Já a algum tempo, eu havia feito um guia para instalação de uma solução igual a essa só que o tempo passa e o guia já está desatualizado, contempla a versão 2 do rSyslog e o phpLogCon até mudou de nome para LogAnalyzer, nada mais justo que atualizar o guia para as última versões, são elas:

• rSyslog 3.22.3
• LogAnalyzer 3.0.7

Esse guia será feito com o FreeBSD 8.1 podendo ser adaptado para qualquer distribuição Linux.

Sabe por que é fácil adaptar? Por que a única fase do processo que não depende de instalação nativa de pacotes da distribuição é o final, da instalação do LogAnalyzer, de resto, tudo é instalável de forma padrão pertinente a distribuição Linux adotada.

Instalação do rSyslog3 e sua configuração

cd /usr/ports/sysutils/rsyslog3-mysql
make install
cp work/rsyslog-3.xx.x/plugins/ommysql/createDB.sql ~

No caso, no momento o caminho para esse arquivo atualmente é:

/usr/ports/sysutils/rsyslog3-mysql/work/rsyslog-3.22.3/plugins/ommysql/createDB.sql

A versão pode mudar (mudará) dependendo da época que se está usando esse guia.

Editar /etc/rc.conf e adicionar as linhas

rsyslogd_enable="YES"
rsyslogd_config="/usr/local/etc/rsyslog.conf"

Editar o arquivo /usr/local/etc/rsyslog.conf
Se estiver em branco, colocar o conteúdo dele como abaixo:

################################################################################
# rsyslog v3: load input modules
# If you do not load inputs, nothing happens!
# You may need to set the module load path if modules are not found.

$ModLoad immark   # provides --MARK-- message capability
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog   # kernel logging (formerly provided by rklogd)

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                -/var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog

# Log cron stuff
cron.*                                                  -/var/log/cron

# Everybody gets emergency messages
*.emerg                                                 *

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          -/var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log

# Remote Logging (we use TCP for reliable delivery)
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#$WorkDirectory /rsyslog/spool # where to place spool files
#$ActionQueueFileName uniqName # unique name prefix for spool files
#$ActionQueueMaxDiskSpace 1g   # 1gb space limit (use as much as possible)
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
#$ActionQueueType LinkedList   # run asynchronously
#$ActionResumeRetryCount -1    # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514

# ######### Receiving Messages from Remote Hosts ##########
# TCP Syslog Server:
# provides TCP syslog reception and GSS-API (if compiled to support it)
#$ModLoad imtcp.so  # load module
#$InputTCPServerRun 514 # start up TCP listener at port 514

# UDP Syslog Server:
$ModLoad imudp.so  # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514

# MySQL
$ModLoad ommysql.so
*.*    :ommysql:localhost,Syslog,rsyslog,info2001
################################################################################

Instalação do PHP5 e extenções necessárias

cd /usr/ports/lang/php5
make config

make install

PHP5 extensions

cd /usr/ports/lang/php5-extensions
make config

make clean
make install

Instalação do MySQL 5.1.x

cd /usr/ports/databases/mysql51-server/
make install

Editar /etc/rc.conf e adicionar

mysql_enable="YES"

Iniciar o mysql

/usr/local/etc/rc.d/mysql-server start

Importar o dump .sql do Loganalyzer

mysql < ~/createDB.sql

Criar um usuário para o rsyslog conectar no banco de dados Syslog

mysql
mysql> CREATE USER 'rsyslog'@'localhost' IDENTIFIED BY 'info2001';
mysql> GRANT ALL PRIVILEGES ON Syslog.* TO 'rsyslog'@'localhost';
mysql> quit

Iniciar o rSyslog3

Primeiro parar o syslog original

/etc/rc.d/syslogd stop

Então iniciar o rsyslog

/usr/local/etc/rc.d/rsyslogd start

Verificar se o rsyslog está executando:

ps awx | grep rsyslogd

E também verificar o /var/log/messages pela linha:

2011-03-21T13:02:54.406366-03:00 040prx005 rsyslogd: [origin software="rsyslogd" swVersion="3.22.3" x-pid="24327" x-info="http://www.rsyslog.com"] (re)start

Instalação e configuração do LogAnalyzer

cd
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.0.7.tar.gz

Acessar o site http://loganalyzer.adiscon.com/downloads para pegar a última versão

tar zxvf loganalyzer-3.0.7.tar.gz
cd loganalyzer-3.0.7
mv src /usr/local/www/data/syslog
cd /usr/local/www/data/syslog
touch config.php
chmod 666 config.php

Configuração do LogAnalyzer

Acessar o endereço do servidor em:
http://IP_SERVIDOR/syslog/install.php

No passo 6, escolha um usuário e senha que terá acesso administrativo ao LogAnalyzer.

No passo 8, tudo foi feito com sucesso, clique em “here” ou em “Finish!”.

Irá para a tela de login:

egrep 'ad[0-9]|cd[0-9]' /var/run/dmesg.boot

E a saída desse comando será algo como:

acd0: CDRW  at ata0-master UDMA33
ad2: 76318MB  at ata1-master UDMA100
ad3: 76318MB  at ata1-slave UDMA100

Onde:

1. IDE Hard disk começa com ad – /dev/ad0 primeiro IDE hard disk, /dev/ad1 segundo hard disk e assim por diante
2. SCSI Hard disk começam com da – /dev/da*
3. IDE CDROM/RW/DVD começam com acd – /dev/acd*
4. SCSI CDROM/RW/DVD começam com cd – /dev/cd*

Ter um PDF é bom, é prático e tudo o mais, mas é necessário ter um programa específico para poder abrir os arquivos .pdf como o Acrobat Reader, o evince e outros.

As vezes não é necessário ou não é desejado ter um programa específico para poder abrir PDFs, sendo mais prático, no entanto, utilizar o próprio navegador que suporta abrir as imagens diretamente sem auxílio externo.

Caso essa seja a sua necessidade, converter os PDFs que estejam num servidor ou o que seja, vou mostrar abaixo como converter PDF para imagem através da linha de comando do Linux utilizando o programa ImageMagick.

Instalando o ImageMagick no CentOS / Red Hat

No Red Hat / CentOS é bem simples:

yum install ImageMagick

Será instalado o ImageMagick e todas as dependências. Não se assuste se dentre elas ter alguma biblioteca do x.org, é necessário para várias bibliotecas de imagem.

Convertendo o PDF em imagem

Para converter o PDF propriamente dito para um arquivo de imagem, simplesmente execute o comando convert mais o destino, por exemplo:

convert Relatorio2010.pdf Relatorio2010.png

Será gerado uma imagem do PDF no formato .png, mas caso seja necessário que o PDF seja convertido para JPEG, altere a extensão do arquivo de destino:

convert Relatorio2010.pdf Relatorio2010.jpg

Isto é definido pelo parâmetro Banner do arquivo /etc/ssh/sshd_config.

Primeiro, crie o arquivo que conterá a mensagem que será apresentada quando o usuário tentar fazer login via SSH no servidor.

Arquivo: /etc/ssh/banner.txt

************************************************

            NOTICE TO USERS WARNING! 

The use of this system is restricted to authorized
users, unauthorized access is forbidden and will
be prosecuted by law. 

All information and communications on this system
are subject to review, monitoring and recording at
any time, without notice or permission. 

Users should have no expectation of privacy. 

*************************************************

Edite o arquivo /etc/ssh/sshd_config e procure pelo parâmetro Banner, geralmente está próximo do final desse arquivo.

Provavelmente esse parâmetro estará comentado:

#Banner /some/path

Altere essa linha para:

Banner /etc/ssh/banner.txt

Grave a alteração e reinicie o servidor do ssh:

service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

ou

/etc/init.d/sshd restart

Para testar se tudo está OK, tente conectar-se via SSH no host que foi feita a alteração:

ssh localhost

Deverá ser apresentada uma tela parecida com a seguinte:

The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is e8:86:ca:cc:e5:fd:cc:76:c3:57:55:5b:67:f8:98:c3.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
************************************************

            NOTICE TO USERS WARNING! 

The use of this system is restricted to authorized
users, unauthorized access is forbidden and will
be prosecuted by law. 

All information and communications on this system
are subject to review, monitoring and recording at
any time, without notice or permission. 

Users should have no expectation of privacy. 

*************************************************

root@localhost's password:

Estou colocando aqui um exemplo que pode ser adaptado para sua necessidade.

No caso, essa linha adiciona o caracter “:” (sem as aspas) a cada 2 caracteres.

Utilizei para formatar uma lista enorme de MAC address que me foi passado no formato 00106037614C

O arquivo texto original continha várias linhas:

Arquivo: mac1.txt

001060376173
001060376124
00106037614C
001060374840
001060376125
00106037612A
001060376176
001060375D9A
001060375D97

E executando sed, na linha abaixo

sed -e :a -e 's/\(.*[0-9,A-Z]\)\([0-9,A-Z]\{2\}\)/\1:\2/;ta' mac1.txt > mac2.txt

O resultado que foi direcionado para o arquivo mac2.txt é o desejado:

00:10:60:37:61:73
00:10:60:37:61:24
00:10:60:37:61:4C
00:10:60:37:48:40
00:10:60:37:61:25
00:10:60:37:61:2A
00:10:60:37:61:76
00:10:60:37:5D:9A
00:10:60:37:5D:97

This error can happen with Linux or FreeBSD or whichever SO that ClamAV support.

When you run

clamscan

You get this error

LibClamAV Error: cli_loaddb(): No supported database files found in /var/db/clamav
ERROR: Can't open file or directory

----------- SCAN SUMMARY -----------
Known viruses: 0
Engine version: 0.95.1
Scanned directories: 0
Scanned files: 0
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 0.001 sec (0 m 0 s)

It means that you have no database virus.

Just configure and run freshclam.

A sample freshclam.conf file:

DatabaseDirectory /var/lib/clamav
UpdateLogFile /var/log/freshclam.log
LogTime yes
LogSyslog yes
PidFile /var/run/clamd/freshclam.pid
DatabaseOwner clamav
DNSDatabaseInfo current.cvd.clamav.net
DatabaseMirror db.br.clamav.net
DatabaseMirror database.clamav.net
NotifyClamd /usr/local/etc/clamd.conf
SubmitDetectionStats /usr/local/etc/clamd.conf
DetectionStatsCountry BR

Quando se está atrás de um proxy para acessar sites e etc, os programas CSUP e CVSUP não irão conectar via HTTP ou FTP através do Proxy, mesmo que as variáveis HTTP_PROXY e/ou HTTP_PROXY_AUTH estejam definidas.

Mas há uma alternativa simples e elegante utilizando ssh forward para ter seu FreeBSD atualizado :)

Pré-requisito

Ter acesso ao ssh do Proxy que tem acesso à internet e consiga conectar na porta 5999 na internet

Tunelando com SSH forward

Com o pré-requisito satisfeito, para utilizar o CSVUP ou o CSUP faça um SSH no servidor proxy ou no computador que tenha acesso à internet fazer um forward na porta 5999, conforme o exemplo:

ssh -L 5999:cvsup4.FreeBSD.org:5999 -l usuario host.com.acesso.a.internet

O SSH vai redirecionar as conexões em localhost na porta 5999 para o host cvsup4.FreeBSD.org porta 5999.

Isto feito, para utlizar agora o CSUP ou CVSUP:

cvsup -h localhost

ou

csup -h localhost

ou ainda editar o arquivo supfile definindo o host como localhost.

Ao iniciar o FreeBSD em single mode, o Sistema entra direto como root, sem pedir senha.

Causa

Para evitar esse tipo de situação e obrigando quem quer que seja a saber a senha para poder mexer no sistema, proceda da seguinte maneira:

Edite o arquivo /etc/ttys e procure pela linha

console none                            unknown off secure

Solução

E altere o parâmetro onde lê-se secure para insecure, ficando assim:

console none                            unknown off insecure

Após isso, quando for iniciado no single mode, o acesso somente será permito à console mediante confirmação da senha.

Compiling libsmb/clikrb5.c
libsmb/clikrb5.c: In function `krb5_set_real_time':
libsmb/clikrb5.c:128: error: dereferencing pointer to incomplete type
libsmb/clikrb5.c:129: error: dereferencing pointer to incomplete type
The following command failed:
cc -I. -I/usr/ports/net/samba3/work/samba-3.0.26a/source  -O2 -pipe
-march=prescott -D_SAMBA_BUILD_=3 -I/usr/local/include
-I/usr/ports/net/samba3/work/samba-3.0.26a/source/iniparser/src
-Iinclude -I./include  -I. -I. -I./lib/replace -I./lib/talloc
-I./tdb/include -I./libaddns -I./librpc -DHAVE_CONFIG_H
-I/usr/local/include -DLDAP_DEPRECATED
-I/usr/ports/net/samba3/work/samba-3.0.26a/source/lib -D_SAMBA_BUILD_=3
-fPIC -DPIC -c libsmb/clikrb5.c -o libsmb/clikrb5.o
*** Error code 1

Stop in /usr/ports/net/samba3/work/samba-3.0.26a/source.
*** Error code 1

Stop in /usr/ports/net/samba3.
*** Error code 1

Stop in /usr/ports/net/samba3.

Para resolver isso, instale, pelo ports, o krb5

cd /usr/ports/security/krb5
make install

Em seguida, volte ao port do samba e prossiga com a instalação

cd /usr/ports/net/samba3
make clean
make KRB5_HOME=/usr/local
make install

No linux, para montar uma imagem de CD o comando

mount -o loop /caminho/imagem.iso /ponto/de/montagem

é o suficiente, mas e no FreeBSD? Como chegar ao mesmo resultado?

A sequencia de comandos a serem digitados é esta:

mdconfig -a -t vnode -f /caminho/para/imagem.iso -u 1
mount -t cd9660 /dev/md1 /ponto/de/montagem

Para quem trabalha com vários servidores Linux / FreeBSD atualizar todos os servidores para o horário e verão é uma tarefa cansativa e chata.

Vou disponibilizar aqui um script para ser utilizado nessa tarefa, ou seja, um script que atualizará todos os servidores listados em um arquivo e os deixará prontos para a virada do horário.

O funcionamento do script é bem simples, é composto por 3 arquivos

• daylight.sh
• daylight.exp
• servidores.txt

Vou explicar rapidamente o que é cada um desses arquivos e o que fazem.

Pré-requisitos

• expect
• openssh

Posts relacionados

• Horario de verão no Linux e FreeBSD 2009/2010
• Horario de verão no Linux e FreeBSD

daylight.sh

É o script principal, responsável por ler os dados dos servidores do arquivo servidores.txt e repassar para o script expect que atuará nos servidores.

Arquivo daylight.sh

#!/bin/bash

# Script para atualizacao em massa, via ssh, das regras de horario de verão
# nos servidores listados no arquivo
#
# - servidores.txt
#
# Autor: Daniel K Lima
# Data: 17/10/2009
########################

# VARIAVEIS para funcionamento do script
SERVIDORES="./servidores.txt"
DAYLIGHT="./daylight.exp"

# Testa se o arquivo servidores.txt existe
if [ ! -e ${SERVIDORES} ]
	then
	echo "Arquivo 'servidores.txt' não encontrado."
	exit 1
fi

# Ler o arquivo ${SERVIDORES} e processar cada linha que contém informações
# acerca da conexão
cat ${SERVIDORES} | while read LINHA
do
	# Joga os campos em variáveis
	HOST=$(echo ${LINHA} | cut -d',' -f1)
	USERNORMAL=$(echo ${LINHA} | cut -d',' -f2)
	USERPASSWD=$(echo ${LINHA} | cut -d',' -f3)
	ROOTPASSWD=$(echo ${LINHA} | cut -d',' -f4)

	# Teste sobre repasse das variáveis
	#echo ${HOST}
	#echo ${USERNORMAL}
	#echo ${USERPASSWD}
	#echo ${ROOTPASSWD}

	# Chama o arquivo expect com os parâmetros coletados
	# Testa se o expect existe
	if [ ! -e ${DAYLIGHT} ]
		then
		echo "Arquivo com script expect ${DAYLIGHT} não encontrado"
		exit 1
	else
		# Garantir que o arquivo tenha permissão de execução
		chmod 755 ${DAYLIGHT}

		# imprimir na tela o comando que esta sendo executado
		#echo "${DAYLIGHT} ${HOST} ${USERNORMAL} ${USERPASSWD} ${ROOTPASSWD}"

		# executar o script expect com os parametros
		${DAYLIGHT} ${HOST} ${USERNORMAL} ${USERPASSWD} ${ROOTPASSWD}
	fi

done

Nota
Recomendo fazer o download do script daylight.sh ao invés de copiar o código, ao copiar e colar alguma coisa pode ser “truncada” e erros serão inevitáveis.

daylight.exp

Contém o script expect que automatizará a conexão com os servidores baseado nos parâmetros que o script daylight.sh passar e criará os arquivos da nova timezone para o horário de verão.

Arquivo daylight.exp

#!/usr/bin/expect -f
#
set force_conservative 0;
if {$force_conservative} {
	set send_slow {1 .1}
	proc send {ignore arg} {
		sleep .1
		exp_send -s -- $arg
	}
}

# argv 0 = host a ser conectado
# argv 1 = usuario para conexao SSH
# argv 2 = senha do usuario
# argv 3 = senha do root

set timeout -1
spawn $env(SHELL)
match_max 100000
send -- "ssh -l [lindex $argv 1] [lindex $argv 0]\r"
expect "word:"
send -- "[lindex $argv 2]\r"
expect "\$ "
send -- "su - root\r"
expect "word:"
send -- "[lindex $argv 3]\r"
expect "# "
send -- "cd /usr/share/zoneinfo/America\r"
expect "# "
send -- "cat > Sao_Paulo.zic << EOF\r"
expect "> "
send -- "Rule Brazil 2009 only - Oct 18 00:00 1 S\rRule Brazil 2010 only - Feb 21 00:00 0 -\r\rZone Brazil/East -3:00 Brazil BR%sT"
send -- "\r"
expect "> "
send -- "EOF\r"
expect "# "
send -- "zic Sao_Paulo.zic\r"
expect "# "
send -- "alias cp='cp'\r"
expect "# "
send -- "cp Sao_Paulo /etc/localtime\r"
expect "# "
send -- "date\r"
expect "# "
send -- "exit\r"
expect "\$ "
send -- "exit\r"
expect "$ "
send -- ""
expect eof

Nota
Recomendo fazer o download do script daylight.exp ao invés de copiar o código, ao copiar e colar alguma coisa pode ser “truncada” e erros serão inevitáveis, como por exemplo o envio das teclas Ctrl+D que não aparece no código listado acima.

servidores.txt

Contém a lista de servidores com usuário normal, senha do usuário normal e senha do root.

O formato desse arquivo é bem simples:

host,usuario_normal,senha_usuario_normal,senha_root

Note que os parâmetros são separados por vírgula.

Um exemplo desse arquivo ficaria assim:

192.168.32.20,master,xP57KLXu,89MX1sPSys3P
192.168.8.14,master,xP57KLXu,89MX1sPSys3P
192.168.32.42,master,xP57KLXu,89MX1sPSys3P
192.168.16.55,master,oz1XBUTK,89MX1sPSys3P
192.168.16.252,master,oz1XBUTK,89MX1sPSys3P
192.168.16.22,master,oz1XBUTK,sWr9MyYo
192.168.16.240,master,xP57KLXu,89MX1sPSys3P
192.168.16.18,master,xP57KLXu,sWr9MyYo
192.168.16.239,master,xP57KLXu,sWr9MyYo
192.168.8.26,master,xP57KLXu,89MX1sPSys3P
192.168.8.33,master,xP57KLXu,89MX1sPSys3P
192.168.32.132,master,xP57KLXu,sWr9MyYo
192.168.32.79,master,xP57KLXu,sWr9MyYo
192.168.32.21,master,oz1XBUTK,89MX1sPSys3P
192.168.32.22,master,oz1XBUTK,89MX1sPSys3P
192.168.32.55,master,oz1XBUTK,89MX1sPSys3P
192.168.32.44,master,xP57KLXu,sWr9MyYo
192.168.32.205,master,xP57KLXu,89MX1sPSys3P
192.168.32.204,master,oz1XBUTK,89MX1sPSys3P
192.168.32.60,master,xP57KLXu,sWr9MyYo
192.168.8.21,master,xP57KLXu,89MX1sPSys3P
192.168.32.111,master,xP57KLXu,89MX1sPSys3P

Onde: master é o usuário comum, e a última coluna, é a senha do usuário root

Notas

Algumas observações importantes acerca dos scripts, principalmente relacionado ao expect.

Nota 1

O script não sabe como lidar com verificação de certificado para servidores que ainda não estão na lista ~/.ssh/known_hosts, portanto, para o script funcionar a contento, adicione essas duas linhas no arquivo ~/.ssh/config

Arquivo ~/.ssh/config

Host *
StrictHostKeyChecking no

Nota 2

Em todos os hosts, o shell padrão do usuário comum e do root é o bash ou o sh.

Se você utiliza o csh deverá adaptar o arquivo daylight.exp na linha 23, onde ele espera o caracter $ que é do bash e do sh, e substituir por % .

O timeout do expect está em -1, ou seja, se algum erro acontecer o expect congelará e é possível sair do processo spawned com Ctrl+C, verifique onde o script parou e faça os ajustes.

find / -type l

No exemplo mostrado ele vai procurar por todo o sistema, caso queira restringir a apenas um diretório em específico, substitua o ‘/’ por ‘/diretorio’, sem os apóstrofos.

Este post serve para qualquer distribuição Linux ou qualquer BSD, pois por padrão os arquivos de configuração do OpenSSH estão em /etc/ssh

Começe por editar o arquivo /etc/ssh/sshd_config e localizar a linha

#Port 22

Por padrão ela vem comentada porque o SSH ouve na porta 22 por padrão mesmo, descomente essa linha e altere para uma outra porta

Port 8222

É possível também adicionar várias linhas Port sendo que com isso, em cada porta especificada o OpenSSH irá responder nas portas listadas, mas tenha certeza que a porta especificada não esteja em uso no momento.

Bastando para isso agora reiniciar o serviço do OpenSSH.

No CentOS / Red Hat

service sshd restart

No FreeBSD

/etc/rc.d/sshd restart

Para reiniciar o servidor Linux ou FreeBSD like, apenas execute o comando

reboot

ou

shutdown -r now

Como resultado você terá algo como:

Broadcast message from root (pts/0) (Wed Apr 20 01:23:45 2009):
The system is going down for reboot NOW!

No Linux/FreeBSD e afins é possível se previnir, adicionar uma regra para mudar apartir de uma data específica.

O exemplo desse post será configurado o horário de verão para 2009/2010.

Nota: Linux
É necessário estar no diretorio /usr/share/zoneinfo/America.

Nota: FreeBSD
É necessário estar no diretorio /usr/share/zoneinfo.

Post relacionado

• Script shell com expect para atualização em massa para o horário de verão 2009/2010

Criando o arquivo .zic com as regras de fuso

Para isto ser possível, segue abaixo a forma de criar essa regra.

cd /usr/share/zoneinfo/America

Primeiro, crie um arquivo .zic que conterá as regras.

Por exemplo, para alterar a regra para o fuso utilizando o horário de Brasília, crie o arquivo Sao_Paulo.zic e adicione o seguinte conteúdo:

Rule Brazil 2009 only - Oct 18 00:00 1 S
Rule Brazil 2010 only - Feb 21 00:00 0 -

Zone Brazil/East -3:00 Brazil BR%sT

A primeira linha, é o início que a data entrará em vigor e o relógio do sistema irá adiantar em 1 hora nessa data.

A segunda linha é o final do horário de verão e o relógio irá atrasar 1 hora.

A terceira linha contém o fuso horário que o arquivo é baseado.

Compilando o arquivo .zic

Isto feito, agora é só compilar o arquivo gerado para criar o novo localtime que utilizará magicamente da regra criada.

zic Sao_Paulo.zic

Após a compilação, será gerado o arquivo Sao_Paulo que o sistema utilizará para configurar o fuso.

Isto feito, copiando para o /etc as regras já entrarão em vigor no mesmo momento.

cp Sao_Paulo /etc/localtime

No Linux temos o programa hdparm que faz esse teste de velocidade do HD, mas como ter essa mesma medição sendo feito em discos no FreeBSD?

No FreeBSD o programa a ser usado é o diskinfo

Teste de leitura

diskinfo -c /dev/ad4

A opção -c é pra fazer testes simples de leitura.

A saída será algo parecido com

/dev/ad4
	512         	# sectorsize
	80026361856 	# mediasize in bytes (75G)
	156301488   	# mediasize in sectors
	155061      	# Cylinders according to firmware.
	16          	# Heads according to firmware.
	63          	# Sectors according to firmware.
	ad:6PT2KPW0 	# Disk ident.

I/O command overhead:
	time to read 10MB block      0.158553 sec	=    0.008 msec/sector
	time to read 20480 sectors   2.636794 sec	=    0.129 msec/sector
	calculated command overhead			=    0.121 msec/sector

Teste de transferência

diskinfo -t /dev/ad4

O parâmetro -t é para os testes de transferências

A saída seria algo como

/dev/ad4
	512         	# sectorsize
	80026361856 	# mediasize in bytes (75G)
	156301488   	# mediasize in sectors
	155061      	# Cylinders according to firmware.
	16          	# Heads according to firmware.
	63          	# Sectors according to firmware.
	ad:6PT2KPW0 	# Disk ident.

Seek times:
	Full stroke:	  250 iter in   7.321225 sec =   29.285 msec
	Half stroke:	  250 iter in   5.101744 sec =   20.407 msec
	Quarter stroke:	  500 iter in   8.013486 sec =   16.027 msec
	Short forward:	  400 iter in   2.371713 sec =    5.929 msec
	Short backward:	  400 iter in   3.760721 sec =    9.402 msec
	Seq outer:	 2048 iter in   0.260730 sec =    0.127 msec
	Seq inner:	 2048 iter in   0.265152 sec =    0.129 msec
Transfer rates:
	outside:       102400 kbytes in   1.496662 sec =    68419 kbytes/sec
	middle:        102400 kbytes in   1.598540 sec =    64058 kbytes/sec
	inside:        102400 kbytes in   3.015930 sec =    33953 kbytes/sec

Os únicos serviços que utilizam entradas SRV atualmente são SIP, LDAP, XMPP (jabber), Kerberos, NTP e alguns outros. Não são muitos.

A vantagem de ter entradas SRV no DNS é a simplificação de uma “alta-disponibilidade” via round-robin e também em passar o endereço dos serviços diretamente para a aplicação que irá utilizá-los.

A sintaxe para entradas SRV no Bind é:

_Serviço._Proto.Name TTL Classe SRV Prioridade Peso Porta Destino

Onde:

• Serviço: nome simbólico para o serviço
• Proto: protocolo do serviço; usualmente é TCP ou UDP.
• Name: o domínio para o qual a entrada é válida
• TTL: Time to live da entrada
• Classe: sempre é IN nesse caso
• Prioridade: a prioridade para o host de destino, valores menores significam maior preferência.
• Peso: um peso relativo à entrada com a mesma prioridade
• Porta: oa porta UDP ou TCP na qual o serviço será encontrado.
• Destino: é a entrada do DNS para o host que está provendo o serviço.

Uma entrada SRV no Bind se parece com a seguinte:

_sip._tcp.exemplo.com.br. 86400 IN SRV 0 5 5060 192.168.1.1

Atenção
Aliases ou CNAMEs não podem ser usados como destinos válidos!

_sip._tcp.exemplo.com.br. 86400 IN SRV 10 60 5060 192.168.1.1
_sip._tcp.exemplo.com.br. 86400 IN SRV 10 20 5060 192.168.1.2
_sip._tcp.exemplo.com.br. 86400 IN SRV 10 10 5060 192.168.1.3
_sip._tcp.exemplo.com.br. 86400 IN SRV 10 10 5066 192.168.1.4
_sip._tcp.exemplo.com.br. 86400 IN SRV 20 0 5060 192.168.1.5

As quatro primeiras entradas compartilham uma prioridade 10, então o valor do campo “Peso” será usado pelos clientes para determinal qual servidor (host e porta) será contactado. A soma dos quatro valores é 100, então 192.168.1.1 será utilizado 60% do tempo. Os dois hosts 192.168.1.3 e 192.168.1.4 serão utilizados 20% das requisições para cada (10% do total das requisições) onde metade vai para 192.168.1.3 na porta 5060 e outra metade vai para 192.168.1.4 porta 5066.

Se o host 192.168.1.1 ficar indisponível, essas duas máquina sobressalentes irão compartilhar a carga igualmente.

Se todos os quatro servidores com prioridade 10 ficarem indisponíveis, a entrada para próximo valor da prioridade será escolhido, que é 192.168.1.5. Essa deve ser um máquina em outra localização física, presumivelmente não vulnerável e testada.

Atenção
Deve ser notado que o balanceamento de carga para entradas SRV é limitada, uma vez que a informação é estática. A carga dos servidores em questão também não é levado em conta.

Exemplo para entrada http

_http._tcp.www.fogonacaixadagua.com.br.  IN  SRV  5         50     80  www.fogonacaixadagua.com.br.
_http._tcp.www.fogonacaixadagua.com.br.  IN  SRV  5         50     80  www2.fogonacaixadagua.com.br.
_http._tcp.www.fogonacaixadagua.com.br.  IN  SRV  10        100    8080 www3.virtualxp.org.

Exemplo para entrada NTP

_ntp._udp         IN         SRV         5         100        123         192.168.1.42
_ntp._udp         IN         SRV         10       100        123         192.168.1.15

O SQUID no FreeBSD 6.x e 7.x, versão 2.6.x e 2.7.x começaram a apresentar um erro estranho, não era problema de hardware. O serviço ‘morria‘ com sinal 6.

pid 99376 (squid), uid 100: exited on signal 6 (core dumped)
pid 7499 (squid), uid 100: exited on signal 6 (core dumped)
pid 7508 (squid), uid 100: exited on signal 6 (core dumped)
pid 7517 (squid), uid 100: exited on signal 6 (core dumped)
pid 7561 (squid), uid 100: exited on signal 6 (core dumped)
pid 7570 (squid), uid 100: exited on signal 6 (core dumped)
pid 7581 (squid), uid 100: exited on signal 6 (core dumped)
pid 7592 (squid), uid 100: exited on signal 6 (core dumped)
pid 7612 (squid), uid 100: exited on signal 6 (core dumped)
pid 7621 (squid), uid 100: exited on signal 6 (core dumped)
pid 7630 (squid), uid 100: exited on signal 6 (core dumped)
pid 7674 (squid), uid 100: exited on signal 6 (core dumped)
pid 7683 (squid), uid 100: exited on signal 6 (core dumped)

Para resolver, editar o arquivo /boot/loader.conf e acrescentar os seguintes parâmetros:

kern.ipc.msgmnb=8192
kern.ipc.msgmni=40
kern.ipc.msgseg=512
kern.ipc.msgssz=64
kern.ipc.msgtql=2048

Será necessário um reboot no servidor para que as configurações tenha efeito.

Após a adição desses parâmetros o SQUID não mais apresentou falhas de segmentação

Vamos combinar, esse Conectividade Social da CAIXA é um terror, mas enfim, temos que fazer funcionar de qualquer maneira.

Vou explicar aqui como fazer essa pérola de software funcionar em um firewall que utiliza o PF como filtro.

Nota

Na máquina cliente tem que ter o Java VM da MS (que já foi descontinuado diga-se de passagem), o Java VM da SUN NÃO irá funcionar.

Links para download do Microsoft Java Virtual Machine

• http://www.saigoninfo.com/msjavx86.exe
• http://www.meetingworks.com/files/msjavx86.exe
• http://www.linktivity.com/home/java/msjavx86.exe
• http://visiteinteractive.free.fr/VM_java/msjavx86.exe
• http://www.laplink.com/download/pcsync/upgrade/msjavx86.exe
• https://www.alibre.com/alibrelibraries/ftp/JavaVM/9xNT4/msjavx86.exe

Instalando o Java Virtual Machine da Microsoft

1. Faça o download de um dos arquivos dos links fornecidos acima e grave no seu computador.
2. Após o download, execute-o para iniciar o processo de instalação.
3. Quando começar a intalação, responda Sim, e quando completar reinicie o PC.
4. Uma vez reiniciado a VM da M já deve ser a padrão para o Internet Explorer.

Regra no PF (Packet Filter)

Fazer um NAT dos computadores da rede local para a rede da CAIXA é a melhor opção, ficaria assim a regra no PF:

ext_if="rl0"
nat on $ext_if from 172.20.89.0/24 to 200.201.173.0/24 -> ($ext_if:0)

Como saber o endereço da rede da Caixa (Conectividade)?

Através do comando:

tcpdump -n -i rl0 src 172.20.89.9

Onde 172.20.89.9 é o IP da estação que possui o Conectividade Social instalado.

Ao executá-lo no gateway, algumas linhas, como à seguir, podem ser observadas ao acessar o aplicativo da Caixa (pelo site):

13:32:35.191576 IP 172.20.89.9.2529 > 200.201.173.68.80: S 1048139273:1048139273(0) win 64512 <mss 1460,nop,nop,sackOK>
13:32:35.205855 IP 172.20.89.9.2530 > 200.201.173.68.80: S 603918652:603918652(0) win 64512 <mss 1460,nop,nop,sackOK>
13:32:35.220613 IP 172.20.89.9.2531 > 200.201.173.68.80: S 287446717:287446717(0) win 64512 <mss 1460,nop,nop,sackOK>
13:32:35.755644 IP 172.20.89.9.2529 > 200.201.173.68.80: . ack 2362721215 win 64512
13:32:35.756201 IP 172.20.89.9.2529 > 200.201.173.68.80: P 0:752(752) ack 1 win 64512
13:32:35.762470 IP 172.20.89.9.2528 > 200.201.173.68.80: P 2660:3412(752) ack 651 win 63862

Regras no squid

Para evitar que por alguma força da natureza o programa ainda insista em acessar a conectividade via Proxy, podemos garantir que ele passará direto:

Arquivo: /usr/local/etc/squid/squid.conf

acl conectividade url_regex "/usr/local/etc/squid/conectividade.url"
no_cache deny conectividade

always_direct  allow conectividade

Arquivo: /usr/local/etc/squid/conectividade.url

.caixa.gov.br

As vezes é necessário enviar um email no Linux, FreeBSD ou Unices via linha de comando com um anexo.

Esse procedimento também pode ser utilizado como parte de um Shell script que envia relatórios anexados para o email do administrador.

Corpo da mensagem

Como exemplo, o corpo da mensagem tem o seguinte conteúdo:

Arquivo: corpo.txt

Arquivo gerado para fins de teste.
Linha 2
Linha 3

Conteúdo do anexo

Já o relatório, ou o conteúdo do anexo propriamente dito, contém o seguinte dado:

Arquivo: relatorio.txt

ftpusers		nscd.conf		services
gettytab		nsmb.conf		shells
gnats			nsswitch.conf		skel
group			ntp			snmpd.config
gss			opieaccess		spwd.db
host.conf		opiekeys		ssh
hostid			pam.d			ssl
hosts			passwd			sysctl.conf
hosts.allow		pccard_ether		syslog.conf
hosts.equiv		periodic		termcap

Para gerar o conteúdo do email codificado que será enviado ao administrador, executar o comando que tonará isso válido

uuencode relatorio.txt relatorio_anexo.txt > anexo.txt

Instalando o utilitário uuencode

Caso você não possua o comando uuenconde, para instalar, basta via yum solicitar sua instalação:

yum install sharutils

E assim você terá o utilitário uuencode instalado em /usr/bin/uuencode

Preparando o email

Com o corpo do email e o anexo definidos o próximo passo é concatenar seu conteúdo e torná-los um só arquivo:

cat corpo.txt anexo.txt > mensagem.txt

O conteúdo final do arquivo gerado deve parecer com o seguinte:

Arquivo: mensagem.txt

Arquivo gerado para fins de teste.
Linha 2
Linha 3

begin 666 relatorio_anexo.txt
M4F5P;W)T($QI;F4Q(%1H:7,@:7,@=&AE($%T=&%C:&5D(%)E< &]R=`I297!O
6
Enviando o email com o anexo

mail -s "Envio do relatorio" < mensagem.txt

Na época de horário de verão sempre há um pânico extra.

No Linux/FreeBSD e afins é possível se previnir, adicionar uma regra para mudar apartir de uma data específica.

O exemplo desse post será configurado o horário de verão para 2008/2009.

Para regras 2009/2010, siga esse post:

• Horario de verão no Linux e FreeBSD 2009/2010

Nota: Linux
É necessário estar no diretorio /usr/share/zoneinfo/America.

Nota: FreeBSD
É necessário estar no diretorio /usr/share/zoneinfo.

Post relacionado

• Script shell com expect para atualização em massa para o horário de verão 2009/2010

Criando o arquivo .zic com as regras de fuso

Para isto ser possível, segue abaixo a forma de criar essa regra.

cd /usr/share/zoneinfo/America

Primeiro, crie um arquivo .zic que conterá as regras.

Por exemplo, para alterar a regra para o fuso utilizando o horário de Brasília, crie o arquivo Sao_Paulo.zic e adicione o seguinte conteúdo:

Rule Brazil 2008 only - Oct 19 00:00 1 S
Rule Brazil 2009 only - Feb 15 00:00 0 -

Zone Brazil/East -3:00 Brazil BR%sT

A primeira linha, é o início que a data entrará em vigor e o relógio do sistema irá adiantar em 1 hora nessa data.

A segunda linha é o final do horário de verão e o relógio irá atrasar 1 hora.

A terceira linha contém o fuso horário que o arquivo é baseado.

Compilando o arquivo .zic

Isto feito, agora é só compilar o arquivo gerado para criar o novo localtime que utilizará magicamente da regra criada.

zic Sao_Paulo.zic

Após a compilação, será gerado o arquivo Sao_Paulo que o sistema utilizará para configurar o fuso.

Isto feito, copiando para o /etc as regras já entrarão em vigor no mesmo momento.

cp Sao_Paulo /etc/localtime

fstab é um arquivo de configuração que contém informações de todas as partições e dispositivos de armazenamento do seu computador. Está localizado no diretório /etc, seu caminho completo é /etc/fstab.

/etc/fstab contém as informações que determinarão onde as partições serão montadas e como serão.

É apenas um arquivo texto, é possível editar com qualquer editor de textos, no entanto, é necessário possuir privilégios de root para sua edição.

Exemplo de um arquivo /etc/fstab

Obviamente que cada um terá um arquivo diferente. Esse é só uma amostra.

# Coluna 1              Coluna 2                Col 3   Coluna 4    Col 5 e 6
LABEL=/                 /                       ext3    defaults        1   1
LABEL=/boot             /boot                   ext3    defaults        1   2
none                    /dev/pts                devpts  gid=5,mode=620  0   0
none                    /dev/shm                tmpfs   defaults        0   0
/dev/system/opt         /opt                    ext3    defaults        1   2
none                    /proc                   proc    defaults        0   0
none                    /sys                    sysfs   defaults        0   0
LABEL=/tmp              /tmp                    ext3    defaults        1   2
LABEL=SWAP-sdb1         swap                    swap    defaults        0   0
/dev/hda                /media/cdrom            auto    pamconsole,exec,noauto,managed 0 0
/dev/fd0                /media/floppy           auto    pamconsole,exec,noauto,managed 0 0

Significado de cada coluna

Coluna 1

É a partição ou o dispositivo de armazenamento.

Coluna 2

É o ponto de montagem

Coluna 3

Tipo do Filesystem da partição.

Coluna 4

Opções de montagem.

Nota
As opções de montagem podem ser consutadas pelo man mount.

Coluna 5

É a opção dump.

Nota
Se o valor for 0, o dump não tentará fazer o backup com dump.

Coluna 6

É a opção fsck.

Nota
Se o valor for 0, o fsck não fará a checagem do filesystem no momento do boot.

Aviso
Num ambiente com RAID via software, os valores das colunas 5 e 6 devem ser 0, assim o sistema irá iniciar normalmente caso haja algum problema com o RAID e você poderá fazer as devidas manutenções sem que seja nessário parar tudo, ou até agendar uma manutenção, resumindo, você ganhará tempo.

Essa versão do artigo irá cobrir FreeBSD versões 6.x e 7.x, uma outra será feita para Red Hat e CentOS com geração dos RPMs para as plataformas.

• Samba com Antivírus ClamAV no Red Hat / CentOS

Instalando o Clamav

No FreeBSD, instalar o Clamav é recomendável fazer pelo ports mesmo, forma mais tranquila de instalar.

cd /usr/ports/security/clamav
make config

Deixar as opções selecionadas como na imagem.

Instalar o clamav:

make install

Após a instalação, editar o arquivo /usr/local/etc/freshclam.conf e comentar a linha onde lê-se: Example

O arquivo /usr/local/etc/freshclam.conf terá como conteúdo algo parecido com o seguinte, caso seu ambiente seja diferente, adapte-o de acordo com as suas necessidades.

Arquivo /usr/local/etc/freshclam.conf

DatabaseDirectory /var/db/clamav
UpdateLogFile /var/log/freshclam.log
LogTime yes
LogSyslog yes
PidFile /var/run/clamd/freshclam.pid
DatabaseOwner clamav
DNSDatabaseInfo current.cvd.clamav.net
DatabaseMirror db.br.clamav.net
DatabaseMirror database.clamav.net
NotifyClamd /usr/local/etc/clamd.conf
SubmitDetectionStats /usr/local/etc/clamd.conf
DetectionStatsCountry BR

O mesmo aplica-se ao arquivo /usr/local/etc/clamd.conf

Arquivo /usr/local/etc/clamd.conf

LogFileMaxSize 2M
LogTime yes
LogSyslog yes
LogFile /var/log/clamd.log
PidFile /var/run/clamd/clamd.pid
LocalSocket /tmp/clamd.socket
TCPSocket 3310
TCPAddr 127.0.0.1
User clamav
ScanPE yes
ScanELF yes
DetectBrokenExecutables yes
ScanOLE2 yes
ScanPDF yes
ScanMail yes
MailFollowURLs no
ScanPartialMessages yes
PhishingSignatures yes
PhishingScanURLs yes
PhishingAlwaysBlockSSLMismatch no
PhishingAlwaysBlockCloak no
HeuristicScanPrecedence yes
ScanHTML yes
ScanArchive yes

Acrescentar as seguintes linhas ao arquivo /etc/rc.conf:

clamav_clamd_enable="YES"
clamav_freshclam_enable="YES"

Criar os arquivos de log e definir permissões corretas

touch /var/log/clamd.log /var/log/freshclam.log
chown clamav:clamav /var/log/clamd.log /var/log/freshclam.log
mkdir -p /var/run/clamd
chown clamav:clamav /var/run/clamd

Após a configuração, iniciar o clamd e fazer a atualização da base de vírus.

/usr/local/etc/rc.d/clamav-clamd start
freshclam

Instalando o Samba 3

Baixando o código fonte

É realmente necessário recompilar o samba para ter a funcionalidade do vscan, pois somente com os binários ele não irá compilar.

Não testei com outra versão, portanto não sei da estabilidade/funcionalidade, aqui utilizarei a versão 3.0.34 do samba.

cd ~
fetch http://download.samba.org/samba/ftp/stable/samba-3.0.34.tar.gz
tar zxvf samba-3.0.34.tar.gz -C /usr/src
cd /usr/src/samba-3.0.34/source
./configure
gmake proto
gmake
gmake install

O samba será instalado por padrão no diretório /usr/local/samba.

Desabilitando o samba atual (instalado pelo ports [se houver])

Se você possui o samba instalado hoje pelo ports deverá desativá-lo e desabilitá-lo da inicialização automática, defina o parâmetro de inicialização de cada daemon como “NO”:

samba_enable="NO"

ou as linhas

nmbd_enable="NO"
smbd_enable="NO"
winbindd_enable="NO"

do arquivo /etc/rc.conf

Se desejar desinstalar definitivamente o samba do servidor, basta entrar no ports /usr/ports/net/samba3 e executar o comando

make deinstall

Fazer o download do vscan

cd ~
fetch http://www.openantivirus.org/download/samba-vscan-0.3.6c-beta5.tar.gz
tar zxvf samba-vscan-0.3.6c-beta5.tar.gz -C /usr/src/samba-3.0.34/examples/VFS
cd /usr/src/samba-3.0.34/examples/VFS/samba-vscan-0.3.6c-beta5

Compilar e instalar

./configure
gmake clamav
cp vscan-clamav.so /usr/local/samba/lib/vfs
cp clamav/vscan-clamav.conf /usr/local/etc

O conteúdo do arquivo /usr/local/etc/vscan-clamav.conf deverá parecer com o seguinte:

Arquivo /usr/local/etc/vscan-clamav.conf

[samba-vscan]
max file size = 0
verbose file logging = no
scan on open = yes
scan on close = yes
deny access on error = yes
deny access on minor error = yes
send warning message = yes
infected file action = delete
quarantine directory = /tmp
quarantine prefix = vir-
max lru files entries = 100
lru file entry lifetime = 5
exclude file types =
exclude file regexp =
clamd socket name = /tmp/clamd.socket
libclamav max files in archive = 1000
libclamav max archived file size = 10485760

A linha

infected file action = delete

refere-se a ação a ser tomada caso um vírus seja encontrado, a ação padrão é não fazer nada, o recomendável é colocar em “quarantine” ou “delete”.

Configurar o Samba para utilizar o vscan

É possível utilizar o vscan a nível de compartilhamento e global, para tanto, basta colocar as seguintes linhas onde quer utilizar o vscan, se for global não há necessidade de colocar nos compartilhamentos.

Arquivo /usr/local/etc/smb.conf

vfs object = vscan-clamav
vscan-clamav: config-file = /usr/local/etc/vscan-clamav.conf

Iniciando o samba

O samba deverá ser iniciado agora na linha de comando e na inicialização pode ser no arquivo /etc/rc.local

/usr/local/samba/sbin/smbd -D -s /usr/local/etc/smb.conf
/usr/local/samba/sbin/nmbd -D -s /usr/local/etc/smb.conf

Através do log /var/log/messages é possível acompanhar o funcionamento do vscan.