24 novembro 2008

Seis maneiras de tentar sobreviver à tela azul da morte do Windows

Uma das situações mais desesperadoras que podem afligir os usuários da plataforma do Windows é a chamada ‘tela azul da morte’, expressão que vem do inglês Blue Screen of Death (BSOD).

Quem já teve a oportunidade (e diga lá, quem é que ainda não passou por tal experiência?) de se deparar com ela, sabe isso ocorre quando o sistema operacional é submetido a condições não previstas pelo código. Por conta disso ele pára de funcionar e trava o computador como um todo, exibindo umas linhas de informação que costumam dizer pouco ou quase nada para o usuário comum.

Mas aqui vai uma sugestão. Antes de desligar e ligar novamente seu PC, é conveniente anotar o que está entre o primeiro parágrafo (“Um problema foi detectado...”) e aquele que começa com “Se esta for a primeira vez...”. Sugerimos copiar também tudo que aparecer abaixo de “Informações Técnicas”.

Uma vez que você tenha reiniciado o computador e que ele esteja funcionando novamente, faça uma busca na internet para localizar páginas que façam menção aos termos que você anotou.

Se esta pesquisa não trouxer resultados úteis, procure relembrar o que mudou no seu computador momentos antes de a tela de erro surgir. Algum novo hardware foi adicionado (pente de memória, disco rígido, placa gráfica)? Atualizou um driver pouco antes de o problema começar? Fez a instalação de algum novo aplicativo?

telaazul_350

Driver: Caso tenha atualizado algum driver, procure restaurá-lo para a última versão funcional que você tinha dele. Vá em Iniciar, Executar (No Vista, Executar já é o suficiente), digite devmgmt.msc e aperte Enter. Clique duas vezes no dispositivo em questão e vá até a aba Driver. Então, clique no botão Reverter Drive.

Hardware: Uma das causas mais comuns da exibição da tela azul da morte surge após a instalação de um novo dispositivo ao PC para o qual o sistema operacional não possui driver adequado. Em situações como essa, instalar uma versão mais recente do driver costuma dar fim ao problema. Cheque o site do fabricante do hardware para ver se há uma atualização disponível para o equipamento em questão ou se não existe alguma dica de como contornar esse tipo de problema. Lembre-se que outros usuários podem ter passado por situação semelhante.

Memória: Um módulo ruim de RAM também é uma causa em potencial de panes. Caso suspeite que a memória possa ser a vilã dessa história, sugerimos que baixe e use o gratuito Memtest86+; Trata-se de um ótimo utilitário que executa uma análise profunda da saúde dos módulos de RAM instalados no PC.

Temperatura: Anos atrás, a preocupação – real – dos usuários em manter computadores em ambientes refrigerados era enorme. Os equipamentos eram de fato muito mais sensíveis e geravam uma quantidade de calor enorme. A tecnologia evoluiu, os coolers se tornaram mais eficientes e pouca gente se lembra de que, apesar disso, os computadores continuam gerando calor. E o superaquecimento é um vilão muito comum, capaz de travar o sistema quando ultrapassa determinados limites. Vale conferir se as saídas de ar do gabinete não estão obstruídas e se as ventoinhas estão funcionando adequadamente.

Conexões: Aproveite que o gabinete está aberto e confira se as conexões internas estão firmemente encaixadas. E não se espante se encontrar um volume de poeira enorme – aproveite para faxinar o PC por dentro – mas faça isso com o equipamento desligado e desconectado da tomada e com cuidado para não danificar os componentes que são frágeis.

Registro - sempre ele: Como quase todos os outros grandes problemas do Windows, a culpa pode estar não em seu hardware, mas no Registro. Utilize o Restaurador de Sistema para retornar para a situação em que estava antes de o problema começar.

Uma vez resolvido o problema, faça um backup de segurança do registro do sistema, criar um ponto de restauração e fazer backup dos seus dados. Assim, sempre poderá retornar a essa situação – estável – caso venha a enfrentar a tela azul da morte novamente, caso faça alguma alteração no sistema novamente.

E se você acha que a tela azul da morte só afeta mortal como nós, saiba que ela já deixou até o então presidente da Microsoft, Bill Gates, na mão. Veja como foi no vídeo abaixo.

fonte: PCWorld - http://pcworld.uol.com.br/

Verificar disco rígido com Sanity Smartmontools (Debian e Ubuntu)

Este guia mostra como instalar e usar o pacote smartmontools sobre o Debian Etch e Ubuntu 7.10. O pacote prevê smartmontools utilitários para verificar os discos rígidos para o disco degradação e fracasso, usando o auto-controlo, Análise e Tecnologia Reporting System (SMART) incorporado na maioria dos modernos discos rígidos SCSI e ATA.


Eu não emitir qualquer garantia de que isso irá funcionar para você!

Instalando Smartmontools

A fim de instalar smartmontools, todos nós temos de fazer é correr:

#apt-get install smartmontools

O smartmontools pacote vem com dois utilitários, que smartctl você pode usar para verificar os discos rígidos na linha de comando, e smartd, um daemon que controla os discos rígidos em um determinado intervalo de logs e alertas / erros para o syslog e também podem enviar avisos e erros de um determinado endereço de e-mail (geralmente o administrador do sistema).

Utilizando Smartctl

Antes de podermos utilizar smartctl, temos de descobrir como os nossos discos rígidos são nomeadas. Você pode fazer isso, por exemplo, ao correr:

#df –h

ou

#fdisk –l

Disk /dev/hda: 160.0 GB, 160041885696 bytes
255 heads, 63 sectors/track, 19457 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
   Device Boot      Start         End      Blocks   Id  System
/dev/hda1   *           1       19269   154778211   83  Linux
/dev/hda2           19270       19457     1510110    5  Extended
/dev/hda5           19270       19457     1510078+  82  Linux swap / Solaris
server1:~#

Como você vê, meu disco rígido é chamado / dev / hda.
Agora que sabemos o nome do nosso disco, podemos correr smartctl como segue:


#smartctl-a / dev / hda


Se você executá-lo pela primeira vez, você provavelmente vai ver algo como isto:

server1:~# smartctl -a /dev/hda
smartctl version 5.36 [i686-pc-linux-gnu] Copyright (C) 2002-6 Bruce Allen
Home page is http://smartmontools.sourceforge.net/
=== START OF INFORMATION SECTION ===
Device Model:     ST3160022ACE
Serial Number:    5JS3XTZX
Firmware Version: 9.01
User Capacity:    160,041,885,696 bytes
Device is:        Not in smartctl database [for details use: -P showall]
ATA Version is:   6
ATA Standard is:  ATA/ATAPI-6 T13 1410D revision 2
Local Time is:    Tue Apr  8 18:58:44 2008 CEST
SMART support is: Available - device has SMART capability.
SMART support is: Disabled
SMART Disabled. Use option -s with argument 'on' to enable it.
server1:~#

Se você executá-la pela primeira vez, você provavelmente vai ver algo como isto:

server1:~# smartctl -a /dev/hda
smartctl version 5.36 [i686-pc-linux-gnu] Copyright (C) 2002-6 Bruce Allen
Home page is http://smartmontools.sourceforge.net/
=== START OF INFORMATION SECTION ===
Device Model:     ST3160022ACE
Serial Number:    5JS3XTZX
Firmware Version: 9.01
User Capacity:    160,041,885,696 bytes
Device is:        Not in smartctl database [for details use: -P showall]
ATA Version is:   6
ATA Standard is:  ATA/ATAPI-6 T13 1410D revision 2
Local Time is:    Tue Apr  8 18:58:44 2008 CEST
SMART support is: Available - device has SMART capability.
SMART support is: Disabled

SMART Disabled. Use option -s with argument 'on' to enable it.
server1:~#

Então SMART está desativado, para habilitá-lo, precisamos de executar o comando novamente com o parâmetro-s em:

server1:~# smartctl -s on -a /dev/hda
smartctl version 5.36 [i686-pc-linux-gnu] Copyright (C) 2002-6 Bruce Allen
Home page is http://smartmontools.sourceforge.net/
=== START OF INFORMATION SECTION ===
Device Model:     ST3160022ACE
Serial Number:    5JS3XTZX
Firmware Version: 9.01
User Capacity:    160,041,885,696 bytes
Device is:        Not in smartctl database [for details use: -P showall]
ATA Version is:   6
ATA Standard is:  ATA/ATAPI-6 T13 1410D revision 2
Local Time is:    Tue Apr  8 18:59:14 2008 CEST
SMART support is: Available - device has SMART capability.
SMART support is: Disabled
=== START OF ENABLE/DISABLE COMMANDS SECTION ===
SMART Enabled.
=== START OF READ SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED
General SMART Values:
Offline data collection status:  (0x82) Offline data collection activity
                                        was completed without error.
                                        Auto Offline Data Collection: Enabled.
Self-test execution status:      (   0) The previous self-test routine completed
                                        without error or no self-test has ever
                                        been run.
Total time to complete Offline
data collection:                 (15556) seconds.
Offline data collection
capabilities:                    (0x5b) SMART execute Offline immediate.
                                        Auto Offline data collection on/off support.
                                        Suspend Offline collection upon new
                                        command.
                                        Offline surface scan supported.
                                        Self-test supported.
                                        No Conveyance Self-test supported.
                                        Selective Self-test supported.
SMART capabilities:            (0x0003) Saves SMART data before entering
                                        power-saving mode.
                                        Supports SMART auto save timer.
Error logging capability:        (0x01) Error logging supported.
                                        General Purpose Logging supported.
Short self-test routine
recommended polling time:        (   1) minutes.
Extended self-test routine
recommended polling time:        ( 111) minutes.
SMART Attributes Data Structure revision number: 10
Vendor Specific SMART Attributes with Thresholds:
ID# ATTRIBUTE_NAME          FLAG     VALUE WORST THRESH TYPE      UPDATED  WHEN_FAILED RAW_VALUE
  1 Raw_Read_Error_Rate     0x000f   059   056   006    Pre-fail  Always       -       163692057
  3 Spin_Up_Time            0x0003   096   096   000    Pre-fail  Always       -       0
  4 Start_Stop_Count        0x0032   100   100   020    Old_age   Always       -       0
  5 Reallocated_Sector_Ct   0x0033   100   100   036    Pre-fail  Always       -       0
  7 Seek_Error_Rate         0x000f   100   253   030    Pre-fail  Always       -       722959
  9 Power_On_Hours          0x0032   100   100   000    Old_age   Always       -       55
10 Spin_Retry_Count        0x0013   100   100   097    Pre-fail  Always       -       0
12 Power_Cycle_Count       0x0032   100   100   020    Old_age   Always       -       37
194 Temperature_Celsius     0x0022   039   046   000    Old_age   Always       -       39
195 Hardware_ECC_Recovered  0x001a   059   056   000    Old_age   Always       -       163692057
197 Current_Pending_Sector  0x0012   100   100   000    Old_age   Always       -       0
198 Offline_Uncorrectable   0x0010   100   100   000    Old_age   Offline      -       0
199 UDMA_CRC_Error_Count    0x003e   200   199   000    Old_age   Always       -       1
200 Multi_Zone_Error_Rate   0x0000   100   253   000    Old_age   Offline      -       0
202 TA_Increase_Count       0x0032   100   253   000    Old_age   Always       -       0
SMART Error Log Version: 1
ATA Error Count: 1
        CR = Command Register [HEX]
        FR = Features Register [HEX]
        SC = Sector Count Register [HEX]
        SN = Sector Number Register [HEX]
        CL = Cylinder Low Register [HEX]
        CH = Cylinder High Register [HEX]
        DH = Device/Head Register [HEX]
        DC = Device Command Register [HEX]
        ER = Error register [HEX]
        ST = Status register [HEX]
Powered_Up_Time is measured from power on, and printed as
DDd+hh:mm:SS.sss where DD=days, hh=hours, mm=minutes,
SS=sec, and sss=millisec. It "wraps" after 49.710 days.
Error 1 occurred at disk power-on lifetime: 28 hours (1 days + 4 hours)
  When the command that caused the error occurred, the device was active or idle.
  After command completion occurred, registers were:
  ER ST SC SN CL CH DH
  -- -- -- -- -- -- --
  84 51 00 5d 4c 85 e0  Error: ICRC, ABRT at LBA = 0x00854c5d = 8735837
  Commands leading to the command that caused the error were:
  CR FR SC SN CL CH DH DC   Powered_Up_Time  Command/Feature_Name
  -- -- -- -- -- -- -- --  ----------------  --------------------
  25 00 00 5d 4c 85 e0 00      05:05:31.855  READ DMA EXT
  25 00 00 5d 4b 85 e0 00      05:05:31.810  READ DMA EXT
  25 00 00 5d 4a 85 e0 00      05:05:31.773  READ DMA EXT
  25 00 00 5d 49 85 e0 00      05:05:31.737  READ DMA EXT
  25 00 00 5d 48 85 e0 00      05:05:31.651  READ DMA EXT
SMART Self-test log structure revision number 1
Num  Test_Description    Status                  Remaining  LifeTime(hours)  LBA_of_first_error
# 1  Short offline       Completed without error       00%        54         -
# 2  Short offline       Aborted by host               80%        54         -
# 3  Short offline       Completed without error       00%        54         -
SMART Selective self-test log data structure revision number 1
SPAN  MIN_LBA  MAX_LBA  CURRENT_TEST_STATUS
    1        0        0  Not_testing
    2        0        0  Not_testing
    3        0        0  Not_testing
    4        0        0  Not_testing
    5        0        0  Not_testing
Selective self-test flags (0x0):
  After scanning selected spans, do NOT read-scan remainder of disk.
If Selective self-test is pending on power-up, resume after 0 minute delay.
server1:~#

Agora que a SMART está ativado, não precisamos de mudar o-s mais, o que significa que agora você pode ligar smartctl como no primeiro exemplo.
Para saber mais sobre smartctl e como ela pode ser usada, dê uma olhada na página smartctl man:


#man smartctl

Utilizando Smartd

Smartctl é um bom instrumento, mas você tem que executá-lo manualmente. Claro, seria bom ter alguns daemon que monitora o nosso disco rígido em intervalos específicos e de registros e / ou nos e-mails se algo está errado com o disco rígido para que possamos reagir antes de ele falhar completamente. Smartd é justamente o que precisamos.

Para utilizar smartd, temos que modificar o / etc / default / smartmontools primeiro e descomente a start_smartd = sim e smartd_opts = "- intervalo = 1800" linhas (definir o intervalo de monitorização para qualquer valor (em segundos) que preferir; 1800 significa 30 minutos):

#vi /etc/default/smartmontools

# Defaults for smartmontools initscript (/etc/init.d/smartmontools)
# This is a POSIX shell fragment

# List of devices you want to explicitly enable S.M.A.R.T. for
# Not needed (and not recommended) if the device is monitored by smartd
#enable_smart="/dev/hda /dev/hdb"

# uncomment to start smartd on system startup
start_smartd=yes

# uncomment to pass additional options to smartd on startup
smartd_opts="--interval=1800"


Avançar é preciso configurar o smartd arquivo de configuração / etc / smartd.conf. Você devia dar uma olhada



#man smartd



para aprender mais sobre as opções disponíveis configuração e também verificar os exemplos que estão no arquivo / etc / smartd.conf.





#vi / etc / smartd.conf



Para o começo da seguinte configuração é bem:



DEVICESCAN -m root -M exec /usr/share/smartmontools/smartd-runner


DEVICESCAN significa que smartd acompanhará todos os discos rígidos que pode encontrar. 


O parâmetro-m indica o usuário ou endereço de e-mail smartd que vai enviar alertas / erros para. 


Por exemplo, para monitorizar apenas / dev / hda e enviar alertas / erros de admin@example.com, 


você pode usar a seguinte configuração vez:


/dev/hda  -m admin@example.com -M exec /usr/share/smartmontools/smartd-runner


Depois, começamos smartd:


#/etc/init.d/smartmontools start


Agora se você dê uma olhada em / var / log / syslog, você deve encontrar as mensagens de inicialização smartd lá:


#tail -n50 /var/log/syslog


[...]

Apr  8 19:12:17 server1 smartd[3731]: smartd version 5.36 [i686-pc-linux-gnu] Copyright (C) 2002-6 Bruce Allen

Apr  8 19:12:17 server1 smartd[3731]: Home page is http://smartmontools.sourceforge.net/


Apr  8 19:12:17 server1 smartd[3731]: Opened configuration file /etc/smartd.conf


Apr  8 19:12:17 server1 smartd[3731]: Drive: DEVICESCAN, implied '-a' Directive on line 22 of file /etc/smartd.conf


Apr  8 19:12:17 server1 smartd[3731]: Configuration file /etc/smartd.conf was parsed, found DEVICESCAN, scanning devices


Apr  8 19:12:17 server1 smartd[3731]: Problem creating device name scan list


Apr  8 19:12:17 server1 smartd[3731]: Device: /dev/hda, opened


Apr  8 19:12:17 server1 smartd[3731]: Device: /dev/hda, not found in smartd database.


Apr  8 19:12:17 server1 smartd[3731]: Device: /dev/hda, is SMART capable. Adding to "monitor" list.


Apr  8 19:12:17 server1 smartd[3731]: Device: /dev/hdc, opened


Apr  8 19:12:17 server1 smartd[3731]: Device: /dev/hdc, packet devices [this device CD/DVD] not SMART capable


Apr  8 19:12:17 server1 smartd[3731]: Monitoring 1 ATA and 0 SCSI devices


Apr  8 19:12:17 server1 smartd[3733]: smartd has fork()ed into background mode. New PID=3733.


Apr  8 19:12:17 server1 smartd[3733]: file /var/run/smartd.pid written containing PID 3733


[...]



Se smartd encontra algo interessante sobre o seu disco rígido ou erros / avisos, que também irá registrar esses eventos, como por exemplo:



Apr  8 19:36:01 server2 smartd[13160]: Device: /dev/hda, SMART Usage Attribute: 194 Temperature_Celsius changed from 36 to 37



Erros e avisos também será enviado para um usuário / endereço de e-mail, se você disse smartd a fazê-lo.



fonte: Smartmontools: http://smartmontools.sourceforge.net



Tradução: José Carlos – http://sixsideweb.blogspot.com

Três maneiras de acessar partições Linux (ext2/ext3) de Windows em dual-boot

Se você tiver um dual-boot do Windows / Linux, você provavelmente conhece o problema: você pode acessar seus arquivos de instalação do Windows enquanto estiver em Linux, mas não o inverso. Este tutorial mostra três maneiras como você pode acessar suas partições Linux (com ou ext3 de arquivos ext2) de dentro do Windows: Explore2fs, DiskInternals Linux Reader, e do Sistema de Arquivos Instalável Ext2 Para Windows. Enquanto as duas primeiras fornecer acesso só de leitura, o Sistema de Arquivos Instalável Ext2 Para o Windows pode ser usado para ler e escrever operações.
Eu não emitir qualquer garantia de que isso irá funcionar com você!

No Windows, abra um navegador e vá para http://www.chrysocome.net/explore2fs. Faça o download do último explore2fs arquivo zip ... para você!

1

…e descompacta-lo. Na nova pasta, você encontrará a explore2fs executável. Dê um duplo clique nele para iniciá-lo:

2

O Explore2fs filebrowser começa, você pode então percorrer as partições Linux e copie e cole os arquivos para a sua partição Windows:

3

DiskInternals Linux Reader


Ir para http://www.diskinternals.com/linux-reader e baixar e instalar o
DiskInternals Linux Reader.

4

Após a instalação, o Linux Reader é iniciado automaticamente e varre seu disco rígido para partições Linux:

5Depois, você pode encontrar suas partições Linux e Windows no Linux Reader (que pode ser parecido com o Windows Explorer):

6Agora você pode navegar em sua partição Linux:

7 Para copiar um arquivo / diretório a partir de uma partição Linux para sua partição Windows, clique com o botão direito sobre o arquivo / pasta e selecione Salvar:

8

Em seguida, selecione a pasta na partição Windows onde você deseja armazenar o arquivo / diretório:

9

O DiskInternals Linux Reader pode ser iniciado a partir do menu iniciar:

10

Sistema de arquivos ext2 para Windows Instalável.

O Sistema de Arquivos Instalável Ext2 Para Windows (que suporta ext2 e ext3!) Pode ser descarregado a partir http://www.fs-driver.org/index.html. Durante a instalação, será pedido que você atribuir uma letra de unidade para o seu partições Linux (por exemplo, L:); você não precisa atribuir uma letra de sua partição swap:

11

Após a instalação, você pode encontrar sua partição Linux (s) no Windows Explorer normal (de acordo com a letra que você atribuiu a ele durante a instalação):

12

Agora você pode navegar e usar sua partição Linux (s) como uma partição normal do Windows.

13

Como mencionado na introdução deste artigo, o Sistema de Arquivos Instalável Ext2 Para o Windows suporta ler e escrever operações sobre as partições Linux. A fim de testar se o apoio escrever realmente funciona, podemos tentar criar uma pasta vazia em uma partição Linux. Clique com o botão direito sobre uma área vazia sobre a partição do Linux e escolha Novo> Pasta:

14

Digite um nome para a nova pasta (por exemplo, teste):

15

Se tudo correr bem, você deve agora ter uma nova pasta na sua partição Linux.

fonte: Falko Timme - http://www.howtoforge.com/

Tradução: José Carlos – http://sixsideweb.blogspot.com

23 novembro 2008

Monitoramento de conexões TCP com tcptrack

Basicamente, é um sniffer tcptrack que irá mostrar as informações sobre as conexões TCP em uma determinada interface. tcptrack vai acompanhar todas as conexões que ocorrem e mostrar as informações em uma interface agradável. Embora se trate de um texto na interface do utilizador, mas é simples e fácil de entender. tcptrack foi embalado em várias distribuições Linux populares. Você pode fazer o download do código fonte a partir da tcptrack site <clique aqui para baixar>.
tcptrack fornece algumas informações úteis para os administradores de cada faixa única ligação aos seus servidores. Eu uso o meu relógio para tcptrack proxy para se certificar de que cada usuário recebe uma apropriados largura de banda, ninguém satura todo o bandiwdth. Ela só me dá um jeito de ver o tráfego. As informações de que dispõe tcptrack são:

     * Fonte endereço e porta

     * Endereço e porta destino

     * Conexão estado

     * Tempo ocioso

     * Utilização de banda


tcptrack também possui um recurso de filtragem, ele usa o pcap filtragem padrão (que é exatamente igual à usada em um tcpdump).
Instalação.
tcptrack instalação é relativamente fácil, sobre o Debian GNU / Linux ou ubuntu você pode simplesmente usar.

#apt-get install tcptrack

Pesquisando em rpmfind.net eu encontrei o meu tem uma correspondência, tcptrack para CentOS. Eu utilizo rpm para RHEL 4. Eu levei o rpm e instalou-la manualmente. Se você quiser usar yum, você tem que habilitar o repositório DAG. Se você quiser construí-lo a partir do código fonte, você pode ler o arquivo INSTALL no pacote ou lê-lo on-line.

Usando tcptrack
Você tem que ser um superusuário para executar tcptrack, o uso da base tcptrack está usando um tal comando:

# Tcptrack-i <networkInterface>

Por exemplo:
# Tcptrack-i eth1

Depois de invocar essa tcptrack um comando será executado, captando todas as conexões TCP, e mostrar-lhe com um fácil de entender interface. Outra opção que pode ser útil se-r eo porto. -r fará tcptrack esperar por um determinado tempo (em segundos) antes que elimina a ligação a partir do ecrã fechado. Por exemplo:


# Tcptrack-i eth0-r 10

porta irá fazer uma filtragem para você baseado no número de porta. Por exemplo:

# Tcptrack-i eth1 porta 22


Pode ler o manual para completar as opções de tcptrack ou lê-lo on-line.

fonte: Muhammad Pangi - http://www.howtoforge.com/tracking_tcp_connectios_with_tcptrack

Tradução: José Carlos – http://sixsideweb.blogspot.com

22 novembro 2008

Como melhorar a segurança do ssh

Sabemos que o ssh é uma forma de acesso remoto razoavelmente segura, bem mais segura que nosso velho conhecido telnet. Error

Entretanto, na net encontram-se disponíveis diversos scripts de "brute force" para tentar se obter acesso pelo ssh, e como não faltam idiotas metidos a crackers para tentarem essas coisas, sempre é bom se cercar de todo o cuidado.

Aqui listarei algumas sugestões coletadas de várias fontes (agradecimentos especiais ao Alejandro Flores, que me deu boas idéias), que ajudam a aumentarmos nossa segurança.

1. Use senhas fortes: Não use senhas fáceis, muito menos pequenas, de preferência assimétricas e sem padrão (nada de "letra numero letra numero ..." ou "numero letra numero letra ...") e faça bom uso dos caracteres como @,#,$,&, ...;

2. Mude a porta do ssh: Só com isso minimizamos problemas com um ataque automatizado, ou ataques de script kiddies que não sabem mudar a porta do ssh no exploit que baixaram da internet. Isso pode ser feito através da opção 'Port' do /etc/ssh/sshd_config.

3. Bloqueie o acesso como usuário root: Assim, evita-se problemas de alguém conseguir quebrar a senha do root e já acessar com plenos poderes. Com isso, o 'atacante' teria que descobrir o login e password de um usuário e depois a senha do root. Isso pode ser feito adicionando 'PermitRootLogin no' no /etc/ssh/sshd_config. 4. Certifique-se de o sshd estar rodando com separação de privilégios: Dessa forma, o sshd cria um processo não privilegiado para tratar as conexões iniciais. Após sucesso na autenticação, cria um outro processo que tem os privilégios necessários. Isso é default no ssh, mas devemos garantir que NÃO exista uma linha com 'UsePrivilegeSeparation no' no /etc/ssh/sshd_config.

5. Permita acesso a apenas um usuário: Isso é possível através da opção 'AllowUsers' do /etc/ssh/sshd_config. Bastaria acrescentar uma linha com 'AllowUsers nome_do_usuario_autorizado_a_logar_via_ssh'.

6. Crie um usuário com o máximo de restrições possíveis e que você só use para o ssh: Exemplos de restrições: - Não o inclua em nenhum outro grupo além do users; - Edite o /etc/ftpusers e acrescente o nome desse usuário. Assim bloqueamos o acesso dele ao ftp. - Evite que ele possa se tornar root (adicione uma linha com 'root:nome_usuario_do_ssh:DENY' no /etc/suauth). Assim, voce deverá se tornar outro usuário e ai sim se tornar root. Exemplo, suponhamos que 'teste' seja o usuario criado para o acesso por ssh, e que 'elcorrea' seja um outro usuário cadastrado na máquina, assim para se tornar root estando logado com teste teríamos que fazer: $ (aqui somos teste)

$ su - elcorrea (aqui nos logamos como usuario elcorrea)

Password: (password do elcorrea)

$ (agora somos elcorrea)

$ su - (aqui nos tornamos root)

Password: (password do root)

# (agora somos root)

Assim, vemos que alguém teria que descobrir dois nomes de usuário e três senhas para conseguir se tornar root.

- Utilize algum programa pós-login para efetuar um 'challenge' para certificar de que você é você mesmo. Essa foi uma grande idéia do Alejandro. O que ele quis dizer é para criarmos um programa ou script que faz uma pergunta, a qual pode ser um gerador de caracteres baseado na hora ou uma simples pergunta de caráter pessoal, que só você saberia responder. E caso o usuário erre ou tente fechar o programa/script (ctrl+c) a sessão é fechada. Um exemplo bem simplista seria:

- Crie (ou edite acrescentando no inicio) um .bash_profile para o usuário do ssh com o seguinte conteúdo:

trap '' SIGINT SIGTERM > ./eu.sh

if [ -e sou_eu.txt ]; then

echo "Acesso Autorizado" rm -f sou_eu.txt

else

echo "Acesso Negado"

logout

fi

trap SIGINT SIGTERM

- Crie um arquivo chamado eu.sh no home do usuário do ssh, com:

#!/bin/bash

echo "Qual a senha do seu cartao?"

read resp

if [ "$resp" == "123456" ]; then

touch sou_eu.txt

fi

E não se esqueça de torna-lo executável: chmod +x eu.sh

7. Se possível, limite os endereços IPs que podem acessar a maquina por ssh: Caso você sempre acesse a máquina através de um número limitado de maquinas, ou então somente internamente a rede, você pode limitar o acesso ao ssh a somente essas maquinas.

Isso pode ser feito de diversas formas, com regras no iptables, através da dupla /etc/hosts.allow e /etc/hosts.deny, e, o que eu acho mais fácil, através da opção AllowUsers na forma user em host.

Assim, suponhamos que eu sempre acesso a maquina remotamente através de uma máquina de IP 10.0.0.5 e que eu criei o usuário 'teste' para acesso por ssh, assim eu acrescentaria uma linha com 'AllowUsers teste em 10.0.0.5' no /etc/ssh/sshd_config, e limitaria o acesso a apenas esse usuário e de apenas essa maquina.

Se você não pode limitar os endereços, por qualquer razão, é bom utilizar um script que detecte uma tentativa de acesso por brute force e que bloqueie o IP do atacante. Veja também um script desse tipo (http://www.vivaolinux.com.br/scripts/verFonte.php?codigo=656&arquivo=dtct), criado pelo Mastah

listado abaixo:

#!/bin/bash

# Shellscript criado para bloquear os corriqueiros bruteforce probes

# feitos para a porta do ssh. Pega as ultimas 20 tentativas ilegais na porta do ssh.

# Verifica se você já bloqueou o mané e se você quer adicionar na regra do iptables.

# Caso queira usar no crontab, é só mudar o valor da var $MODE pra "AUTO"...

# Abraços, Mastah

MODE="AUTO"

#MODE="MANUAL"

if [ -f /var/log/messages ] ; then

ips=$(cat -n /var/log/messages | tail -n 20 | grep -i Illegal | grep -i sshd | awk -F" " {'print $11'})

attempts=1

for ip in $ips ; do

lastip=$ip

if [ "$lastip" == "$ip" ] ; then

attempts=$(expr $attempts + 1)

if [ $attempts -ge 5 ] ; then

echo "Brute force SSHD attack detected from $ip"

attempts=1

lastip=""

blocked=$(iptables -L INPUT | grep -i $ip | grep -i DROP)

if [ "$blocked" ] ; then

echo " Ip Already Blocked. Continuing with scan"

echo " "

else

if [ $MODE == "MANUAL" ] ; then

echo "Do You Want to add this IP to INPUT DROP in IPTABLES rules? (y/n)"

read resp

if [ "$resp" == "y" ] ; then

iptables -A INPUT -s $ip -j DROP

echo "IP $ip ADDED TO IPTABLES INPUT DROP ruleset"

echo " "

fi

else

iptables -A INPUT -s $ip -j DROP

echo " IP $ip ADDED TO IPTABLES INPUT DROP ruleset"

echo " "

fi

fi

fi

fi

done

fi

Assim, utilizando apenas algumas dessas dicas já aumentamos enormemente a nossa segurança.

Caso não tenha ficado claro, todas as alterações mencionados aqui devem ser feitas na maquina que será acessada remotamente.

fonte: Dical

17 novembro 2008

Escrever em partições NTFS com o NTFS-3g

O suporte a escrita em partições NTFS sempre foi um problema no Linux. Isto era um grande problema para quem mantinha o Windows em dual-boot, pois era possível apenas ler os arquivos da partição.

Mas, felizmente tudo isso é coisa do passado. O NTFS-3g pode ser considerável o primeiro driver de escrita em partições NTFS for Linux realmente utilizável, finalmente oferecendo uma solução simples para o antigo problema.

O primeiro passo é carregar o módulo do Fuse, usando o modprobe. Ele está disponível em qualquer distribuição minimamente atual:

# modprobe fuse

Use o comando abaixo para adicioná-lo no arquivo “/etc/modules” (como root), de forma a garantir que ele vai ser carregado durante o boot:

# echo “fuse” >> /etc/modules

Agora você precisa instalar os pacote “libfuse” (ou “libfuse2″) e “fuse-utils”, necessários para que o ntfs-3g funcione. Uma dica, é que antes de instalar esses pacotes, você mude seu repositório stable para o testing. Porque ele vai baixar esses pacotes mais atuais, que vão ser necessário para instalar o ntfs-3g. Se você não fizer isso, quando você for instalar o ntfs-3g, ele vai reclamar que alguns pacotes foram baixados e instalados na sua máquina são versões inferiores a que ele necessita.

Exemplo: Para trocar o repositório.

é só trocar a palavra stable pela testing.

deb http://ftp.us.debian.org/debian/ stable main contrib non-free

deb http://ftp.us.debian.org/debian/ testing main contrib non-free

Feito isso, agora é atualizar e depois instalar o fuse:

# apt-get update

# apt-get install libfuse2 fuse-utils

Agora faça o download do Ntfs-3g:

http://http.us.debian.org/debian/pool/main/n/ntfs-3g/ntfs-3g_1.1004-1_i386.deb

Depois de baixado, agora vamos instalar;

# dpkg -i ntfs-3g_1.1004-1_i386.deb

Caso apareça alguma mensagem dizendo que não existe o libntfs-3g13, como o meu deu. Você pode instalar com:

# apt-get install libntfs-3g13

Pronto, agora vamos adicionar este comando no seu /etc/fstab:

# /dev/hda1 /mnt/hda1 ntfs-3g silent,locale=pt_BR.iso88591,umask=000 0 0

  • silent -> Para não recebe uma mensagem chata (para cada arquivo copiado) dizendo que não é possível modificar as permissões do arquivo.
  • umask=000 -> Dar permissão de acesso para todos os usuários.
  • locale -> Rode o comando “locale -a” no terminal para verificar qual é a linguagem e conjunto de caracteres usado na sua instalação. Normalmente, ao instalar o sistema em Português do Brasil, será usado o “pt_BR.iso88591″.

Pronto agora é só digitar:

# mount -a

e ir a pasta onde você montou para ver os arquivos do windows.

fonte: Anônimo

 

Construa sua Marca pessoal! Seja diferente e fature com isso

O que Bill Gates, Steve Jobs e Linux Torvalds têm em comum? Além de estarem todos ligados à área de informática, tornaram-se lendários e aliaram seus nomes, respectivamente, ao Windows, à Apple e ao Linux. Claro, nem todo mundo pode ser um Bill Gates, mas cada profissional precisa e deve cuidar de sua carreira, estando ele muito bem empregado ou “se virando” por conta própria. Nas situações decisivas quem tem mais nome e respeito leva vantagem, e esta vantagem pode ser a diferença entre você ser famoso e bem remunerado, ou tornar-se um profissional qualquer, como tantos outros que estão por aí. Por isto é que dizemos:

Construa sua Marca Pessoal! Seja diferente e fature com isto.

Não importa qual seja sua área de atuação profissional. Fique atento, pois nas últimas décadas o mundo do trabalho mudou! Quantas vezes ouvimos ou lemos notícias sobre reengenharia, downsizing, redução de níveis hierárquicos ou terceirização?

Há alguns anos, era comum que as pessoas tivessem um só emprego durante toda a sua vida. Quem trocava constantemente de emprego era mal visto pelas empresas. Quem tinha vários registros profissionais em sua carteira de trabalho sabia que tinha a “carteira suja”, ou seja, ela mostrava que a pessoa era pouco comprometida com as empresas nas quais tinha trabalhado. Hoje, não apenas é comum mas até recomendável que a pessoa tenha várias experiências profissionais.

Note que esta mudança não é verdadeira só para áreas operacionais. Estudos recentes mostram que 90% dos empregos de “colarinho branco”, ou seja, ligados às áreas administrativas, desaparecerão ou serão reconfigurados nos próximos anos. E como funciona este novo mundo?

Como o profissional mudará de empresa diversas vezes durante sua carreira, é importante que crie uma boa imagem em seu mercado, imagem esta que vai servir de referencial para as empresas que o contratarão. Neste novo mundo, o profissional é tão bom quanto seu último projeto. Em outras palavras, ou o profissional cresce ou... desaparece.

A carreira agora depende das habilidades e competências do profissional. Ele tem que agir e pensar como um empreiteiro independente, que precisa construir uma reputação, ou seja, precisa deixar sua MARCA em todo projeto que participou, muito mais ainda, se coordenou o projeto. E não pense em “projeto” apenas como coisas grandes, muito pelo contrário.

Você foi contratado, digamos, para consertar o micro de alguém. Faça um serviço bem feito, entenda qual é a necessidade da pessoa, resolva o problema da melhor forma possível e explique tudo o que fez. No futuro, a pessoa vai certamente lembrar de você e procurá-lo novamente, pois ficou com uma boa impressão, e vai também recomendá-lo para outros possíveis clientes.

Em em projetos maiores? Digamos que você está participando de um grupo que desenvolve softwares para determinada empresa. Você deve ser participativo, entender qual é a necessidade da empresa, fazer sua parte no projeto pensando no conjunto, dando idéias e brigando pela empresa que, no final das contas, é quem está pagando tudo isto. E igualmente vai saber reconhecer seu trabalho ou, no mínimo, seus colegas de equipe vão conhecê-lo e procurar trabalhar consigo no futuro, pois aprenderam a confiar em seu trabalho e discernimento.

Os novos tempos do emprego

Neste novo mundo do relacionamento profissional, significa então que a segurança no emprego acabou? Do modo como foi conhecida no passado, sim! Mas uma segurança no emprego que é realmente MUITO antiga está de volta.

Ela é baseada em um tripé:

Relacionamento – O profissional precisa construir uma rede de relacionamentos e contar com o apoio informal dos parentes, conhecidos e amigos. Esta rede é fundamental para um sistema de ajuda mútua, e para que as melhores oportunidades nem venham a público. Lembre-se, as grandes oportunidades de emprego ou de negócios só são conhecidas depois que alguém já está lá. Você tem que chegar antes.

Competência – O profissional precisa ter conhecimentos, habilidades e atitude, ou seja, competências que sejam comercializáveis.

Diferenciação – O profissional precisa se destacar dos outros. Precisa ter alguma coisa que o faça ser lembrado, por ser diferente e incomum. Pode ser, por exemplo, sua competência, sua fala exata e precisa ou, dependendo do ramo, sua aparência física e a forma de se expressar. Cada um tem que achar seus pontos fortes e realçá-los no ambiente de trabalho.

Em outras palavras, resumindo este tripé, significa que o profissional precisa construir uma MARCA PESSOAL que o destaque dos concorrentes e que aumente o seu valor no mercado.

No mundo publicitário uma marca é um nome, termo, signo, símbolo ou logotipo que tem a função de identificar a promessa de benefícios associada a bens e serviços, e aumenta o valor de um produto além de seu propósito funcional.

Um pequeno exemplo: o material e a mão-de-obra necessários para fazer uma calça jeans são sempre os mesmos. Qualquer fabriquinha pode juntar alguns metros de tecido a um zíper, botões, linha e algumas horas de trabalho de uma boa costureira. Mas, enquanto uma calça jeans sem marca pode ser comprada por R$15,00 em lojas de comércio popular, uma calça semelhante, mas feita por uma grife famosa, chega a ser vendida por R$ 3.000 em lojas chiques.

E o que diferencia uma da outra? A marca. O propósito funcional, ou seja, vestir a pessoa é atendido por ambas as calças. Mas a marca amplia este propósito. Ela também serve para demonstrar status e poder de compra.

E uma pessoa, pode ser uma “marca”? Claro que sim. Pense nos nomes que citamos e em tantos outros que viraram verdadeiras grifes. O valor de um produto aumenta simplesmente por ter o nome de uma destas pessoas ligado a ele. Uma marca pessoal é um sinal de confiança, que atinge emoções e emoções orientam nossas decisões.

Construindo e destruindo sua marca

Sua marca pessoal tanto tem a ver com quem você é com quem você NÃO é. Têm a ver tanto com as coisas positivas que você faz e que agregam valor a seu nome, quanto com as coisas NEGATIVAS que diminuem seu valor.

Exemplo disto, público e notório: em 1993 o jogador “Ronaldo fenômeno” foi vendido para o Cruzeiro de Minas Gerais por R$25 mil. Em 1994 o time holandês PSV pagou US$ 6 milhões pelo seu passe. Já em 1996 o Barcelona da Espanha pagou US$20 milhões pelo jogador e o vendeu apenas um ano depois para a Inter de Milão por US$32 milhões. Em 2002 o Real desembolsou EU$45 milhões para ter o craque. Sem falar nas empresas que pagaram milhões para tê-lo como garoto propaganda.

E agora, depois dos últimos episódios da vida de Ronaldinho, quanto será que vale seu passe? O quanto o episódio com os travestis e sua vida amorosa conturbada tiraram do seu valor de mercado? Com certeza, hoje ele vale bem menos do que já valeu.

Em muitas profissões, a construção de uma marca pessoal já é algo muito comum, e está ligada a competência e a maestria, ou seja, a excelência deste profissional. Esperamos maestria de um neurocirurgião, de um músico, de um jogador, de um ator, de um engenheiro e de um técnico. Se estes profissionais não deixarem sua marca de excelência em cada um dos trabalhos que fazem, com certeza não serão bem sucedidos profissionalmente e não conseguiram novos clientes ou fãs.

E por que não buscamos desenvolver esta maestria nas nossas ações pessoais? Por que não pensamos em construir e deixar nossa marca em cada uma das atividades que fazemos no nosso cotidiano?

Pense nisso. Invista em você. Estude, divulgue-se, deixe sua marca e acelere sua carreira!

Fonte: Revista PNP – http://www.revistapnp.com.br

Recuperando senha de Root no servidor Linux

Caros amigos leitores,

Quem já não esqueceu a senha do root do seu sistema operacional LINUX???

Tem pessoas que de forma drástica, já reinstalam o sistema operacional novamente, por apenas perder a senha do root.

Estarei demonstrando como você deve fazer para recuperar seu usuário root. Sem que tenha que refazer trabalhos de instalação.

Mãos a massa:

  1. Primeiro consiga faça um download de um Linux Live (Ubuntum, Gentoo, Kurumin, etc.).
  2. Crie um cd do download.
  3. Inicialize o sistema pelo cd de boot Live de sua escolha.
  4. Após o Live estiver estabelecido todo seu processo. Escolha a abertura de um terminal do Linux.
  5. Monte o volume do Hardisk onde encontra-se instalado o sistema do Linux.
    # mkdir –p /mnt/rescue (sugestão de criação de pasta)
    # mount –t ext3 /dev/hda1 /mnt/rescue (usei o ext3 e o /dev/hda1, como sugestão)
  6. Entre no volume que esta montado o Hardisk.
    # cd /mnt/rescue
  7. Mude o diretório raiz do Linux.
    # chroot . (após o chroot utilize o ponto).
  8. Altere a senha do root.
    # passwd root
  9. Reinicie o sistema e remova o disco Live.

Pronto a senha do root esta alterada.

Ate o próximo post…

Permissões de Compartilhamento e NTFS

Segurança, sem dúvidas, é um dos temas mais debatidos hoje, no mundo da informática. Nesse tutorial vou apresentar algumas opções do Windows 2000 (e também do Windows XP Professional) que ajudam a manter os seus arquivos mais protegidos, longe do alcance de intrusos.
Trataremos sobre as permissões de compartilhamento e também permissões NTFS. Veremos como a correta configuração dessas permissões pode tornar o acesso aos seus arquivos bem mais seguro e protegido, com o acesso permitido apenas para os usuários habilitados através das permissões. É importante salientar que com o Windows 95/98 ou Me não existe como configurar permissões de acesso, ou seja, não temos como proteger os arquivos do computador. Qualquer pessoa que tenha acesso ao computador poderá ligá-lo e acessar, alterar ou excluir qualquer arquivo que esteja no disco rígido. Com as permissões NTFS do Windows 2000 (e também do Windows XP Professional) podemos resolver esse problema.
Neste tutorial veremos como compartilhar uma Pasta, disponibilizando o seu conteúdo, para que seja acessado através da rede. Também aprenderemos a atribuir permissões de segurança – permissões NTFS, para que somente usuários autorizados possam acessar as pastas compartilhadas. Veremos alguns detalhes importantes sobre Sistemas de Arquivos suportados pelo Windows 2000 Server.
Compartilhando Pastas e Definição de Permissões - Teoria.
Primeiro vamos ver alguns detalhes sobre compartilhamento de pastas e permissões de compartilhamento.
Quando compartilhamos uma pasta, estamos permitindo que o seu conteúdo seja acessado através da rede. Quando uma pasta é compartilhada, os usuários podem acessá-la através da rede, bem como o todo o conteúdo da pasta que foi compartilhada. Por exemplo, poderíamos criar uma pasta compartilhada onde seriam colocados documentos, orientações e manuais, de tal forma que estes possam ser acessados por qualquer estação conectada a rede.
Ao compartilharmos uma pasta todo o conteúdo dessa pasta passa a estar disponível para ser acessada através da rede. Todas as subpastas da pasta compartilhada também estarão disponíveis para acesso através da rede. Considere o exemplo da Figura 1. Se a pasta C:\Documentos for compartilhada, todo o seu conteúdo e também o conteúdo das subpastas C:\Documentos\Ofícios e C:\Documentos\Memorandos estarão disponíveis para acesso através da rede.
Porém quando uma pasta é compartilhada, não significa que o seu conteúdo deva ser acessado por todos os usuários da rede. Podemos restringir o acesso, de tal maneira que somente usuários autorizados tenham acesso à pasta compartilhada, isso é feito através de
"Permissões de compartilhamento".



Figura 1 Ao compartilhar uma pasta, todo o seu conteúdo estará disponível.

Com o uso de permissões, podemos definir quais os usuários poderão acessar o conteúdo da pasta compartilhada. Para isso, é criada uma lista com o nome dos usuários e grupos que terão permissão de acesso. Além disso é possível limitar o que os usuários com permissão de acesso podem fazer. Pode haver situações em que alguns usuários devam ter permissão apenas para ler o conteúdo da pasta compartilhada, podem haver outras situações em que alguns usuários devem ter permissão de leitura e escrita, enquanto outros devem ter permissões totais, tais como leitura, escrita e até exclusão de arquivos.
Na Figura 2, temos um exemplo, em que o grupo Gerentes possui permissões de "Controle total", enquanto o grupo "Usuários" possui permissões apenas para leitura.



Figura 2 Grupos diferentes com permissões diferentes.


Conforme pode ser visto na Figura 2, o Windows 2000 Server indica que uma pasta está compartilhada através da figura de uma "mãozinha" , segurando a pasta.
IMPORTANTE: As permissões definem o que o usuário pode fazer com o conteúdo de uma pasta compartilhada, desde somente leitura, até um controle total sobre o conteúdo da pasta compartilhada.
Na seqüência desse tutorial aprenderemos a compartilhar uma pasta e atribuir permissões de acesso.
JAMAIS ESQUEÇA O SEGUINTE DETALHE: Permissões de compartilhamento, não impedem o acesso ao conteúdo da pasta localmente, isto é, se um usuário fizer o logon no computador onde está a pasta compartilhada, este usuário terá acesso a todo o conteúdo da pasta, a menos que as "Permissões NTFS" estejam configurados de acordo. Permissões NTFS é assunto para daqui a pouco. Vamos falar de um jeito diferente: Permissões de compartilhamento somente tem efeito quando o usuário está acessando a pasta através da rede, para acesso local, no próprio computador onde está a pasta, as permissões de compartilhamento não tem nenhum efeito, é como se não existissem.
Ao criarmos um compartilhamento em uma pasta, por padrão o Windows 2000 Server atribui a permissão "Controle total" para o grupo "Todos", que conforme o nome sugere, significa qualquer usuário com acesso ao computador, seja localmente, seja pela rede. Por isso ao criar um compartilhamento, já devemos configurar as permissões necessárias, a menos que estejamos compartilhando uma pasta de domínio público, onde todos os usuários possam ter Controle total sobre os arquivos e subpastas da pasta compartilhada..
Existem três níveis de permissões de compartilhamento, conforme descrito a seguir:

  • Leitura: Permite ao usuário exibir a listagem de pastas e arquivos, ler o conteúdo de arquivos e executar programas. O usuário também pode verificar os atributos dos arquivos e navegar através das pastas e subpastas. O usuário não pode alterar nem eliminar arquivos ou pastas. Também não é permitido criar novos arquivos ou pastas.
    OBS.: Pastas e arquivos possuem atributos, que o Windows 2000 Server utiliza para gerenciamento. Por exemplo, existe um atributo "Leitura", que uma vez marcado torna o arquivo somente leitura, isto é, não podem ser feitas alterações no arquivo. Para ver os atributos de um arquivo ou pasta, basta dar um clique com o botão direito do mouse sobre o arquivo ou pasta, e no menu que surge dê um clique na opção "Propriedades", e o Windows 2000 Server exibe uma janela onde é possível verificar e modificar os atributos do arquivo ou pasta, desde que o usuário tenha as devidas permissões.
  • Alteração: Permite ao usuário criar pastas, criar novos arquivos, alterar arquivos, alterar os atributos dos arquivos, eliminar arquivos e pastas, mais todas as ações para a permissão de Leitura. Não permite que sejam alteradas permissões dos arquivos nem alterações no usuário "dono" dos arquivos e pastas.
    OBS.: No Windows 2000 Server, objetos como pastas e arquivos possuem um "dono", o qual normalmente é o usuário que cria a pasta ou arquivo. Falaremos mais sobre o dono do arquivo mais adiante.
    Controle total: Permite ao usuário alterar as permissões dos arquivos e tornar-se dono de pastas e arquivos criados por outros usuários, além de todas as ações para a permissão Alteração.
  •  

    As permissões de compartilhamento Leitura, Alteração e Controle total, podem ser Permitidas ou Negadas. Vamos considerar um exemplo prático. Vamos supor que todos os usuários do grupo Gerentes deve ter acesso de Leitura a uma pasta compartilhada, com exceção de um gerente cuja conta de usuário é jsilva. Para simplificar a atribuição de permissões fazemos o seguinte:

     

  • Permissão de Leitura para o grupo Gerentes – Permitir
  • Permissão de Leitura para o usuário jsilva – Negar
  • Com isso todos os usuários do grupo Gerentes terão permissão de leitura, com exceção do usuário "jsilva", o qual teve a permissão de leitura negada.
    Outra recomendação é que sempre devemos atribuir permissões para grupos de usuários, ao invés de atribuir para usuários individuais, pois isso facilita a administração. É a famosa estratégia AGLP – Account -> Global -> Local -> Permission. Em um dos próximos tutoriais irei detalhar a estratégia AGLP.
    O que acontece quando um usuário pertence a mais de um grupo??
    Quando um usuário pertence, por exemplo, a dois grupos e os dois grupos recebem permissão para acessar um compartilhamento, sendo que os dois grupos possuem permissões diferentes, por exemplo, um tem permissão de Leitura e o outro de Alteração, como é que ficam as permissões do usuário que pertence aos dois grupos?
    Para responder a esta questão, considere o seguinte: "Quando um usuário pertence a mais de um grupo, cada qual com diferentes níveis de permissões para uma pasta compartilhada, o nível de permissão para o usuário que pertence a mais de um grupo, é a combinação das permissões atribuídas aos diferentes grupos".
    No nosso exemplo, o usuário pertence a dois grupos, um com permissão de somente leitura e outro com permissão de alterações. A nível de permissão do usuário é de alterações, pois é a soma das permissões dos dois grupos, conforme indicado na Figura 3.



    Figura 3 Usuário que pertence a mais de um grupo.
    Negar têm precedência sobre quaisquer outras permissões: Vamos considerar o exemplo do usuário que pertence a três grupos. Se em um dos grupos ele tiver permissão de leitura e em outro grupo permissão de alteração. Mas se para o terceiro grupo, for "negado" o acesso à pasta compartilhada, o usuário terá o acesso negado, uma vez que "Negar" tem precedência sobre quaisquer outras permissões, conforme indicado pela Figura 4.



    Figura 4 Negar tem precedência sobre permitir.
    IMPORTANTE: Quando copiamos uma pasta compartilhada, a pasta original permanece compartilhada, porém a cópia não é compartilhada. Quando movemos uma pasta compartilhada, esta deixa de ser compartilhada.
    Algumas orientações para a criação de pastas compartilhadas:

  • Todo compartilhamento, obrigatoriamente, deve ter um nome, para que ele possa ser acessado pela rede, conforme veremos mais adiante. O nome do compartilhamento pode ser diferente do nome da pasta. Uma recomendação importante é para que seja escolhido um nome descritivo do conteúdo da pasta, de tal maneira que esta seja mais facilmente localizada na rede. Você não colocaria um nome "Projetos" em uma pasta com documentos contábeis? Após compartilhada, a pasta passa a ter um caminho na rede. O caminho segue o padrão UNC –Universal Name Convection. No padrão UNC, um caminho e formado por duas barras invertidas, depois o nome do computador, mais uma barra invertida e, por último, o nome do compartilhamento. Por exemplo, o caminho UNC da pasta Documentos, compartilhada no servidor SRV01 é o seguinte: \\SRV01\Documentos; o caminho da pasta Projetos (nome de compartilhamento), compartilhada no servidor SRV02 é o seguinte: \\SRV02\Projetos e assim por diante.
  • Organize os recursos, de tal maneira que todos os pastas que devam ser acessadas pelo mesmo grupo de usuários, com o mesmo nível de permissão, estejam dentro da mesma pasta compartilhada. Por exemplo, se você possui sete pastas com documentos e programas, os quais devem ser acessados pelos grupos Contabilidade e Marketing. Coloque estas pastas dentro de uma pasta principal e compartilhe a pasta principal, ao invés de criar sete compartilhamentos individuais.
  • Configure o nível de permissão mínimo necessário para que os usuários realizem o seu trabalho. Por exemplo se os usuários precisam apenas ler os documentos em uma pasta compartilhada, atribua permissão de Leitura e não de Alteração ou Controle total.
  • Sempre que possível, atribua permissões para grupos de usuários e não para usuários individuais, pois isso facilita a administração das permissões.
  • Determine quais grupos necessitam acesso a quais pastas compartilhadas e com quais níveis de permissão. Documente bem todo esse processo, para que você possa ter um bom controle sobre os recursos compartilhados e as permissões atribuídas.
  •  

    Sistemas de Arquivos e Permissões NTFS - Teoria
    Agora vamos ver alguns detalhes sobre os sistemas de arquivos que o Windows 2000 Server reconhece e também sobre permissões NTFS.
    Um sistema de arquivos determina a maneira como o Windows 2000 Server organiza e recupera as informações no Disco rígido ou em outros tipos de mídia. O Windows 2000 Server reconhece os seguintes sistemas de arquivos:

  • FAT
  • FAT32
  • NTFS
  • NTFS 5
  •  

    O sistema FAT vem desde a época do bom e velho MS-DOS e tem sido mantido por questões de compatibilidade. Além disso se você tiver instalado mais de um Sistema Operacional no seu computador, alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras versões do Windows 95) somente reconhecem o sistema FAT. Com o sistema de arquivos FAT, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada, é através das permissões de compartilhamento, as quais, conforme descrito anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na máquina onde a pasta foi criada. Com a utilização do sistema FAT, alguns recursos avançados, tais como compressão, criptografia, auditoria e definição de cotas não estarão disponíveis.
    O sistema FAT32 apresenta algumas melhorias em relação ao sistema FAT. Existe um melhor aproveitamento do espaço no disco, com conseqüente menor desperdício. Um grande inconveniente do sistema FAT32 é que ele não é reconhecido pelo Windows NT 4.0 – Server ou Workstation. Com o sistema de arquivos FAT32, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada, é através das permissões de compartilhamento, as quais, conforme descrito anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na máquina onde a pasta foi criada. Com a utilização do sistema FAT32, alguns recursos avançados, tais como compressão, criptografia, auditoria e definição de cotas não estarão disponíveis.
    O sistema de arquivos NTFS é utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000 Server por questões de compatibilidade. É um sistema bem mais eficiente do que FAT e FAT32, além de permitir uma série de recursos avançados, tais como:

  • Permissões de acesso para arquivos e pastas
  • Compressão
  • Auditoria de acesso
  • Partições bem maiores do que as permitidas com FAT e FAT32
  • Desempenho bem superior do que com FAT e FAT32
  • Uma das principais vantagens do NTFS é que ele permite que sejam definidas permissões de acesso para arquivos e pastas, isto é, posse ter arquivos em uma mesma pasta, com permissões diferentes para usuários diferentes. Além disso, as permissões NTFS têm efeito localmente, isto é, mesmo que o usuário faça o logon no computador onde um determinado arquivo existe, se o usuário não tiver as permissões NTFS necessárias, ele não poderá acessar o arquivo. Isso confere um alto grau de segurança, desde que as permissões NTFS sejam configuradas corretamente.
    No Windows 2000 Server, temos também o NTFS 5, o qual apresenta diversas melhorias em relação ao NTFS, tais como:

  • Criptografia de arquivos e pastas: (a criptografia é uma maneira de "embaralhar" a informação de tal forma que mesmo que um arquivo seja copiado, ele se torna ilegível, a não ser para a pessoa que possui a "chave" para descriptografar o arquivo).
  • Cotas de usuário: Com o uso de cotas é possível limitar o espaço em disco que cada usuário pode utilizar.
  • Gerenciamento e otimização melhorados.
  • Nota: Um inconveniente do NTFS 5 , é que ele não é reconhecido pelas versões anteriores, tais como o Windows NT Server 4.0.
    Conforme descrito anteriormente, podemos definir permissões de acesso a nível da pasta ou arquivo, mas somente em unidades formatadas com o sistema de arquivos NTFS (seja na versão do NT Server 4.0 ou o NTFS 5 do Windows 2000 Server). Por isso que é aconselhável instalar o Windows 2000 Server sempre em unidades formatadas com NTFS, pois isso melhora a segurança.
    Com relação as permissões NTFS, temos um conjunto diferente de permissões quando tratamos de pastas ou arquivos. Nas Tabelas 1(para pastas) e 2 (para arquivos) , são apresentadas as permissões e o nível de acesso para cada uma delas.
    Tabela 1 Permissões NTFS para pastas

    Permissão
    Nível de Acesso

    Leitura
    Permite ao usuário listar as pastas e arquivos dentro da pasta, permite que sejam exibidas as permissões, donos e atributos.

    Gravar
    Permite ao usuário criar novos arquivos e subpastas dentro da pasta, alterar os atributos da pasta e visualizar o dono e as permissões da pasta.

    Listar
    Conteúdo de pastas Permite ao usuário ver o nome dos arquivos e subpastas

    Ler e executar
    Permite ao usuário navegar através das subpastas para chegar a outras pastas e arquivos, mesmo que o usuário não tenha permissão de acesso às pastas pelas quais está navegando, além disso possui os mesmos direitos que as permissões Leitura e Listar Conteúdo de pastas.

    Modificar
    Permite ao usuário eliminar a pasta, mais todas as ações permitidas pela permissão Gravar e pela permissão Ler e executar.

    Controle total
    Permite que sejam alteradas as permissões, permite ao usuário tornar-se dono da pasta, eliminar subpastas e arquivos, mais todas as ações permitidas por todas as outras permissões NTFS.

    Tabela 2 Permissões NTFS para arquivos.

    Permissão
    Nível de Acesso

    Leitura
    Permite ao usuário ler o arquivo, permite que sejam exibidas as permissões, dono e atributos.

    Gravar
    Permite ao usuário gravar um arquivo com o mesmo nome sobre o arquivo, alterar os atributos da pasta e visualizar o dono e as permissões da pasta.

    Ler e executar
    Permite ao usuário executar aplicativos (normalmente programas .exe, .bat ou .com), mais todas os direitos da permissão Leitura.

    Modificar
    Permite ao usuário modificar e eliminar o arquivo, mais todas as ações permitidas pela permissão Gravar e pela permissão Ler e executar.

    Controle total
    Permite que sejam alteradas as permissões, permite ao usuário tornar-se dono do arquivo, mais todas as ações permitidas por todas as outras permissões NTFS.

    Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma "Lista de controle de acesso (Access control list) – ACL. Nessa ACL ficam uma lista de todas as contas de usuários e grupos para os quais foi garantido acesso para pasta/arquivo, bem como o nível de acesso de cada um deles.
    Existem alguns detalhes que devemos observar sobre permissões NTFS:

  • Permissões NTFS são cumulativas, isto é , se um usuário pertence a mais de um grupo, o qual tem diferentes níveis de permissão para um recurso, a permissão efetiva do usuário é a soma das permissões.
  • Permissões NTFS para um arquivo têm prioridade sobre permissões NTFS para pastas: Por exemplo se um usuário têm permissão NTFS de escrita em uma pasta, mas somente permissão NTFS de leitura para um arquivo dentro desta pasta, a sua permissão efetiva será somente a de leitura, pois a permissão para o arquivo tem prioridade sobre a permissão para a pasta.
  • Negar uma permissão NTFS tem prioridade sobre permitir: Por exemplo, se um usuário pertence a dois grupos diferentes. Para um dos grupos foi dado permissão de leitura para um arquivo e para o outro grupo foi Negada a permissão de leitura, o usuário não terá o direito de leitura, pois Negar tem prioridade sobre Permitir.
  • Agora que já vimos a teoria necessária, vamos praticar um pouco. Nos próximos tópicos iremos aprender a compartilhar pastas, atribuir permissões de compartilhamento. Iremos aprender a acessar pastas compartilhadas através da rede. Depois vamos trabalhar um pouco com as permissões NTFS. Veremos como atribuir permissões NTFS e testar uma série de situações práticas.

    fonte: Julio Battisti - http://www.juliobattisti.com.br