na estação os serviços ssh, o servidor web Apache (http), o serviço rpcbind (Remote Procedure Call, Chamada Remota de Procedimentos), utilizado pelo NFS para montar uma unidade remotamente. Há, também, o serviço auth, que é utilizado para identificação e autorização, muito freqüentemente usado por servidores de notícias, IRC (Internet Relay Chat) ou Correio.

Todos esse serviços da estação estão abertos a conexões provenientes de outras máquinas e, em geral, não se necessita disponibilizá-los, exceto feita ao

o serviço ssh, que poderá ser necessário para se conectar a partir de uma outra máquina e que se costuma liberar apenas se esta tiver um endereço IP fixo.

Assim, é necessário apenas escolher quais serviços se deseja disponiblizar o acesso externo. Para esta dica foi escolhido o seguinte esquema de filtragem:

- Acesso total a estação localmente. Ou seja, todos os serviços devem estar disponíveis para o localhost ou endereço IP 127.0.0.1.

- Tentativas de conexão originadas de uma máquina remota para os serviços rcpbind, http e auth devem ser bloqueadas.

- Permitir acesso por meio do protocolo udp apenas para servidores DNS.

- Permitir a acesso ssh apenas a apartir de certos endereços específicos, por exemplo, 192.168.0.10.

- Conexões estabelecidas e já relacionadas a algum conexão devem ser autorizadas.

Nota: Convém comentar (para os leitores iniciantes) sobre os termos new, established e related, relacionados ao protocolo TCP. TCP é um protocolo orientado a Conexão. Por Orientado a Conexão entende-se que todos os pacotes chegarão ao destino, sem qualquer perda de pacotes em trânsito. Caso um pacote seja perdido, há a retransmissão do mesmo. Essas propriedades são obtidas por meio de um conjunto de flags. As principais flags são SYN (SYNchronize, Sincronizar) e ACK (ACKnowledge, Confirmar). Por exemplo, quando se clica em um determinado link no navegador, seu computador envia um pacote SYN para o servidor remoto que hospeda o link. Esse processo é o ínicio de nova conexão, representado por NEW.

Quando o servidor recebe o pedido que tem a flag SYN, envia um aviso de confirmação de volta para a sua máquina, fixando a ele uma flag SYN-ACK . Podemos chamar essa etapa de "relacionamento" da conexão, representada por RELATED. Assim que a sua máquina recebe o pacote SYN-ACK, ela responde com um pacote ACK final, que informa a máquina remota que o pacote foi realmente recebido. Nesse momento, a conexão está estabelecida, o que se representa por ESTABLISHED.

Esse mecanismo é chamado de Three-Way-Handshake.

- Não permitir o ínicio de uma nova conexão (NEW) para a estação a partir de uma máquina remota, ou seja, conexões só devem ser iniciadas pela estação.

- Permitir todas as conexões originadas a partir estação.

- Restringir todas as demais conexões de entrada.

Construindo as Regras

=====================

Permitir a localhost acesso a tudo

iptables -A INPUT -s 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT

Permitir todas conexões tcp estabelecidas e já relacionadas a alguma conexão para a máquina

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

Permitir acesso pelo protocolo udp apenas para o servidor DNS, supondo que este seja 192.168.0.1

iptables -A INPUT -p udp -s 192.168.0.1 -j ACCEPT

Permitir acesso SSH apenas a partir do IP 192.168.0.10

iptables -A INPUT -p tcp -s $IP_LIBERADO --dport 22 -j ACCEPT

Permitir todas as conexões de saída a partir da máquina

iptables -A OUTPUT -j ACCEPT

Deste ponto em diante, colocar-se-á Regras de Negação.

Negar todas as novos conexões tcp a partir de máquinas remotas, registrando as tentativas.

iptables -A INPUT -p tcp -m state --state NEW -j LOG

iptables -A INPUT -p tcp -m state --state NEW -j DROP

Bloquear a porta 80 do servdior web Apache da máquina e, da mesma forma, também registrar as tentativas de conexão.

iptables -A INPUT -p tcp -s 0/0 --dport 80 -j LOG

iptables -A INPUT -p tcp -s 0/0 --dport 80 -j DROP

Nota: A regra LOG sempre deve anteceder a respectiva regra de filtragem.

Bloquear os demais acessos a SSH para a máquina, registrando tentativas.

iptables -A INPUT -p tcp -s 0/0 --dport 22 -j LOG

iptables -A INPUT -p tcp -s 0/0 --dport 22 -j DROP

Por fim, negar tudo que não se enquadrar em nenhuma das regras.

iptables -A INPUT -j DROP

iptables -A FORWARD -j DROP

Elaborando um script para automatizar o processo

================================================

Para automatizar, cria-se um arquivo em /etc/init.d/firewall com o seguinte contéudo:

#!/bin/sh

#

# Exemplo de script Firewall Pessoal para GNU/Linux 2.6.x e iptables

#

# por Jose' Messias Alves da Silva

#

#

LO_IFACE="lo"

LO_IP="127.0.0.1"

IP_LIBERADO="192.168.0.10"

DNS="192.168.0.1"

IPTABLES="/sbin/iptables"

case "$1" in

start)

echo -e 'Iniciando Firewall Pessoal..\n'

# Carregando os Modulos do Kernel

modprobe ip_tables

modprobe ipt_LOG

# LocalHost - Aceita todos os pacotes

$IPTABLES -A INPUT -s $LO_IP -j ACCEPT

$IPTABLES -A OUTPUT -s $LO_IP -j ACCEPT

$IPTABLES -A OUTPUT -j ACCEPT

$IPTABLES -A INPUT -p udp -s $DNS -j ACCEPT

$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p tcp -m state --state NEW -j LOG

$IPTABLES -A INPUT -p tcp -m state --state NEW -j DROP

$IPTABLES -A INPUT -p tcp -s 0/0 --dport 80 -j LOG

$IPTABLES -A INPUT -p tcp -s 0/0 --dport 80 -j DROP

# Permitir acesso SSH apenas a partir do IP 192.168.0.10

$IPTABLES -A INPUT -p tcp -s $IP_LIBERADO --dport 22 -j ACCEPT

#As demais tentativas a SSH, negar

$IPTABLES -A INPUT -p tcp -s 0/0 --dport 22 -j LOG

$IPTABLES -A INPUT -p tcp -s 0/0 --dport 22 -j DROP

# Negar tudo que nao se enquadrar nas regras anteriores

$IPTABLES -A INPUT -j DROP

$IPTABLES -A FORWARD -j DROP

echo -e 'Firewall Pessoal Iniciado ..\n'

;;

stop)

echo -e 'Parando Firewall Pessoal ..\n'

# Limpando regras

$IPTABLES -F

;;

restart)

echo -e 'Reiniciando Firewall Pessoal, aguarde ..\n'

$0 stop

sleep 2

$0 start

;;

*)

echo "Sintaxe: $0 [ start | stop | restart ]"

;;

esac

Após a criação do arquivo, é necessário torná-lo executável:

# chmod +x /etc/init.d/firewall

Por fim, digita-se o seguinte comando para criar os links simbólicos nos diretórios de inicialização:

# update-rc.d firewall defaults

Para iniciar o firewall, basta executar:

# /etc/init.d/firewall start

ou

# invoke-rc.d firewall start

Considerações Finais

====================

Enfim, após a inicialização/execução do script as regras estarão carregadas no kernel, tendo se implementado um excelente firewall pessoal. Pode-se verificar se as regras foram corretamente aplicadas executando novamente o comando nmap, que mostrará que as portas estão filtradas pelo firewall:

# nmap -sS Nome_da_sua_Maquina ou Seu_endereco_IP -p 22,80,111,113

Ou simplesmente listando as regras utilizadas por meio do comando:

# iptables -L

Ademais, essa dica serve para os usuários perceberem a importância da segurança também em suas estações, incentivar e estimular a criação de firewalls pessoais bem mais poderosos.

Fonte: José Messias Alves da Silva (Dicas-L) - http://www.Dicas-L.com.br/

José Messias Alves da Silva é Matemático, Cientista da Computação pela UFPI, Especialista em Administração em Redes Linux e Coordenador Geral do Grupo de Usuários Debian do Piauí.