Uso apt/apt-get no Red Hat

Colaboração: Cleymone Ribeiro dos Santos <<cleymone (a) las ic unicamp br>>

É provável que a grande maioria de usuários Red Hat já tenha tido problemas de dependências, ao instalar/atualizar/remover um novo pacote em sua distribuição Red Hat. Existe um gerenciador de pacotes, que foi portado das ferramentas apt do Debian para distribuições baseadas em RPM. APT é um sistema gerenciador de pacotes. apt-get é uma ferramenta de linha de comando para manipular pacotes, permitindo instalação, atualização e remoção dos mesmos. As dependências são automaticamente resolvidas, de modo que ao instalar um pacote que precisa de outros, ele baixará todos os pacotes necessários e os instalará.

Passos:

• baixar o pacote apt do site http://apt.freshrpms.net/

   

• instalá-lo na sua máquina:

   

   rpm -ivh apt-versão-correta-para-minha-distribuição.rpm 

   

• se houver proxy em sua rede, edite o arquivo /etc/apt/apt.conf. Exemplo para http e ftp:

   

   Acquire { Retries "0"; http { proxy "http://LOCAL-PROXY:PORT"; }; ftp { proxy "ftp://LOCAL-PROXY:PORT"; passive "true"; proxy::passive "true"; }; } 

  Substitua os campos LOCAL-PROXY e PORT para valores de seu proxy.

   

• editar o arquivo /etc/apt/sources.list, tire os comentários das linhas correspondentes a sua versão do RedHat.

Pode também adicionar novas linhas relevantes para sua distribuição. O formato de cada entrada neste arquivo é:

 tipo uri distribuição componente1 componente2 componente3 

 

Exemplo:

 rpm ftp://apt-rpm.tuxfamily.org/apt redhat/7.3/en/i386 os updates extra 

 

 rpm-sr ftp://apt-rpm.tuxfamily.org/apt redhat/7.3/en/i386 os updates extra 

 

Esta informação é obtida nos sites que são "APT enabled", ou seja, oferecem pacotes em repositórios apt. Importante: Red Hat não disponibiliza seus pacotes através do utilitário apt.

Procure no http://freshrpms.net/ por outros sites, que ofereçam pacotes em repositórios apt.

• executar o comando "apt-get update"

obs.: em algumas versões precisa executar 2 vezes este comando, pois tem um bug

Este comando serve para atualizar a base de dados particular do apt, sobre quais pacotes estão instalados, quais não estão e quais estão disponíveis para instalação. O programa apt-get usa esta base, para encontrar como instalar pacotes pedidos pelo usuário e pacotes adicionais, que são necessários para o pacote pedido funcionar apropriadamente. Todas as vezes que o arquivo /etc/apt/sources.list for modificado, execute este comando para o APT obter a lista de pacotes do "source" que vc especificou. Este comando criará sua base no diretório /var/state/apt/lists/.

• executar "apt-get upgrade" para atualizar todos os pacotes que são automaticamente atualizáveis

   

• executar "apt-get install packagename" para instalar/atualizar os pacotes específicos.

   

• executar "apt-get remove packagename" para remover pacotes específicos.

Porém, isto ainda pode não ser suficiente para vc conseguir instalar o pacote desejado, pois ele pode não estar disponível nos "mirrors apt enabled". Boa sorte!!

Fonte: http://www.dicas-l.com.br/print/20030507.html

Configurando um Proxy de Pacotes no GNU/Debian

Colaboração: Jefferson Ike

O aplicativo apt-cacher é um Servidor Proxy para pacotes GNU/Debian (.deb). Ele permite que sejam armazenados em cache os pacotes já tenham sido 'baixados' da Internet, ficando disponíveis pelo protocolo HTTP. Este serviço é similar ao uso do Servidor Proxy Squid, onde as páginas já acessadas, ficam armazenadas; quando é requisitada uma nova conexão à mesma página, o servidor procura primeiro em seu cache, caso não seja encontrado, um acesso à Internet é feito, retornando-se a página ao cliente. Assim com uso o apt-cacher, ganha-se em performance de instalação, pois todos os pacotes necessários para a instalação básica estarão na rede local (economia da banda de Internet) e economia de disco(HD), uma vez que só estarão no cache os pacotes utilizados pelos clientes da rede.

Instalação

Execute o seguinte comando como root:

 apt-get install apt-cacher 

 

Configuração

Edite o arquivo /etc/apt-cacher/apt-cacher.conf da seguinte forma:

 cache_dir=<informe o diretorio em que você deseja ter o seu cache> admin_mail=<email do administrador do apt-cacher> generate_reports=1 

 

Estas configurações são apenas o básico pra ter o seu cache funcional, existem outras opções que podem ser setadas conforme a necessidade de cada site.

Depois configurei o arquivo /etc/apt/sources.list desta forma:

 deb http://meucache.com.br/apt-cacher/ftp.br.debian.org/debian/ testing main deb-src http://meucache.com.br/apt-cacher/ftp.br.debian.org/debian/ testing main 

 

Após os passos anteriores, execute o comando como root:

 apt-get update 

 

Agora em todas as instalações de pacotes, o APT irá buscar primeiro no repositório interno, caso algum pacote não exista, o apt-cacher irá buscar no repositório externo. Assim, se este pacote for necessário novamente, o apt irá buscá-lo no repositório local.

Pré-aquecimento do cache

Se você já tiver 'baixado' muitos pacotes para a instalação do GNU/Debian Linux , utilize o script Perl /usr/share/apt-cacher/apt-cacher-import.pl, que faz a importação dos pacotes GNU/Debian para o diretório do apt-cacher. Pra isso realizei estes passos:

 cd /var/cache/apt/archives cp * /var/cache/apt-cacher/import/ /usr/share/apt-cacher/apt-cacher-import.pl 

 

Em uma máquina cliente, realize o seguinte comando como root para que seja atualizada a lista de pacotes:

 apt-get update 

 

Todos os pacotes serão 'cacheados' pelo apt-cacher, tornando os pacotes disponíveis para o apt-get. Você pode acessar as configurações do seu cache pelo seu navegador web preferido caso você tenha um Apache instalado na máquina em que está o seu cache, através do endereço http://meucache.com.br/apt-cacher e um relatório do mesmo em http://meucache.com.br/apt-cacher/reports.

Fonte: http://www.dicas-l.com.br/print/20050125.html

Usando o Kismet

Colaboração: Carlos E. Morimoto

O Kismet é uma ferramenta poderosa, que pode ser usado tanto para checar a segurança de sua própria rede wireless, quanto para checar a presença de outras redes próximas e assim descobrir os canais que estão mais congestionados (configurando sua rede para usar um que esteja livre) ou até mesmo invadir redes. O Kismet em sí não impõe restrições ao que você pode fazer. Assim como qualquer outra ferramenta, ele pode ser usado de forma produtiva ou destrutiva, de acordo com a índole de quem usa.

A página do projeto é a: http://www.kismetwireless.net/.

A principal característica do Kismet é que ele é uma ferramenta passiva. Ao ser ativado, ele coloca a placa wireless em modo de monitoramento (rfmon) e passa a escutar todos os sinais que cheguem até sua antena. Mesmo pontos de acesso configurados para não divulgar o ESSID ou com a encriptação ativa são detectados.

Como ele não transmite pacotes, apenas escuta as transmissões, todo o processo é feito sem prejudicar as redes vizinhas e de forma praticamente indetectável. A principal limitação é que, enquanto está em modo de monitoramento, a placa não pode ser usada para outros fins. Para conectar-se a uma rede, você precisa primeiro parar a varredura.

Esta questão da detecção dos pontos de acesso com o ESSID desativado é interessante. Não é possível detectá-los diretamente, pois eles não respondem a pacotes de broadcast (por isso eles não são detectados por programas como o Netstumbler), mas o Kismet é capaz de detectá-los quando um cliente qualquer se associa a eles, pois o ESSID da rede é transmitido de forma não encriptada durante o processo de associação do cliente.

A partir daí, o Kismet passa a capturar todos os pacotes transmitidos. Caso a rede esteja encriptada, é possível descobrir a chave de encriptação usando o aircrack (que veremos a seguir), permitindo tanto escutar as conexões, quanto ingressar na rede.

Como o Kismet é uma das ferramentas mais usadas pelos crackers, é sempre interessante usá-lo para verificar a segurança da sua própria rede. Tente agir como algum vizinho obstinado agiria, capturando os pacotes ao longo de alguns dias. Verifique a distância de onde consegue pegar o sinal de sua rede e quais informações consegue descobrir. Depois, procure meios de reforçar a segurança da rede e anular o ataque.

Por ser uma ferramenta popular, ele está disponível na maioria as distribuições. Algumas, como o Knoppix (a partir da versão 3.7), já o trazem instalado por padrão.

Nas distribuições derivadas do Debian, você pode instalá-lo via apt-get:

 # apt-get install kismet 

 

Antes de ser usar, é preciso configurar o arquivo "/etc/kismet/kismet.conf", especificando a placa wireless e o driver usado por ela, substituindo a linha:

 source=none,none,addme 

 

Por algo como:

 source=madwifi_ag,ath0,atheros 

 

... onde o "madwifi_ag" é o driver usado pela placa (que você pode verificar usando o comando lspci). Na documentação do Kismet o driver é chamado de "capture source", pois é a partir dele que o Kismet obtém os pacotes recebidos.

o "ath0" é a interface (que você vê através do comando ifconfig) e o "atheros" é um apelido para a placa (que você escolhe), com o qual ela será identificada dentro da tela de varredura.

Isto é necessário, pois o Kismet precisa de acesso de baixo nível ao hardware. Isto faz com que a compatibilidade esteja longe de ser perfeita. Diversas placas não funcionam em conjunto com o Kismet, com destaque para as placas que não possuem drivers nativos e precisam ser configurados através do ndiswrapper. Se você pretende usar o Kismet, o ideal é pesquisar antes de comprar a placa. Naturalmente, para que possa ser usada no Kismet, a placa precisa ter sido detectada pelo sistema, com a ativação dos módulos de Kernel necessários. Por isso, prefira sempre usar uma distribuição recente, que traga um conjunto atualizado de drivers. O Kurumin e o Kanotix estão entre os melhores neste caso, pois trazem muitos drivers que não vem pré instalados em muitas distribuições.

Você pode ver uma lista detalhada dos drivers de placas wireless disponíveis e como instalar manualmente cada um deles no meu livro Linux Ferramentas Técnicas.

Veja uma pequena lista dos drivers e placas suportados no Kismet 2006-04-R1:

• acx100: O chipset ACX100 foi utilizado em placas de diversos fabricantes, entre eles a DLink, sendo depois substituído pelo ACX111. O ACX100 original é bem suportado pelo Kismet, o problema é que ele trabalha a 11 megabits, de forma que não é possível testar redes 802.11g.

   

• admtek: O ADM8211 é um chipset de baixo custo, encontrado em muitas placas baratas. Ele é suportado no Kismet, mas possui alguns problemas. O principal é que ele envia pacotes de broadcast quando em modo monitor, fazendo com que sua varredura seja detectável em toda a área de alcance do sinal. Qualquer administrador esperto vai perceber que você está capturando pacotes.

   

• bcm43xx: As placas com chipset Broadcom podiam até recentemente ser usadas apenas no ndiswrapper. Recentemente, surgiu um driver nativo (http://bcm43xx.berlios.de) que passou a ser suportado no Kismet. O driver vem incluído por padrão a partir do Kernel 2.6.17, mas a compatibilidade no Kismet ainda está em estágio experimental.

   

• ipw2100, ipw2200, ipw2915 e ipw3945: Estes são os drivers para as placas Intel, encontrados nos notebooks Intel Centrino. O Kismet suporta toda a turma, mas você precisa indicar o driver correto para a sua placa entre os quatro.

O ipw2000 é o chipset mais antigo, que opera a 11 megabits; o ipw2200 é a segunda versão, que suporta tanto o 8011.b, quanto o 802.11g; o ipw2915 é quase idêntico ao ipw2200, mas suporta também o 802.11a, enquanto o ipw3945 é uma versão atualizada, que é encontrada nos notebooks com processadores Core Solo e Core Duo.

madwifi_a, madwifi_b, madwifi_g, madwifi_ab e madwifi_ag: Estes drivers representam diferentes modos de operação suportados pelo driver madwifi (http://sourceforge.net/projects/madwifi/), usado nas placas com chipset Atheros. Suportam tanto o driver madwifi antigo, quanto o madwifi-ng.

Usando os drivers madwifi_a, madwifi_b ou madwifi_g, a placa captura pacotes apenas dentro do padrão selecionado (o madwifi_a captura apenas pacotes de redes 802.11a, e assim por diante). O madwifi_g é o mais usado, pois captura simultaneamente os pacotes de redes 802.11b e 802.11g. O madwifi_ag, por sua vez, chaveia entre os modos "a" e "g", permitido capturar pacotes de redes que operam em qualquer um dos três padrões, mas num ritmo mais lento, devido ao chaveamento.

rt2400 e rt2500: Estes dois drivers dão suporte às placas com chipset Ralink, outro exemplo de chipset de baixo custo que está se tornando bastante comum. Apesar de não serem exatamente "placas de alta qualidade", as Ralink possuem um bom suporte no Linux, graças em parte aos esforços do próprio fabricante, que abriu as especificações e fornece placas de teste para os desenvolvedores. Isto contrasta com a atitude hostil de alguns fabricantes, como a Broadcom e a Texas (que fabrica os chipsets ACX).

rt8180: Este é o driver que oferece suporte às placas Realtek 8180. Muita gente usa estas placas em conjunto com o ndiswrapper, mas elas possuem um driver nativo, disponível no http://rtl8180-sa2400.sourceforge.net/. Naturalmente, o Kismet só funciona caso seja usado o driver nativo.

prism54g: Este driver dá suporte às placas com o chipset Prism54, encontradas tanto em versão PCI ou PCMCIA, quanto em versão USB. Estas placas são caras e por isso relativamente incomuns no Brasil, mas são muito procuradas entre os grupos que fazem wardriving, pois as placas PCMCIA são geralmente de boa qualidade e quase sempre possuem conectores para antenas externas, um pré-requisito para usar uma antena de alto ganho e assim conseguir detectar redes distantes.

orinoco: Os drivers para as placas com chipset Orinoco (como as antigas Orinoco Gold e Orinoco Silver) precisam de um conjunto de patches para funcionar em conjunto com o Kismet, por isso acabam não sendo placas recomendáveis. Você pode ver detalhes sobre a instalação dos patches no http://www.kismetwireless.net/HOWTO-26_Orinoco_Rfmon.txt.

Depois de definir o driver, a interface e o nome no "/etc/kismet/kismet.conf", você pode abrir o Kismet chamando-o como root:

 # kismet 

 

Inicialmente, o Kismet mostra as redes sem uma ordem definida, atualizando a lista conforma vai descobrindo novas informações. Pressione a tecla "s" para abrir o menu de organização, onde você pode definir a forma como a lista é organizada, de acordo com a qualidade do canal, volume de dados capturados, nome, etc. Uma opção comum (dentro do menu sort) é a "c", que organiza a lista baseado no canal usado por cada rede.

Por padrão, o Kismet chaveia entre todos os canais, tentando detectar todas as redes disponíveis. Neste modo, ele captura apenas uma pequena parte do tráfego de cada rede, assim como você só assiste parte de cada programa ao ficar zapiando entre vários canais da TV.

Selecione a rede que quer testar usando as setas e pressione "shift + L" (L maiúsculo) para travá-lo no canal da rede especificada. A partir daí ele passa a concentrar a atenção numa única rede, capturando todos os pacotes transmitidos:

Você pode também ver informações detalhadas sobre cada rede selecionando-a na lista e pressionando enter. Pressione "q" para sair do menu de detalhes e voltar à tela principal.

Outro recurso interessante é que o Kismet avisa sobre "clientes suspeitos", micros que enviam pacotes de conexão para os pontos de acesso, mas nunca se conectam a nenhuma rede, indício de que provavelmente são pessoas fazendo wardriving ou tentando invadir redes. Este é o comportamento de programas como o Netstumbler (do Windows). Micros rodando o Kismet não disparam este alerta, pois fazem o scan de forma passiva:

 ALERT: Suspicious client 00:12:F0:99:71:D1 - probing networks but never participating. 

 

O Kismet gera um dump contendo todos os pacotes capturados, que vai por padrão para a pasta "/var/log/kismet/". A idéia é que você possa examinar o tráfego capturado posteriormente usando o Ethereal. O problema é que, ao sniffar uma rede movimentada, o dump pode se transformar rapidamente num arquivo com vários GB, exibindo que você reserve bastante espaço no HD.

Um dos maiores perigos numa rede wireless é que qualquer pessoa pode capturar o tráfego da sua rede e depois examiná-lo calmamente em busca de senhas e outros dados confidenciais transmitidos de forma não encriptada. O uso do WEP ou outro sistema de encriptação minimiza este risco, pois antes de chegar aos dados, é necessário quebrar a encriptação.

Evite usar chaves WEP de 64 bits, pois ele pode ser quebrado via força bruta caso seja possível capturar uma quantidade razoável de pacotes da rede. As chaves de 128 bits são um pouco mais seguras, embora também estejam longe de ser inquebráveis. Em termos se segurança, o WPA está à frente, mas usá-lo traz problemas de compatibilidade com algumas placas e drivers.

Sempre que possível, use o SSH, SSL ou outro sistema de encriptação na hora de acessar outras máquinas da rede ou baixar seus e-mails.

No Guia "Acesso Remoto: SSH, FreeNX e VNC", vemos como é é possível criar um túnel seguro entre seu micro e o gateway da rede, usando o SSH, permitindo assim encriptar todo o tráfego. Ele está disponível no:

---

Gostou da dica? Venha fazer um curso com o autor:

Curso: Redes e servidores Linux

Com Carlos E. Morimoto

Em São Paulo, de 29/05 a 03/06 (intensivo, com aulas à tarde)

Este é um curso sobre a configuração de servidores Linux. Nele você aprende a configurar cada serviço diretamente nos arquivos de configuração ou utilizando ferramentas genéricas, sem se prender a uma única distribuição. Os exemplos dados durante o curso usam como base o Debian e Fedora, com dicas de peculiaridades do Mandriva, Slackware, Kurumin e Ubuntu.

Este é um curso intensivo, onde você passa menos tempo vendo teoria e opções pouco usadas e mais tempo aprendendo a resolver problemas do dia a dia. O formato das aulas permite que sejam abordados uma grande quantidade de temas numa única semana, oferecendo uma visão global dos recursos disponíveis e onde eles podem ser aplicados. Ao invés de fazer um curso sobre o Squid, outro sobre o Samba, outro sobre o Apache, etc., você aprende muitas coisas de uma única vez, economizando tempo e dinheiro.

Nesta turma do dia 29/05, combinou do curso de redes e o curso para iniciantes serem ministrados na mesma semana: o curso para iniciantes de segunda a sexta, das 8:00 às 11:00, e o curso de redes das 12:30 às 18:00. Fazendo o curso de redes, você tem acesso também às aulas para iniciantes e pode fazer os dois cursos simultaneamente (pagando apenas um), e assim aproveitar para tirar todas as dúvidas.

Veja mais detalhes sobre a programação de cursos, temas abordados, preços e formas de pagamento no:

http://guiadohardware.net/cursos/

Todas as aulas do curso de redes são ministradas pelo próprio Carlos Morimoto, o que garante o nível do curso. Nada de aulas inaugurais e mutretas do gênero :)

Fonte: http://www.dicas-l.com.br/print/20060509.html

Implemente e Configure o seu Linux com IPTABLES

Colaboração: William da Rocha Lima <<wrochal (a) linuxit com br>>

Revisão 1.2 - 23/06/2003

Nos sabemos que nos dias de hoje é essencial o firewall, em servidores corporativos como servidores de web, e-mail e gateways, devido a demanda de hackers e lammers. Mas sabemos que assim mesmo não basta montar um firewall e por em mente que nunca vai ser invadido, lembra-se de que é primordial verificar os Updates, Advisores, Bug e falhas de sistema. Tenha em mente além de configurar um sistema de firewall, também administratar por Logs e IDS, e que tenha administratar os Logs para verificar possíveis erros e de uma forma fácil e ágil, e IDS para verificar a Dequitação de Intrusos. Quando falamos em sistemas operacional linux como firewall você encontra ferramentas capazes e eficaz para efetuar esta função. E o melhor de tudo como que o Linux é free,você pode pegar o linux na empresa de seu amigo e instalar na sua empresa sem problemas.

Softwares de Firewall para o Linux

O linux por ser um software livre, onde uma comunidade de desenvolvedores contribuem quase que diariamente para seu desenvolvimento e melhorias. Quando se fala em desenvolvimento e melhorias do Kernel se tem um preocupação com firewalls e segurança.

Conheça os Firewalls conforme a versão do kernel

- Ipfwadm - O IP Firewall Administration, ou simplesmente ipfwadmin foi a ferramenta padrão para construção de regras de firewall, para o Kernel anterior à versão 2.2.0. Dizem que o Ipfwadm era extremamente complexo.

- Ipchains - O ipchains foi a solução, ou melhor, a atualização, feita para o kernel 2.2 do ipfwadm. A idéia do ipchains foi ter o poder do ipfwadm, mas com uma simplicidade e facilidade no que diz respeito à criação de regras. Além de prover sua facilidades, é criar uma compatibilidade com o ipfwadm através do utilitário ipfwadm-wrapper.

- Iptables e o Netfilter - A nova geração de ferramentas de firewall para o Kernel 2.4 do Linux. Além de possuir as facilidade do ipchains, e implementar a facilidade do NAT e filtragem de pacotes mais flexíveis que o IPchains. Para saber mais informações do Iptables acessem http://www.netfilter.org/

O que precisamos saber?

Na configuração do Firewall com o iptables, é preciso saber quais são as regras a serem utilizadas para rodar o Firewall:

Regras do Firewall

• INPUT: È utilizada quando o destino final é a própria máquina firewall.

   

• OUTPUT: Qualquer pacote gerado pela máquina firewall e que deva sair para a rede será tratado pela regra OUTPUT.

   

• FORWARD: Qualquer pacote que atravessa o firewall, de uma máquina e direcionado à outra, será tratado pela chain FORWARD.

   

  Basicamente o IPTABLES tem as seguintes políticas:

   

• DROP - Nega pacote e não manda um pacote de volta para o emitente.

   

• ACCEPT - Aceita o pacote

   

• REJECT - Nega pacote e manda um pacote de volta do tipo host-unreachable (Host Inalcançável)

   

  ==Comandos Principais do IPtables==

   

  - -A - Este comando acrescenta uma regra às existentes no sistema, ou seja, permite atualizar regras já existentes na estrutura do firewall.

   

  - -I - Este comando insere uma nova regra dentro das existentes no firewall.

   

  - -D - Este comando exclui uma regra específica no firewall.

   

  - -P - Este comando define a regra padrão do firewall.

   

  - -L - Este comando lista as regras existentes no firewall.

   

  - -F - Este comando ZERA todas as regras criadas no Firewall (o chamado flush).

   

  - -h - Este comando mostrará o help, ajuda de comando.

   

  - -R - Este comando substitui um regra no firewall.

   

  - -C - Este comando basicamente checa as regras.

   

  - -Z - Este comando zera uma regra específica.

   

  - -N - Este comando cria uma nova regra com um nome.

   

  - -X - Este comando exclui uma regra específica por seu nome.

Os parâmetros padrão do iptables são os seguintes:

- -p! (protocolo) - define qual o protocolo TCP/IP deverá ser tratado. São eles: TCP, UDP e ICMP

- -s! (origem)/ -d! (destino) - Define qual o endereço de origem (-S) e de destino (-D) que a regra atuará. Este comando possui dois argumentos: endereço/máscara e porta. Ex.: -S 10.0.0.1/24 80,.

- -i! (interface) - define o nome da interface de rede onde trafegará os pacotes de entrada e saída do firewall. Muito utilizado em mascaramento e técnicas de NAT. Exemplo: -W eth1.

- -j! (ir para) - Serve para redirecionar uma ação desde que as regras sejam similares.

- -f!(fragmento) - Trata datagrama fragmentados.

Os comandos e os parâmetros são exatamente iguais aos do ipchains, sem tirar nem pôr.

Extensões

Novidade do iptables que facilita as regras.

 -sport[!] [port:port] -dport[!] [port:port] 

 

Normalmente estas extensões são utilizadas com o comando -m do iptables. Trata-se de um direcionamento de porta(s) origem (-sport), para porta(s) destino (-dport). Pode-se inclusive definir um número padrão de portas para o acesso (port:port). Este comando pode ser utilizado tanto para portas TCP ou UDP.

 -mac-source[!] endereço 

 

especifica qual a placa de rede, através de seu endereço MAC, que irá transmitir pacotes através do firewall, limitado pela política do mesmo.

 -icmp-type[1] tipo 

 

Especifica quais os tipos de pacotes ICMP pode passar ou não pelo firewall, São eles:

 Mensagem Tipo Código Echo-request 8 0 Echo-reply 3 0 Source-quench 4 0 Time-exceed 11 0 Destination-unreachable 3 0 Network-unreachable 3 0 Host-unreachable 3 1 Protocol-unreachable 3 2 Port-unreachable 3 3 

 

Com isto podemos bloquear alguns ataques do tipo ping flood, bloquear ping e etc

[!] -- syn - especifica o uso dos bits ACK e FIN em requisições SYN TCP.

Especificamente, a opção -m state' aceita uma opção adicional--state', que é uma lista de estados de ativação separados por vírgula. (a flag '!' não indica a ativação desses estados). Esses estados são:

NEW Um pacote que cria uma nova conexão.

ESTABLISHED Um pacote que pertence a uma conexão existente (isto é, um pacote de resposta).

RELATED Um pacote que está relacionado com (mas não faz parte de) uma conexão existente, como um ICMP error, ou (com o módulo FTP inserido),um pacote que estabelecido por uma conexão de dados ftp.

INVALID Um pacote que não poderia ser identificado por alguma razão: isto inclui execução fora da memória e erros de ICMP que não correspondam a nenhuma conexão existente. Geralmente estes pacotes devem ser barrados (drop).

Exemplos do Firewall

 #iptables -A INPUT -p icmp -j DROP 

 

Esta regra nega todos os pacotes ICMP vindos do servidor, em que se encontra o firewall.

 #iptables -D INPUT -p icmp -j DROP 

Esta regra exclui a regra criar acima.

 #iptables -A INPUT -s 192.168.1.0/24 -j DROP 

Esta regra acima faz com que todos os pacotes vindo de qualquer endereço da classe de ip 192.168.1.1 á 192.168.1.255 nega os pacotes.

 #iptables -A OUTPUT -p icmp -d ! 192.168.1.0/24 -j ACCEPT 

Esta regra acima faz com que todos os pacotes vindo de qualquer endereço da classe de ip 192.168.1.1 á 192.168.1.255 aceita os pacotes.

 #echo 1 > /proc/sys/net/ipv4/ip_forward 

Habilitando o recurso de IP forwarding

Configurando o Firewall contra ataque

Proteção contra Syn-floods

 # iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT 

 

Port scanners ocultos

 # iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 

 1/s -j ACCEPT 

 

Ping da morte

 # iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT 

 

Proteção Contra IP Spoofing

 # iptables -A INPUT -s 10.0.0.0/8 -i Interface da NET -j DROP 

 # iptables -A INPUT -s 172.16.0.0/16 -i Interface da NET -j DROP 

 # iptables -A INPUT -s 192.168.0.0/24 -i Interface da NET -j DROP 

 

Obs.: Interface da NET pode ser ppp0, ethX e etc.

Log a portas proibidas e alguns backdoors

Porta FTP

 # iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Serviço: FTP" 

 

Porta Wincrash

 # iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Serviço: Wincrash" 

 

Portas BackOrifice

 # iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Serviço: BackOrifice" 

 # iptables -A INPUT -p tcp --dport 123456 -j LOG --log-prefix "Serviço: BackOrifice" 

 

Redirecionamento de Portas (Usado em DMZ)

Redirecionar Porta SMTP

 # iptables -t nat -A PREROUTING -i ethx -p tcp --dport 25 -j DNAT --to 192.168.1.1 

 

Redirecionar Porta POP

 # iptables -t nat -A PREROUTING -i ethx -p tcp --dport 110 -j DNAT --to 192.168.1.1 

 

OBS.:Sendo que ethx é sua interface de entrada da WAN.

Bloqueando Kazaa Lite

Para ativar o módulo String match support (EXPERIMENTAL) tem que aplicar o patch e logo depois compilar o kernel.

 # iptables -m string --string "X-Kazaa-Username:" -j DROP 

 # iptables -m string --string "X-Kazaa-Network:" -j DROP 

 # iptables -m string --string "X-Kazaa-IP:" -j DROP 

 # iptables -m string --string "X-Kazaa-SupernodeIP:" -j DROP 

 

Bloqueando cmd.exe

Neste caso você tenha atrás do seu firewall linux um servidor de web IIS da microsoft, e deseja evitar que worms com código arbitrários que usam o comando cmd.exe:

Bloqueando em Silêncio

 # iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --string "cmd.exe" 

 

Bloqueando e reportando por uma hora

 # iptables -I INPUT -j LOG -p tcp -s 0.0.0.0/0 -m string --string "cmd.exe" -m limit --limit 1/hour 

 Scripts Cases Ruleset 1 Ruleset 2 Ruleset 3 Ruleset 4 Ruleset 5 Ruleset 6 

 

Referência:

• Netfilter - http://www.iptables.org/documentation/pomlist/pom-extra.html#string
• Linux Guru - http://articles.linuxguru.net/view/120
• Securityfocus - http://www.securityfocus.com/infocus/1531

Fonte: http://www.dicas-l.com.br/print/20030705.html

Achando os pacotes RPM que contém depedências não resolvidas

Colaboração: Rodrigo Senra

As distribuições de linux baseadas em RedHat(Fedora,Mandrake,Conectiva) utilizam o formato RPM para gerência de pacotes. Ao se tentar instalar um determinado RPM. muitas vezes há uma recusa de instalação devido a uma depedência não resolvida.

O utilitário RPM avisa o nome do arquivo pendente, mas não avisa em que pacote RPM ele se encontra. O script Python abaixo auxilia a descoberta do RPM que contém um determinado arquivo, realizando uma busca exaustiva no diretório de pacotes rpm.

 #------------ início do arquivo findrpm.py #!/usr/bin/env python # uso: findrpm.py <nome do arquivo> <diretório com pacotes .rpm> # respeite a indentação (alinhamento) abaixo import sys import glob import popen2 import os.path files = glob.glob(os.path.join(sys.argv[2],'*.rpm')) print 'Procurando em %d pacotes'%(len(files)) for file in files: print 'Processando %dr'%files.index(file), sys.stdout.flush() outfd,infd = popen2.popen2('rpm -qlp %s'%(file)) for line in outfd.readlines(): if line.find(sys.argv[1])>=0: print 'n',sys.argv[1],' -> ',file break #---------------------- fim do arquivo 

Fonte: http://www.dicas-l.com.br/print/20041021.html

Roteamento avançado - Linux - utilizando IPROUTE e IPTABLES - Load Balance

Colaboração: Fabricio Ferreira - GUZZY

Certo tempo atrás, escrevi um script usando IPROUTE2 e IPTABLES que desenvolvi na ocasião, já que havia a necessidade de utilizar 2 links de Internet distintos. Desta vez, reescrevi com muito mais detalhes mostrando exatamente como funciona cada passo.

Lembrando que, este script foi desenvolvido no SLACKWARE, mas acredito que funcione em qualquer outra distribuição LINUX com Kernel 2.4.x e superiores, com algumas poucas modificações.

Quanto aos links, vamos chamá-los de LINK1 e LINK2...

Imagine que você queira que determinado protocolo use o LINK1 e outro protocolo use o LINK2.

Um exemplo fácil seria dizer que mensagens de E-mail SMTP e POP (portas 110 e 25) utilizam o LINK1, enquanto o tráfego de internet (portas 80, 21, 53, 443...) utiliza o LINK2. Isto permitiria que usuários fizessem downloads pesados sem comprometer o tráfego de mensagens, ou ainda, enviar e receber mensagens de E-mail grandes sem interferir na velocidade dos usuários que navegam na Internet.

Um outro exemplo para quem tem Vlans em suas redes seria dizer que a REDE 192.160.0.X utiliza o Link1, enquanto a REDE 192.170.0.X utiliza o LINK2.

Basicamente, o processo funciona marcando pacotes que entram e saem do FIREWALL onde o script será implementado com o Comando IPTABLES usando Mark, um artifício que faz com que o Firewall monte uma tabela dinâmica de todos os pacotes que passam por ele. Imagine que você tenha um Firewall com 4 Interfaces, assim vamos chamá-las de: ETH0, ETH1, ETH2 e ETH3, onde ETH0 está conectada à sua LAN interna, a ETH1 conectada em uma DMZ, e as interfaces ETH3 e ETH4 conectadas a 2 Links distintos.

Se um pacote entrou pela interface ETH0 e saiu pela interface ETH3, é necessário que ele retorne para o mesmo lugar de onde veio. Eis o motivo de marcar os pacotes; caso contrário, eles se utilizarão do DEFAULT GATEWAY do Firewall, que pode não ser o mesmo que você deseja.

Entendendo isto, podemos seguir adiante com nosso script.

Abaixo descrevo detalhadamente como fazer cada configuração no Script para que você tenha sucesso na implementação.

Entendam que os IP´s aqui utilizados são fictícios, bem como seus Defaut Gateways. Você deverá trocá-los pelos IP´S da sua rede conforme a necessidade!

Eis um exemplo de um script pronto em um Firewall com 3 Interfaces apenas.

A primeira - ETH0, é a interface conectada à rede interna. A Interface ETH1 é a interface ligada ao LINK1, e por último, a interface ETH2, ligada ao LINK2.

Vejamos:

 ############################################################################## # Nesta parte denominamos variáveis para as interfaces como segue. # Denominamos que o nome LAN seja referente à Interface ETH0 que no nosso # script é a da rede interna. Verifique no seu Firewall qual é a interface # correta. IF_LAN='eth0' # Aqui denominamos as variáveis dos LINKS 1 e 2, e os chamamos de LINK1 e LINK2 # É claro que você poderá chamá-los do que quiser. Exemplo: ADSL1 e ADSL2, # mas não esqueça de alterar as variáveis no restante do script. IF_LINK1='eth1' IF_LINK2='eth2' # Aqui colocamos os Gateways dos Links de Internet. # Geralmente, os Default Gateways dos Links são os IP´S dos roteadores de # Internet. GW_LINK1='200.70.0.1' GW_LINK2='200.80.0.1' # Nesta parte, utilizamos o comando IPTABLES para mascarar os IP s, ou seja, # fazemos um NAT (Network Address Translation) para que os pacotes que venham da # Interface ETH0 com IP s da rede interna, ou mesmo pacotes gerados dentro do # próprio Firewall, possam sair para a Internet com endereços trocados, usando # os IP s das interfaces ligadas aos Links de Internet. # O MASQUERADE ao final do comando faz exatamente isto. # Caso contrário, utilizaria ACCEPT, mas aí os pacotes sairiam para a Internet # com IP s da rede interna e jamais retornariam ao Firewall. iptables -t nat -A POSTROUTING -o $IF_LINK1 -j MASQUERADE iptables -t nat -A POSTROUTING -o $IF_LINK2 -j MASQUERADE # Aqui começamos a marcar os pacotes diferenciando-os pela porta utilizada. # Observe que escolhemos os pacotes com destino às portas 80 (HTTP) 443 (HTTPS) # 25 (SMTP) 110 (POP) # Todo pacote que passar pelo Firewall com estas particularidades receberão # uma marca , uma espécie de carimbo. Pacotes destinados à porta 80 # recebem carimbo de número 2, pacotes com destino à porta 25 # recebem carimbo número 3. # Desta forma, podemos diferenciá-los para que mais à frente no script tenhamos # controle do que saiu/entrou e por onde saiu/entrou. iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 80 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 443 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 25 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 110 -j MARK --set-mark 3 # A diferença entre o PREROUTING e o OUTPUT é que, PREROUTING abrange os # pacotes que foram originados fora do FIREWALL, por exemplo Interface ETH0 # ($IF_LAN), enquanto OUTPUT são os pacotes originados no Firewall, ou seja, na # própria console. iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 2 iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2 iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 3 iptables -t mangle -A OUTPUT -p tcp --dport 110 -j MARK --set-mark 3 # Aqui montamos as tabelas dinâmicas a partir das marcas (carimbos) que fizemos # lá em cima no nosso script. # Pacotes que foram marcados com 2 vão para a tabela table 20 e os marcados # com 3, vão para a tabela table 21 , com a mesma prioridade. Perceba o PRIO 20 # após os comandos. ip rule add fwmark 2 table 20 prio 20 ip rule add fwmark 3 table 21 prio 20 # se quisermos condicionar esta marcação de outra forma, podemos utilizar o # comando das seguintes formas: # Este condiciona que todos os pacotes que vierem da rede 192.160.0.0 vão para # a tabela 20. # O comando está comentado. Caso queira utilizá-lo, apenas retire o sinal de "#" # da frente. # ip rule add from 192.160.0.0/24 table 20 # Este outro condiciona os pacotes da rede 192.170.0.0 a irem para a tabela 21 # O comando está comentado. Caso queira utilizá-lo, apenas retire o sinal de # "#" da frente do comando. # ip rule add from 192.170.0.0/24 table 21 # Agora sim daremos rumo aos pacotes que foram marcados e cadastrados na tabela # dinâmica. # Veja que os pacotes que foram enviados para a tabela 20 têm como DEFAULT # GATEWAY o LINK1. Sendo assim, os pacotes serão enviados para o LINK1 na # Interface ETH1 com o IP 200.70.0.1. # Já os pacotes da tabela 21 serão enviados para o LINK2 na Interface ETH1, com # o IP 200.80.0.1 ip route add default via $GW_LINK1 dev $IF_LINK1 table 20 ip route add default via $GW_LINK2 dev $IF_LINK2 table 21 # Este último comando limpa a tabela, caso ela já tenha sido utilizada # anteriormente, ou apenas para termos certeza de que quando você resetar as # regras todas, o Firewall não guarde nenhum tipo de informação na # memória (cache). Daí o nome FLUSH CACHE. ip route flush cache 

Você pode utilizar parte do script, se necessário. Por exemplo, se quiser apenas rotear pacotes pela origem, utilize:

 ip rule add from 192.160.0.0/24 table 20 

 

ou

 ip rule add from 192.160.0.0/24 table 21 

 

Conforme o Link que deseja utilizar. Onde 192.160.0.0/24 é a origem. Neste exemplo, a rede em questão tem a máscara 255.255.255.0 (/24)

Desta forma, não há necessidade de marcar pacotes e você poderá deletar as linhas do script.

 Fabrício Ferreira GUZZY Especialista em Segurança Digital MCP Microsoft Certified Professional Linux Specialist 

Fonte: http://www.dicas-l.com.br/print/20070327.html

Reconstruindo a base de dados do RPM

//Colaboração: Marcelo de G. Malheiros //

Hoje eu tive um problema em um servidor que eu mantenho, e como consegui resolvê-lo achei interessante compartilhar esta dica.

É uma máquina que está ainda com o Conectiva 6.0, mas que eu rotineiramente atualizo via APT.

Para quem não ouviu falar ainda do APT, é um sistema genérico de gerenciamento de pacotes, de mais alto nível que o RPM. Ele foi inicialmente desenvolvido para a distribuição Debian, que usa pacotes no formato DEB, mas foi recentemente portado pelo pessoal da Conectiva para operar também em cima do RPM.

A grande vantagem do APT é que ele permite que instalações e atualizações de pacotes (ou conjuntos dos mesmos) sejam feitas automaticamente, preservando dependências e checando por versões mais recentes, inclusive se encarregando de fazer o download via rede. Para mais detalhes leia o página de manual do "apt-get".

Bom, o fato é que ao fazer uma dessas atualizações de rotina o APT encontrou um conflito entre duas versões do pacote "cpp" no servidor, e pediu para que eu resolvesse isso. Eu removi a versão mais antiga do pacote como recomendado, mas por alguma razão que desconheço (provavelmente um bug da versão do RPM que eu tenho instalado nesta máquina) a base de dados dos pacotes RPM ficou corrompida. Ao rodar o comando "rpm -qa" eu obtia uma listagem do tipo:

 # rpm -qa apache-1.3.22-1U60_3cl apache-doc-1.3.22-1U60_3cl ... (null)-(null)-(null) 

Isso passou a afetar o APT, que abortava ao encontrar essa inconsistência na base do RPM e não funcionava mais. Felizmente eu encontrei a opção "--rebuilddb" do programa "rpm", que reconstruiu a base de dados do RPM, agora sem erros:

 # rpm --rebuilddb # apt-get check Processing File Dependencies... Done Reading Package Lists... Done Building Dependency Tree... Done 

Agora tudo voltou ao normal.

Fonte: http://www.dicas-l.com.br/print/20020404.html

Como utilizar o urpmi

Por Gustavo Sverzut Barbieri <<gustavo (a) linuxdicas com br>>

Neste texto abordarei o que é o urpmi, como configurá-lo e como utilizá-lo. Os exemplos serão baseados no Mandrake 9.1, mas o conceito é o mesmo para outras versões, como a 9.0 e outras.

O que é o urpmi

As distribuições trabalham com pacotes de software, sendo os mais comuns deles o deb e o rpm. Um pacote nada mais é do que alguns arquivos, regras para que eles sejam instalados corretamente e uma relação de quais outros pacotes este pacote depende.

Para que seja possível instalar um pacote, é necessário um software que conheça o tipo de pacote, confira as dependências e aplique as regras de instalação. Estes software são o rpm para pacotes rpm e o dkpg para pacotes deb. Só que estes software dispõe somente de recursos básicos, não fazendo coisas como fazer automaticamente o download de pacotes que faltam para resolver as dependências. É ai que entram softwares de gerenciamento de pacote, o qual tem como representante mais conhecido o apt-get da Debian.

O urpmi é algo ao apt-get correspondente para o Mandrake, não é um clone ou uma adaptação (como rodar o apt-get no Conectiva ou RedHat), e por isso tem funções parecidas, mas não idênticas.

Como instalar o urpmi

O urpmi é automaticamente instalado no Mandrake, ao menos que você retirou-o da instalação. Mas caso você não o tenha e precise instalá-lo, faça-o apartir do CD-Rom de Instalação, diretório Mandrake/RPMS/, ou a partir de provedores de pacotes, como o site http://www.rpmfind.net.

Como utilizar o urpmi

Neste texto vou ensinar a utilizar as ferramentas de linha de comando ou modo texto, mas existem ferramentas gráficas para facilitar o uso, são elas:

• rpmdrake é a interface gráfica para o instalador de pacotes. Ele já vem instalado por padrão no Mandrake e pode ser acessado de dentro do Mandrake Control Center

   

• rpmdrake-remove é a interface gráfica para o desinstalador de pacotes. Ele também já vem instalado por padrão e pode ser acessado de dentro do Mandrake Control Center

   

• urpmi.setup é uma interface gráfica que auxilia na manutenção dos provedores de pacotes.

   

  O urpmi é na verdade um dos comandos que você usará, segue uma listagem dos softwares e uma breve descrição, juntamente com um exemplo de uso. Lembre-se que mais informações podem ser obtidas usando a opção --help ou lendo a página manual do programa (man urpmi, por exemplo).

   

  urpmi Este é o principal programa a ser utilizado, ele se encarrega de instalar os pacotes, conseguir os pacotes necessários e outras funcionalidades mais.

   # Instalando o pacote emacs: urpmi emacs # Instalando o pacote emacs e resolvendo as dependências sem # lhe perguntar: urpmi --auto emacs # Instalando o pacote emacs e escolhendo de qual provedor # de pacotes você deseja pegar (mais informações sobre # provedores de pacote a seguir). Neste exemplo, pegaremos # somente pacotes do "plf" e do "updates": urpmi --media "plf,updates" emacs urpme Este é o removedor de pacotes, ele basicamente faz o processo reverso ao urpmi, perguntando se você quer que pacotes que dependam deste sejam removidos também. # Removendo o pacote emacs: urpme emacs # Removendo o pacote emacs e apagando os arquivos que # dependem dele sem lhe perguntar: urpme --auto emacs urpmq Esta ferramenta faz procuras por pacotes. # Procurando por emacs: urpmq emacs # Procurando por emacs somente no provedor de pacotes # de atualizações: urpmq --update emacs # Listando os pacotes existentes: urpmq --list # Listando os provedores de pacotes existentes: urpmq --list-media # Listando os pacotes de um provedor de pacotes existente: urpmq --list --media plf # Fazendo uma busca aproximada (--fuzzy ou -y) e também extende # a procura para as dependências do pacote (-d): urpmq -d -y wine urpmf Esta ferramenta faz procuras por arquivos fornecidos pelos pacotes, tanto os instalados quanto os disponíveis. # Procurando pelo arquivo wine.png: urpmf wine.png urpmi.addmedia Este software configura um novo provedor de pacotes. Vide o texto mais abaixo sobre Como configurar os provedores de pacotes. # Instalando o provedor de pacote "plf" que resite no servidor # de FTP ftp.easynet.fr: urpmi.addmedia plf ftp://ftp.easynet.fr/plf/9.1 with hdlist.cz urpmi.removemedia Este software remove provedores de pacotes previamente instalados. # Removendo o provedor de pacotes "plf": urpmi.removemedia plf # Removendo todas os provedores instalados: urpmi.removemedia -a urpmi.update Este software atualiza as listas de pacotes. # Atualizar a lista do provedor de pacotes "plf": urpmi.update plf # Atualizar todos os provedores instalados, exceto os discos # de CD-Rom: urpmi.update -a 

  Dos comandos citados acima, todos exceto o urpmq e urpmf precisam de permissões de super-usuário (root) para serem executados.

   

  Como configurar os provedores de pacotes

   

  A grande vantagem destes gerenciadores de pacotes é que eles fazem o download dos pacotes necessários automaticamente, mas para isso você precisa configurar uma lista de servidores de pacote, pois senão ele vai continuar querendo pegar somente do CD-Rom.

   

  Por padrão ele tenta pegar primeiro do CD-Rom e somente se existir uma versão mais nova ou se você especificar o provedor com a opção --media <nome_do_provedor> é que ele pega da internet. Só que eu, por ter uma conexão rápida com a internet, prefiro esperar um pouco ele fazer o download do pacote que procurar o CD-Rom e colocá-lo no drive, principalmente quando eu tenho que ficar trocando várias vezes de CD-Rom. Por isso meu primeiro comando num sistema recém-instalado é: urpmi.removemedia -a :-). Mas isso fica a cargo de você escolher se prefere ficar trocando CD ou esperar um pouco para ter o pacote instalado.

   

  O site Easy Urpmi é o lugar onde tem uma listagem atualizada dos servidores de pacotes disponíveis por versão de Mandrake instalados. A partir de agora, explicarei um pouco sobre o site, então acesse-o.

   

  O site é bem simples de ser utilizado, você primeiramente escolhe a versão do seu Mandrake ou coloca em Cooker se quiser utilizar a versão instável ou de desenvolvimento, ela costuma ter os pacotes mais novos, mas ela é instável e só deve ser utilizada por pessoas mais experientes. Depois escolha a arquitetura de seu computador, a maioria aqui fica com o valor i586 que significa Pentium e parecidos (AMD, Via, ...), mas se você possuir um Opteron (:-)) escolha o x86_64. Depois marque a opção Show specific sources too e clique em proceed to step 2.

   

  Nesta segunda parte escolheremos os provedores de pacotes, selecione as caixas correspondentes e tente escolher um local mais próximo ao Brasil, no dia em que foi escrito este documento (24 de Maio de 2003) existia um provedor "Brazil Brasilia", que fica na UNB. A descrição de cada item é:

   

• main: contém os pacotes da distribuição, ou seja, os mesmos que existem no CD-Rom. Se você não gosta de ficar trocando o CD-Rom toda hora, marque este e retire os provedores que são CD-Roms.

   

• contrib: pacotes de contribuintes, não oficiais e sem suporte, mas costumam ser muito bons. Aconselho a instalar este.

   

• updates: contém as atualizações oficiais dos pacotes. Sempre escolha esta!

Na terceira parte são pacotes extras, mas lembre-se de escolher o provedor plf, ele é essencial a um usuário doméstico de Mandrake. Isto porque ele contém pacotes os quais nós podemos utilizar mas que não podem ser distribuidos mundialmente pois a lei dos Estados Unidos da América (leia DMCA) não permite. Estes pacotes incluem coisas muito boas, como o MPlayer (um ótimo tocador de DVD, AVI, DivX, etc...), FreeType2 com interpretador de ByteCode (para as letras, "fontes", ficarem mais bonitas) e outras coisas boas também, portanto marque esta opção e escolha um espelho. As outras opções todas eu costumo não escolher.

Se você for utilizar-se dos pacotes da PLF, precisa registrar a assinatura deles, para isso faça como root:

 lynx -source http://plf.zarb.org/plf.asc | gpg --import 

 

Pressionando o botão proceed to step 3 ele vai retornar uma série de comandos a serem executados por você, copie e cole a relação de comandos (urpmi.addmedia) em um terminal, como o usuário root.

Uma boa relação é a que segue:

 # PLF: urpmi.addmedia plf ftp://ftp.easynet.fr/plf/9.1 with hdlist.cz # Pegar a assinatura da PLF: lynx -source http://plf.zarb.org/plf.asc | gpg --import # Arquivos da Distribuição (os mesmos que no CD-Rom): urpmi.addmedia main  ftp://mirror.fis.unb.br/pub/linux/Mandrake/9.1/i586/Mandrake/RPMS  with ../base/hdlist.cz # Contribuições: urpmi.addmedia contrib  ftp://mirror.fis.unb.br/pub/linux/Mandrake/9.1/contrib/RPMS  with ../../i586/Mandrake/base/hdlist2.cz # Atualizações: urpmi.addmedia --update updates  ftp://mirror.cs.wisc.edu/pub/mirrors/linux/Mandrake/updates/9.1/RPMS/  with ../base/hdlist.cz 

Pronto! Agora é só sair dando urpmi <programa_que_você_quiser> e ser feliz! Chega de ficar horas resolvendo dependências para instalar os programas! Só que lembra de atualizar sua lista de pacotes (urpmi.update -a) regularmente!

Mais informações sobre o Urpmi

Você pode obter mais informações sobre o urpmi nos seguintes sites:

• http://www.urpmi.org página do urpmi

   

• http://plf.zarb.org/ Página do PLF (Penguin Liberation Front)

   

  A Alca e o Software

   

  Pessoal, sabe o que eu citei que os pacotes da PLF não podiam ser distribuidos nos CDs da Mandrake pois nos Estados Unidos estes pacotes são proibidos, mas aqui no Brasil, na França e em outros países que presam por suas pessoas e não somente por suas malditas empresas, então, caso o Brasil entrar para a ALCA, todas estas leis escrotas vão entrar em vigência aqui também, acabando com nossa liberdade e outras coisas mais, como por exemplo a produção de Software nacional e inibir o nascimento de uma indústria de hardware. Se você quiser saber mais informações sobre este assunto, entre em contato com: <softwarelivre (a) rau-tu ic unicamp br> que nós do GPSL (Grupo Pró Software Livre) da UNICAMP teremos o maior prazer em lhe informar das consequências da ALCA em termos de tecnologia para o Brasil.

   

  Portanto, ALCA NÃO!

   

  OBS: Esta notícia foi traduzida para texto a partir do conteúdo disponível em: http://www.linuxdicas.com.br/modules.php?name=Sections&op=viewarticle&artid=189 Também disponível na página pessoal do autor: http://www.ic.unicamp.br/~ra008849/downloads/linux_help/urpmi.html

Fonte: http://www.dicas-l.com.br/print/20030605.html

Instalando pacotes binários no Slackware

Colaboração: Bruno Panerai Velloso

Muita gente não gosta da distribuição Slackware porque esta não possui gerenciadores de pacotes com RPM ou Apt-get, e muitas vezes é necessário compilar os programas diretamente do código fonte. Nessa dica vou apresentar algumas alternativas para instalação de binários pré-compilados no Slack e derivados.

Pkgtool

O pkgtool é o gerenciados de pacotes do Slackware, assim como o rpm é do RedHat, o script de instalação do Slackware funciona baseado no pkgtool, logo seja qual for o tipo de instalação que voce fez é muito provavel que o pkgtool já esteja presente no seu linux. Os pacotes binários do Slackware tem a extensão .tgz e são taballs compactados com gzip, como todos os .tar.gz por ai, contendo a arvore de diretórios, padrão do Slack, e os arquivos necessários. A pagina oficial do Slackware sobre o pkgtool é http://www.slackware.com/config/packages.php mas aqui vamos dar uma olhada nas ferramentas:

pkgtool: inicializa um menu em modo texto para instalar, desinstalar, atualizar e remover pacotes do seu Slackware. Para rodar digite em um terminal:

 root@darkstar# pkgool 

 

installpkg: instala diretamente um pacote. Para rodar digite em um terminal:

 root@darkstar#installpkg pacote.tgz 

 

removepkg: remove diretamente um pacote. Para rodar digite em um terminal:

 root@darkstar#removepkg pacote.tgz 

 

A lista de pacotes instalados pode ser vista em: /var/log/packages/

Essas são as principais ferramentas de gerenciamento de pacotes do Slackware, na internet o maior repositório de pacotes binários para o Slackware é o www.linuxpackages.net, la você procura o pacote podendo até mesmo especificar a arquitetura em que ele foi compilado, isso muitas vezes melhora o desempenho de alguns pacotes porque se você tem um Pentium 4 pode pegar pacotes para P4 e não somente para x86.

Kpackage

O Kpackage é um gerenciador de pacotes genérico, com interface gráfica, feito em Qt, ele já vem com a instalação do Slackware mas pode ser baixado em http://www.general.uwa.edu.au/u/toivo/kpackage/ .

O Kpackage é uma ótima opção para manutenção dos pacotes, pois tem um mecanismo de pesquisa de pacotes instalados bem mais rápido que o pkgtool. Para rodar digite em um terminal:

 root@darkstar# kpackage & 

 

Ou crie um link para aplicativo no seu gerenciador de janelas, se já não existir.

Rpm2tgz

Este utilitário converte pacotes RPM para o formato TGZ. Para rodar digite em um terminal:

 root@darkstar# rpm2tgz pacote.rpm 

 

Ele cria um pacote.tgz no diretório em que foi executado. Para instalar esse pacote basta usar umas das opções já comentadas.

Slapt-get

O Slapt-get é um gerenciador de pacotes APT-Like, baseado no funcionamento do Apt-get do debian o Slapt-get baixa os pacotes diretamente do repositório e instala, tem várias opções para atualizar, procurar, listar e instalar pacotes e pode ser baixado em http://freshmeat.net/projects/slaptget/ Algumas opções do Slapt-get:

 root@darkstar# slapt-get --update 

Faz o update de todos os pacotes da base de dados da maquina.

 root@darkstar# slapt-get upgrade 

 

Faz o upgrade dos pacotes instalados.

 root@darkstar# slapt-get --show _nome_do_pacote 

Procura pelo pacote especificado e o instala se desejado.

O Slapt-get utiliza o pkgtool para fazer as instalações então você pode continuar usando os dois em paralelo em seu linux.

Todo mundo sabe que pacotes pré-compilados degradam o sistema, mas a instalação de um pacote desse tipo muitas vezes leva praticamente só o tempo de download, e isso é bom! Afinal quem é que não ficou uma hora na frente do micro esperando algum programa compilar e depois de tudo isso da um erro que você não tem a mínima idéia de onde saiu.

Fonte: http://www.dicas-l.com.br/print/20060617.html

Configurando o OpenOffice

Colaboração: Carlos E. Morimoto

O OpenOffice é um dos aplicativos mais complexos que temos no Linux, com mais linhas de código que o próprio Kernel e um sem número de componentes e bibliotecas diferentes. Ele também inclui suporte a diversas línguas e a Java, o que torna o conjunto ainda mais complexo :).

É possível obter o OpenOffice a partir de dois lugares. No http://www.openoffice.org/, você pode baixar o pacote oficial da Sun, disponibilizado em várias línguas (que é o pacote que vem pré-instalado na maioria das distribuições), enquanto no http://www.openoffice.org.br/ você encontra o pacote localizado para o Brasil, mantido pela equipe responsável pela tradução para o Português do Brasil, ainda na época do StarOffice.

Na pasta de downloads do site, você encontra três pacotes:

1. OOo_2.0_Win32Intel_install.exe: O pacote com o instalador for Windows.

    

2. OOo_2.0_LinuxIntel_install_debs.tar.gz: O pacote compactado, contendo o OpenOffice empacotado na forma de pacotes .deb.

    

3. OOo_2.0_LinuxIntel_install_rpms.tar.gz: Tem o mesmo conteúdo, mas empacotados na forma de pacotes RPM.

Pela lógica, se você usasse o Ubuntu, Kurumin, ou qualquer outra distribuição derivada do Debian, você baixaria os pacotes contendo os pacotes .deb. Mas, isto nem sempre é uma boa idéia, pois este pacote é gerado para trabalhar no Debian unstable e tem um grande número de dependências, que impedem que seja instalado em muitas distribuições.

Ao invés disso, a instalação é mais simples se você baixar o pacote com os pacotes RPM e convertê-los usando o alien. Para isso, comece instalando o alien pelo apt-get, como em:

 # apt-get install alien 

 

Descompacte o pacote e, dentro da pasta contendo os pacotes .rpm, rode o comando que faz a conversão:

 # alien *.rpm 

 

Isso vai gerar um conjunto de pacotes com o mesmo nome, porém com a extensão .deb. Você pode em seguida instalá-los usando o comando:

 # dpkg -i *.deb 

 

Na pasta desktop-integration você encontra pacotes contendo os ícones do menu iniciar para várias distribuições. Lembre-se que você deve instalar apenas um deles. O arquivo com os pacotes .deb contém o pacote openoffice.org-debian-menus, com os ícones para as distribuições derivadas do Debian.

Na verdade, esta parte da instalação não é necessária na grande maioria dos casos, pois o OpenOffice já vem pré instalado na maioria das distribuições. O próximo passo é o corretor ortográfico, uma peça essencial se você realmente usa o OpenOffice no dia a dia.

O OpenOffice 2.0 é por padrão instalado dentro da pasta /opt/openoffice.org2.0. Em algumas distribuições, que incluem pacotes próprios, a pasta de instalação pode ser a /usr/lib/openoffice2 ou mesmo /usr/share/openoffice, mas este é um daqueles casos em que a ordem não altera o resultado.

Dentro da pasta de instalação, acesse o diretório share/dict/ooo/, que é onde vão os dicionários da correção ortográfica. O corretor completo é composto por três componentes, o corretor propriamente dito, o hifenizador (que entende a divisão das sílabas) e o dicionário de sinônimos (thesaurus), que inclui uma longa lista com variações de palavras, que complementa o dicionário principal.

O pacote do OpenOffice da Sun vem apenas com um deles (o corretor). O pacote do OpenOffice.org.br vinha com os três na época do 1.1.3, mas estranhamente passou a vir apenas com apenas o corretor, na versão 2.0, resultando numa correção ortográfica bastante pobre.

Você pode verificar o status do seu, em Ferramentas > Opções > Configurações de Idioma > Recursos de Correção Ortográfica. Se apenas o OpenOffice.org MySpell SpellChecker estiver disponível, (como neste screenshot do OpenOffice incluído no Ubuntu 5.10), significa que apenas o corretor está instalado.

Mas, não existe motivo para pânico :). Você pode baixar o restante dos componentes aqui:

http://guiadohardware.net/kurumin/download/dics-oo2-kurumin.tar.gz

Como o nome sugere, este é o arquivo com os dicionários que reuni para uso no Kurumin, mas que naturalmente pode ser usado em qualquer distribuição. Para instalar, descompacte o arquivo e copie seu conteúdo para dentro da pasta /share/dict/ooo/, dentro do diretório de instalação do OpenOffice, substituindo os arquivos existentes.

Se você escreve textos técnicos, pode baixar também o meu dicionário pessoal, que contém uma lista enorme de termos técnicos, que ao ser instalado faz o corretor deixar de marcar os termos como palavras incorretas. Salve o arquivo na pasta share/wordbook/pt-BR/ dentro da pasta de instalação do OpenOffice. Desculpe pelo link longo ;).

http://www.guiadohardware.net/kurumin/skel/.openoffice.org2/user/wordbook/kurumin.dic

Depois de salvar os arquivos, feche todas as janelas do OpenOffice e abra-o novamente. Isso fará com que ele encontre os novos arquivos e ofereça a opção de usá-los. Volte ao Ferramentas > Opções > Configurações de Idioma > Recursos de Correção Ortográfica e você verá que apareceram mais duas opções no campo Módulos de Idiomas disponíveis e o dicionário kurumin no campo Dicionários definidos pelo usuário. Marque todas as opções e você ficará com o corretor completo.

No campo opções marque a opção Verificar em todos os idiomas. O pacote dos dicionários que disponibilizei contém também os arquivos do corretor em Inglês (en_US), de forma que ao ativar esta opção o corretor passará a entender também palavras em Inglês (simultaneamente com as em Português) o que acaba sendo bastante útil, já que é muito comum usarmos termos e palavras do Inglês no dia a dia.

Isso evita que você tenha que abaixar e instalar todo o pacote do Openoffice.org.br só por que os corretores não vieram em ordem. O próximo passo é dar uma olhada geral nas configurações, para reduzir o tempo de carregamento e uso de memória.

É quase que um consenso que o OpenOffice é pesado e que demora pra abrir. Mas grande parte do peso é devido à configuração padrão, que está longe de ser otimizada. A maior parte das configurações é definida durante a compilação e por isso não podem ser alteradas facilmente, mas existem duas configurações simples que podem ser modificadas rapidamente pelo Ferramentas > Opções e resultam em resultados interessantes.

A primeira é desativar o Java na opção OpenOffice.org > Java > Usar um JRE. Na verdade, o Java foi integrado artificialmente ao OpenOffice, como uma tentativa da Sun de integrar os dois produtos, fazendo com que a popularidade do OpenOffice impulsionasse também o uso do Java de uma forma geral. O Java é usado apenas em macros, algumas funções dentro do Base (o banco de dados incluído no OpenOffice 2.0) e os assistentes para criação de documentos.

Desativar o Java reduz o tempo de carregamento do OpenOffice quase pela metade e de quebra diminui o uso de memória em quase 30 MB. Você tem a opção de reativar o Java ao tentar usar qualquer opção que realmente precise dele, de forma que você pode desativa-lo com segurança.

Um dos motivos do OpenOffice demorar mais para abrir e salvar documentos do que o MS Office é o fato dele salvar todas as imagens e o próprio texto e formatação do documento num formato compactado, que resulta em arquivos brutalmente menores que os do Office, mas que exigem muito mais processamento para serem criados e abertos.

Uma forma de reduzir o tempo de carregamento é aumentar o tamanho do cache gráfico, na opção OpenOffice.org > Memória > Cache Gráfico. Usar um cache maior faz com que o OpenOffice consuma mais memória RAM, mas fique perceptivelmente mais rápido. Se você tem um micro com 512 MB, vai ter bons resultados reservando de 80 a 150 MB dentro da opção Utilização para o OpenOffice.org. Se, por outro lado, você tem um micro com 256 MB ou menos, vai ter melhores resultados usando um cache menor, de 20 a 40 MB. Ajuste também a opção Memória por Objeto, que deve ser proporcional ao tamanho total do cache. Ao usar um cache maior, aumente o valor e ao usar um cache menor, reduza-o.

Desativando o Java, aumentando o tamanho dos cache e fuçando um pouco mais nas configurações é possível fazer o OpenOffice carregar em cerca 6 segundos num Sempron 2800 com 512 MB (primeiro carregamento, sem preloading) e em pouco mais de 3 segundos a partir do segundo carregamento (quando ele já está armazenado no cache de disco) e consumindo bem menos memória RAM que de costume.

---

Gostou da dica? Veja a agenda de cursos presenciais com Carlos E.Morimoto em Porto Alegre e São Paulo

Fonte: http://www.dicas-l.com.br/print/20051116.html

Configurando Ntop 3.1 a partir do código fonte.

Colaboração: André Jaccon

Neste artigo irei mostrar como configurar o Ntop 3.1, a partir do código fonte do software.

Considerações iniciais

SO: Debian Gnu/Linux 3.0 R4, Kernel 2.4.29

Pacotes necessários

• Libgdbm-dev - download via Apt-Get ( Mirrors listados abaixo )
• Libpng3-dev - download via Apt-Get ( Mirrors listados abaixo )
• Libpcap2 - http://www.firewalls.com.br/tcpdump/release/libpcap-0.7.2.tar.gz
• GD 2.0.33 - http://www.boutell.com/gd/
• Ntop 3.1 - www.ntop.org

Instalando as bibliotecas necessárias

Ambas as bibliotecas que iremos instalar via Apt-Get os mirrors que foram usados estão listados abaixo:

 deb http://ftp.br.debian.org/debian/ testing main deb-src http://ftp.br.debian.org/debian/ testing main deb http://download.unesp.br/linux/debian/ testing main deb-src http://download.unesp.br/linux/debian/ testing main deb http://ftp.br.debian.org/debian/ stable main deb-src http://ftp.br.debian.org/debian/ stable main deb http://packages.dotdeb.org ./ deb-src http://sources.dotdeb.org ./ 

 

OBS: Para aqueles que não estão acostumados ou são novatos no Debian, as linhas acima devem ser adicionadas no arquivo /etc/apt/sources.list, e depois deve ser feito o update da base de dados de pacotes do Apt com o comando:

 # apt-get update 

 

Compilando as bibliotecas e aplicativos necessários:

Libgdbm-dev

Para instalar a biblioteca libgdbm-dev você deve usar os comandos abaixo:

 # apt-get install libgdbm-dev 

 

Lipng3-dev

Seguindo o exemplo acima para instalar o Libpng use os comandos abaixo:

 # apt-get install libpng3-dev 

 

Os pacotes que iremos instalar abaixo foram compilados a partir do código fonte, estes pacotes podem ser encontrados nos sites mencionados na parte superior deste artigo.

Libpcap2

Em nosso caso usamos a biblioteca LibpCap2, para instalar a partir do código fonte use os comandos abaixo:

 # tar -zxvf libpcap-0.7.1.tar.gz # cd libpcap-0.7.1 # ./configure # make # make install 

 

Gd 2.0.33

Para instalar o GD a partir do fonte use os comandos:

 # tar -zxvf gd-2.0.33.tar.gz # cd gd-2.0.33 # ./configure # make # make install 

 

Ntop 3.1

Finalmente chegamos no último passo para instalação do Ntop, porém antes de descompactar e compilar o Ntop é necessário que você siga os passos abaixo:

1) Crie um grupo chamado ntop

 # groupadd ntop 

 

2) Crie/Adicione o usuário Ntop ao grupo Ntop

 # useradd -s /bin/false -d /dev/null -g ntop ntop 

 

3) Não é necessário criar uma senha para o usuário Ntop neste passo.

Tendo seguido os passos acima descompacte o Ntop 3.1 e depois compile seguindo os passos abaixo:

 # tar -zxvf ntop-3.1.tgz 

 # ./configure 

 # make 

 # make install 

 

Caso você tenha seguido com sucesso nossos exemplos de instalação seu Ntop 3.1 já deve estar pronto para ser colocado em produção faça um teste:

 # /usr/sbin/ntop -w 3000 -u ntop -i eth0 

 

onde as flags:

 -w : indica a porta tcp a ser iniciado o serviço -u : indica o usuário a ser usado no Ntop 'o padrão é o ntop' -i : indica qual porta iremos monitorar 

 

Estas são apenas algumas das flags que podem ser usadas pelo Ntop, verifique os diversos documentos que estão disponiveis dentro da sub-pasta docs do ntop, a pasta ntop que estou me referindo é a pasta descompactada para compilação do mesmo.

Você também pode personalizar a interface web do Ntop alterando os arquivos em /usr/share/ntop/html

É isso aí pessoal, qualquer dúvida ou informação é só entrar em contato através do projeto FSBOX.org, http://fsbox.org/

Fonte: http://www.dicas-l.com.br/print/20050304.html