SARG é um gerador de relatório pro squid e é bom no que faz.

Tudo vai bem no

./configure

O comando make parece que vai terminar tudo certo, até que nos 45 minutos do segundo tempo:

/usr/bin/ld: grepday.o: undefined reference to symbol 'exp@@GLIBC_2.0'
/usr/bin/ld: note: 'exp@@GLIBC_2.0' is defined in DSO /lib/libm.so.6 so try adding it to the linker command line
/lib/libm.so.6: could not read symbols: Invalid operation
collect2: ld returned 1 exit status
make: *** [sarg] Error 1

pau.

Pra resolver:

export LDFLAGS="$LDFLAGS -lm"
./configure
make

Fera!

rootsh é um shell que loga tudo o que um usuário root vê no terminal. É útil se você tem vários administradores com acesso root num servidor e você quer gravar exatamente o que o usuário faz.

Fazer o download do rootsh-1.5.3.tar.gz.

wget http://www.virtualxp.org/downloads/rootsh-1.5.3.tar.gz

Descompactar, configurar, compilar e instalar:

tar zxvf rootsh-1.5.3.tar.gz -C /usr/src
cd /usr/src/rootsh-1.5.3
./configure --disable-syslog --disable-linenumbering
make
make install

Depois de instalado os binários, o sistema está quase pronto. A única necessidade que falta é criar o diretório do rootsh em /var/log onde serão gravados os logs. Esse procedimento não está documentado, mas é necessário.

mkdir /var/log/rootsh

Garantindo que o usuário root usará o rootsh como shell padrão

Para garantir que o usuário root usará o rootsh como shell padrão, adicione o rootsh ao arquivo /etc/shells:

echo /usr/local/bin/rootsh >> /etc/shells

Após esse passo, definir o shell para o usuário root

usermod -s /usr/local/bin/rootsh root

Então, toda vez que o usuário root fizer login, seja direto por ssh ou por su será criado um arquivo de log em /var/log/rootsh com a seguinte estrutura:

< user >.< date >< time >.< process id >

A formatação de cada arquivo de log é exatamente a mesma que o usuário vê no terminal.

cd /var/log/rootsh
ls
root.20100420105208.00a0a.closed
#

Conclusão

Se você não confia em seus sysadmins, ou se você quer ter um controle a mais do que está sendo feito no seu sistema, não tem erro com rootsh

O que o script faz?

Faz um parse no arquivo de log do Oracle Listener e extrai o HOST do usuário, o USER e o HOST e PORTA que o usuário está conectando.

#!/bin/bash
#
###############################################################################
#
# Descrição: Fazer o parse do LOG e extrair apenas o HOST e USER, também
#            HOST e PORT
# Autor: Daniel K Lima
# Data : 10/03/2010
# Uso  : ./parser.sh arquivo.log
#
###############################################################################

# Parâmetros
LOG=${1}
SED=$(which sed)
CUT=$(which cut)
GREP=$(which grep)
CAT=$(which cat)

# Arquivo temporário
TMP="/tmp/parser.tmp"

# Validação
if [ -z ${LOG} ]; then
        echo "Arquivo não existe ou não informado."
        echo "Utilize o formato ./parser.sh arquivo.log"
        exit 1
fi      

# Faz um grep no arquivo do LOG e só processa as linhas com CONNECT e
# substituir os ( ) por ,
$(${GREP} "CONNECT" ${LOG} | ${SED} -e 's/)/,/g' -e 's/(/,/g' > ${TMP})

# Processar cada linha que o filtro do GREP passou
${CAT} ${TMP} | while read line
do
	# Extrair do campo os valores e jogar pra uma variável própria
	USERHOST=$(echo ${line} | ${CUT} -d',' -f 10 | ${CUT} -d'=' -f 2)
	USERNAME=$(echo ${line} | ${CUT} -d',' -f 12 | ${CUT} -d'=' -f 2)
	SERVERHOST=$(echo ${line} | ${CUT} -d',' -f 19 | ${CUT} -d'=' -f 2)
	SERVERPORT=$(echo ${line} | ${CUT} -d',' -f 21 | ${CUT} -d'=' -f 2)

	# Imprimir os resultados
	echo "   HOST Usuário: ${USERHOST} "
	echo "       Username: ${USERNAME}"
	echo "  HOST Servidor: ${SERVERHOST}"
	echo "          Porta: ${SERVERPORT}"
	echo " "
done

Para customizar o resultado, é só editar as linhas 44 a 48 para adequar a sua necessidade.

Exemplo do arquivo do Log

Arquivo: connect.log

04-MAR-2010 19:09:18 * ,CONNECT_DATA=,SERVER=DEDICATED,,SERVICE_NAME=cmt,,CID=,PROGRAM=C:\Arquivos de programas\Quest Software\Toad for Oracle\TOAD.exe,,HOST=APBMZ-001062,,USER=Dario,,, * ,ADDRESS=,PROTOCOL=tcp,,HOST=10.100.5.2,,PORT=2898,, * establish * cmt * 0
04-MAR-2010 19:09:22 * ,CONNECT_DATA=,SERVER=DEDICATED,,SERVICE_NAME=cmt,,CID=,PROGRAM=C:\Arquivos de programas\Quest Software\Toad for Oracle\TOAD.exe,,HOST=APBMZ-001062,,USER=Dario,,, * ,ADDRESS=,PROTOCOL=tcp,,HOST=10.100.5.2,,PORT=2901,, * establish * cmt * 0
05-MAR-2010 12:01:40 * ,CONNECT_DATA=,SERVER=DEDICATED,,SERVICE_NAME=cmt,,CID=,PROGRAM=C:\TFSRoot\APB.Mercury.Fork.CMT\Main\Source\APB.Mercury\Mercury.WindowsService\WindowsService.IntgCmtBv\APB.Mercury.WindowsService.IntgCmtBv\bin\Debug\APB.Mercury.WindowsService.IntgCmtBv.vshost.exe,,HOST=ASD001,,USER=Igor,,, * ,ADDRESS=,PROTOCOL=tcp,,HOST=10.100.5.2,,PORT=53725,, * establish * cmt * 0
05-MAR-2010 13:01:12 * ,CONNECT_DATA=,SERVER=dedicated,,SERVICE_NAME=cmt,,CID=,PROGRAM=C:\Program Files\Quest Software\Toad for Oracle\toad.exe,,HOST=APB-RJZ2BM87D3X,,USER=jcb,,, * ,ADDRESS=,PROTOCOL=tcp,,HOST=10.100.5.2,,PORT=1421,, * establish * cmt * 0
05-MAR-2010 13:01:17 * ,CONNECT_DATA=,SERVER=dedicated,,SERVICE_NAME=cmt,,CID=,PROGRAM=C:\Program Files\Quest Software\Toad for Oracle\toad.exe,,HOST=APB-RJZ2BM87D3X,,USER=jcb,,, * ,ADDRESS=,PROTOCOL=tcp,,HOST=10.100.5.2,,PORT=1422,, * establish * cmt * 0
05-MAR-2010 13:22:05 * ,CONNECT_DATA=,SERVER=dedicated,,SERVICE_NAME=cmt,,CID=,PROGRAM=C:\Program Files\Quest Software\Toad for Oracle\toad.exe,,HOST=APB-RJZ2BM87D3X,,USER=jcb,,, * ,ADDRESS=,PROTOCOL=tcp,,HOST=10.100.5.2,,PORT=2701,, * establish * cmt * 0

Exemplo do resultado do parse feito pelo script

Resultado:

   HOST Usuário: APBMZ-001062
       Username: Dario
  HOST Servidor: 10.100.5.2
          Porta: 2898

   HOST Usuário: APBMZ-001062
       Username: Dario
  HOST Servidor: 10.100.5.2
          Porta: 2901

   HOST Usuário: ASD001
       Username: Igor
  HOST Servidor: 10.100.5.2
          Porta: 53725

   HOST Usuário: APB-RJZ2BM87D3X
       Username: jcb
  HOST Servidor: 10.100.5.2
          Porta: 1421

   HOST Usuário: APB-RJZ2BM87D3X
       Username: jcb
  HOST Servidor: 10.100.5.2
          Porta: 1422

   HOST Usuário: APB-RJZ2BM87D3X
       Username: jcb
  HOST Servidor: 10.100.5.2
          Porta: 2701

Ter um PDF é bom, é prático e tudo o mais, mas é necessário ter um programa específico para poder abrir os arquivos .pdf como o Acrobat Reader, o evince e outros.

As vezes não é necessário ou não é desejado ter um programa específico para poder abrir PDFs, sendo mais prático, no entanto, utilizar o próprio navegador que suporta abrir as imagens diretamente sem auxílio externo.

Caso essa seja a sua necessidade, converter os PDFs que estejam num servidor ou o que seja, vou mostrar abaixo como converter PDF para imagem através da linha de comando do Linux utilizando o programa ImageMagick.

Instalando o ImageMagick no CentOS / Red Hat

No Red Hat / CentOS é bem simples:

yum install ImageMagick

Será instalado o ImageMagick e todas as dependências. Não se assuste se dentre elas ter alguma biblioteca do x.org, é necessário para várias bibliotecas de imagem.

Convertendo o PDF em imagem

Para converter o PDF propriamente dito para um arquivo de imagem, simplesmente execute o comando convert mais o destino, por exemplo:

convert Relatorio2010.pdf Relatorio2010.png

Será gerado uma imagem do PDF no formato .png, mas caso seja necessário que o PDF seja convertido para JPEG, altere a extensão do arquivo de destino:

convert Relatorio2010.pdf Relatorio2010.jpg

Quando há um LDAP server na rede, nesse caso o eDirectory, é interessante manter uma centralização dos usuários pois não é necessário ficar criando usuários manualmente nem os usuários terão várias senhas para guardar.

Parto do princípio que já tenha o Apache instalado e funcionando.

É necessário o mod_authz_ldap para configurar essa autenticação com o LDAP.

Instalando o mod_authz_ldap

No CentOS / Red Hat, para instalar:

yum install mod_authz_ldap

Configurando o diretório que deverá ser autenticado

O que é necessário saber do eDirectory server para poder autenticar com sucesso:

• IP do server
• Usuário para fazer o bind, ou seja, é o usuário que tem permissão para realizar a busca na árvore
• Se for fazer a autenticação baseada em grupo, saber qual grupo e em que contexto está esse grupo

Usando vhost

Nesse exemplo, utilizarei o conceito de vhost para a configuração da restrição de acesso.

Para isso, criar um arquivo de configuração no diretório /etc/httpd/conf.d chamado wordpress.conf e seu conteúdo é como abaixo

Controle por grupo

No caso, o grupo chama-se GRP_Wordpress.

Arquivo: /etc/httpd/conf.d/wordpress.conf

    DocumentRoot /var/www/html/wordpress
    
        AuthName "Utilize o login da rede Novell Netware"
        AuthType basic
        AuthBasicProvider file ldap

        AuthLDAPBindDN cn=dklima,ou=FCA,o=FogoNaCaixadAgua
        AuthLDAPBindPassword P45sw0rD

        AuthLDAPURL "ldap://192.168.11.10:389/ou=FCA,o=FogoNaCaixadAgua?cn?sub?(securityEquals=cn=GRP_Wordpress,ou=FCA,o=FogoNaCaixadAgua)"
        Require valid-user
        AuthzLDAPAuthoritative off
    
    ServerName wordpress.fogonacaixadagua

Validar apenas usuário

Arquivo: /etc/httpd/conf.d/wordpress.conf

    DocumentRoot /var/www/html/wordpress
    
        AuthName "Utilize o login da rede Novell Netware"
        AuthType basic
        AuthBasicProvider file ldap

        AuthLDAPBindDN cn=dklima,ou=FCA,o=FogoNaCaixadAgua
        AuthLDAPBindPassword P45sw0rD

        AuthLDAPURL "ldap://192.168.11.10:389/ou=FCA,o=FogoNaCaixadAgua?cn?sub"
        Require valid-user
        AuthzLDAPAuthoritative off
    
    ServerName wordpress.fogonacaixadagua

Com isso, quando foi solicitado acesso ao diretório /var/www/html/wordpress, o será solicitado um usuário válido para pode acessar o site.

É necessário reiniciar o processo do Apache

service httpd restart

Usando .htaccess

Nesse exemplo, o conceito usado é para utilizar um arquivo .htaccess dentro do diretório que será restrito o acesso.

Criar o arquivo .htaccess no diretório, nesse exemplo /var/www/html/wordpress com o seguinte conteúdo:

Controle por grupo

No caso, o grupo chama-se GRP_Wordpress.

Arquivo: /var/www/html/wordpress/.htaccess

        AuthName "Utilize o login da rede Novell Netware"
        AuthType basic
        AuthBasicProvider file ldap

        AuthLDAPBindDN cn=dklima,ou=FCA,o=FogoNaCaixadAgua
        AuthLDAPBindPassword P45sw0rD

        AuthLDAPURL "ldap://192.168.11.10:389/ou=FCA,o=FogoNaCaixadAgua?cn?sub?(securityEquals=cn=GRP_Wordpress,ou=FCA,o=FogoNaCaixadAgua)"
        Require valid-user
        AuthzLDAPAuthoritative off

Validar apenas usuários

Arquivo: /var/www/html/wordpress/.htaccess

        AuthName "Utilize o login da rede Novell Netware"
        AuthType basic
        AuthBasicProvider file ldap

        AuthLDAPBindDN cn=dklima,ou=FCA,o=FogoNaCaixadAgua
        AuthLDAPBindPassword P45sw0rD

        AuthLDAPURL "ldap://192.168.11.10:389/ou=FCA,o=FogoNaCaixadAgua?sn?sub
        Require valid-user
        AuthzLDAPAuthoritative off

Não é necessário reiniciar o apache.

Enabling Remote Access to the Installation System

You may access either graphical or text interfaces for the installation system from any other system.
Access to a text mode display requires telnet, which is installed by default on Fedora systems.
To remotely access the graphical display of an installation system, use client software that supports the VNC (Virtual Network Computing) display protocol.
A number of providers offer VNC clients for Microsoft Windows and Mac OS, as well as UNIX-based systems.

The installation system supports two methods of establishing a VNC connection.
You may start the installation, and manually login to the graphical display with a VNC client on another system.
Alternatively, you may configure the installation system to automatically connect to a VNC client on the network that is running in listening mode.

Enabling Remote Access with VNC

To enable remote graphical access to the installation system, enter two options at the boot prompt:

linux vnc vncpassword=qwerty

(The VNC password must be at least six characters long.)

The vnc option enables the VNC service. The vncpassword option sets a password for remote access. The example shown above sets the password as qwerty .

Specify the language, keyboard layout and network settings for the installation system with the screens that follow. You may then access the graphical interface through a VNC client. The installation system displays the correct connection setting for the VNC client:

Starting VNC…

The VNC server is now running.
Please connect to computer.mydomain.com:1 to begin the install…
Starting graphical installation…
Press for a shell

You may then login to the installation system with a VNC client. To run the vncviewer client on Fedora, choose Applications -> Accessories -> VNC Viewer , or type the command vncviewer in a terminal window. Enter the server and display number in the VNC Server dialog. For the example above, the VNC Server is computer.mydomain.com:1 .

Connecting the Installation System to a VNC Listener

To have the installation system automatically connect to a VNC client, first start the client in listening mode. On Fedora systems, use the -listen option to run vncviewer as a listener. In a terminal window, enter the command:

vncviewer -listen

Firewall Reconfiguration Required

By default, vncviewer uses TCP port 5500 when in listening mode. To permit connections to this port from other systems, choose System -> Administration -> Security Level and Firewall . Select Other ports , and Add . Enter 5500 in the Port(s) field, and specify tcp as the Protocol .

Once the listening client is active, start the installation system and set the VNC options at the boot: prompt. In addition to vnc and vncpassword options, use the vncconnect option to specify the name or IP address of the system that has the listening client. To specify the TCP port for the listener, add a colon and the port number to the name of the system.

For example, to connect to a VNC client on the system desktop.mydomain.com on the port 5500, enter the following at the boot: prompt:

linux vnc vncpassword=qwerty vncconnect=desktop.mydomain.com:5500

Enabling Remote Access with Telnet

To enable remote access to a text mode installation, use the telnet option at the boot: prompt:

linux text telnet

You may then connect to the installation system with the telnet utility. The telnet command requires the name or IP address of the installation system:

telnet computer.mydomain.com

(Telnet Access Requires No Password)

To ensure the security of the installation process, only use the telnet option to install systems on networks with restricted access.

Source: Linuxtopia

Isto é definido pelo parâmetro Banner do arquivo /etc/ssh/sshd_config.

Primeiro, crie o arquivo que conterá a mensagem que será apresentada quando o usuário tentar fazer login via SSH no servidor.

Arquivo: /etc/ssh/banner.txt

************************************************

            NOTICE TO USERS WARNING! 

The use of this system is restricted to authorized
users, unauthorized access is forbidden and will
be prosecuted by law. 

All information and communications on this system
are subject to review, monitoring and recording at
any time, without notice or permission. 

Users should have no expectation of privacy. 

*************************************************

Edite o arquivo /etc/ssh/sshd_config e procure pelo parâmetro Banner, geralmente está próximo do final desse arquivo.

Provavelmente esse parâmetro estará comentado:

#Banner /some/path

Altere essa linha para:

Banner /etc/ssh/banner.txt

Grave a alteração e reinicie o servidor do ssh:

service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

ou

/etc/init.d/sshd restart

Para testar se tudo está OK, tente conectar-se via SSH no host que foi feita a alteração:

ssh localhost

Deverá ser apresentada uma tela parecida com a seguinte:

The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is e8:86:ca:cc:e5:fd:cc:76:c3:57:55:5b:67:f8:98:c3.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
************************************************

            NOTICE TO USERS WARNING! 

The use of this system is restricted to authorized
users, unauthorized access is forbidden and will
be prosecuted by law. 

All information and communications on this system
are subject to review, monitoring and recording at
any time, without notice or permission. 

Users should have no expectation of privacy. 

*************************************************

root@localhost's password:

Estou colocando aqui um exemplo que pode ser adaptado para sua necessidade.

No caso, essa linha adiciona o caracter “:” (sem as aspas) a cada 2 caracteres.

Utilizei para formatar uma lista enorme de MAC address que me foi passado no formato 00106037614C

O arquivo texto original continha várias linhas:

Arquivo: mac1.txt

001060376173
001060376124
00106037614C
001060374840
001060376125
00106037612A
001060376176
001060375D9A
001060375D97

E executando sed, na linha abaixo

sed -e :a -e 's/\(.*[0-9,A-Z]\)\([0-9,A-Z]\{2\}\)/\1:\2/;ta' mac1.txt > mac2.txt

O resultado que foi direcionado para o arquivo mac2.txt é o desejado:

00:10:60:37:61:73
00:10:60:37:61:24
00:10:60:37:61:4C
00:10:60:37:48:40
00:10:60:37:61:25
00:10:60:37:61:2A
00:10:60:37:61:76
00:10:60:37:5D:9A
00:10:60:37:5D:97

Não é preciso descrever como é importante em um ambiente onde haja computadores Windows envolvidos que é necessário ter um antivírus no servidor de arquivos Linux ou FreeBSD com o Samba.

Essa versão do artigo irá cobrir Red Hat / CentOS versão 5.x.

Pré-requisitos

• Instalação mínima do CentOS e RedHat 5.3
• Utilizando o repositório Yum RPMforge

1.0 Instalando o ClamAV

É necessário o repositório Yum RPMforge estar instalado e configurado. Veja “Pré-requisitos”.

yum install clamav clamav-db clamd

1.1 Configurando o clamd

Após a instalação do clamav, edite o arquivo /etc/clamd.conf e adeque as suas necessidades.

Para uma utilização geral, a seguinte configuração é suficiente:

Arquivo: /etc/clamd.conf

LogFile /var/log/clamav/clamd.log
LogFileMaxSize 0
LogTime yes
LogSyslog yes
PidFile /var/run/clamav/clamd.pid
TemporaryDirectory /var/tmp
DatabaseDirectory /var/clamav
LocalSocket /var/run/clamav/clamd.sock
FixStaleSocket yes
TCPSocket 3310
TCPAddr 127.0.0.1
MaxConnectionQueueLength 30
MaxThreads 50
ReadTimeout 300
User root
AllowSupplementaryGroups yes
ScanPE yes
ScanELF yes
DetectBrokenExecutables yes
ScanOLE2 yes
ScanMail yes
ScanArchive yes
ArchiveBlockEncrypted no

Por que o usuário ‘root’? Porque por padrão o Clamd roda como usuário ‘clamav’ e quando o Samba chamar o clamav e for necessário apagar algum arquivo com vírus ele não vai ter permissão.

Inicar e garantir que iniciará no boot:

chkconfig --levels 35 clamd on
service clamd start

Starting Clam AntiVirus Daemon:                            [  OK  ]

1.2 Configurando freshclam para atualizações

Editar o arquivo de configuração do freshclam que ficará parecido com o seguinte:

Arquivo: /etc/freshclam.conf

DatabaseDirectory /var/clamav
UpdateLogFile /var/log/clamav/freshclam.log
LogTime yes
DatabaseMirror db.br.clamav.net
DatabaseMirror database.clamav.net
DatabaseOwner root
NotifyClamd /etc/clamd.conf
SubmitDetectionStats /etc/clamd.conf

Criar o arquivo de log pro Freshclam

touch /var/log/clamav/freshclam.log
chown clamav:clamav /var/log/clamav/freshclam.log

Caso seu servidor não tenha acesso diretamente à internet mas você possui um proxy na rede, coloque os seguintes parâmetros no arquivo /etc/freshclam.conf com as informações do proxy.

Arquivo: /etc/freshclam.conf

HTTPProxyServer 192.168.1.1
HTTPProxyPort 3128
HTTPProxyUsername user
HTTPProxyPassword s3nh4

Após isso, a permissão do arquivo /etc/freshclam.conf deverá ser 0600.

chmod 0600 /etc/freshclam.conf

Pode-se executar o comando freshclam para atualizar a assinatura de vírus.

freshclam

2.0 Instalando o Samba

A versão que vem por padrão com o Red Hat / CentOS não é possível utilizar em conjunto com o vscan, por isso será necessário compilar o Samba para que tenha suporte ao samba-vscan.

2.0.1 RPMs 64 bits gerados

Se o seu SO é 64 bits, então os pacotes do Samba eu compilei e estou disponbilizando aqui, pra facilitar o trabalho e não ser necessário instalar o ambiente de desenvolvimento no servidor.

• samba-3.0.33-3.14.x86_64.rpm
• samba-client-3.0.33-3.14.x86_64.rpm
• samba-common-3.0.33-3.14.x86_64.rpm

Caso queira compilar, prossiga para o próximo passo

2.0.2 Preparando o Samba para gerar o pacote .rpm

Faça o download do RPM source do samba:

cd ~
wget http://netops.nexicom.net/centos/5.4/updates/SRPMS/samba-3.0.33-3.14.el5.src.rpm

Instalar os arquivos:

rpm -ivh samba-3.0.33-3.14.el5.src.rpm

É necessário descompacatar o .tar.gz do código fonte e depois compactá-lo.

cd /usr/src/redhat/SOURCES
tar zxvf samba-3.0.33.tar.gz
cd samba-3.0.33/source
./autogen.sh && ./configure
make proto

Se ao tentar compilar o Samba, ao executar os comandos acima você tiver a seguinte mensagem:

./autogen.sh && ./configure
./autogen.sh: running script/mkversion.sh
./script/mkversion.sh: 'include/version.h' created for Samba("3.0.33")
./autogen.sh: running autoheader -I. -Ilib/replace
./autogen.sh: running autoconf -I. -Ilib/replace
Now run ./configure and then make.
SAMBA VERSION: 3.0.33
LIBREPLACE_LOCATION_CHECKS: START
...
LIBREPLACE_LOCATION_CHECKS: END
LIBREPLACE_CC_CHECKS: START
checking for gcc... no
checking for cc... no
checking for cc... no
checking for cl... no
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details.

É por que não tem os pacotes de desenvolvimento instalado, para resolver isso, instale-os:

yum install rpm-build gcc gcc-c++ make autoconf automake libtool

2.1 Fazer o download do vscan

2.1.1 Binário 64bits do vscan

Caso seu SO seja 64 bits, estou dispobilizando a biblioteca do vscan-clamav já compilada.

• vscan-clamav.so

Caso seja 32 bits ou queira compilar o código fonte, prossiga para o próximo tópico.

2.1.2 Compilando pelo código fonte

cd ~
wget http://www.openantivirus.org/download/samba-vscan-0.3.6c-beta5.tar.gz

Descompactar:

tar zxvf ~/samba-vscan-0.3.6c-beta5.tar.gz -C /usr/src

Compilar o samba-vscan:

cd /usr/src/samba-vscan-0.3.6c-beta5/
./configure --with-libclamav --with-samba-source=/usr/src/redhat/SOURCES/samba-3.0.33/source/

Ao final, você terá algo como:

** Configuration summary for samba-vscan 0.3.6c beta5 :

 Compile samba-vscan for Samba      : "3.0.33"
 Compile samba-vscan with sources in: /usr/src/redhat/SOURCES/samba-3.0.33/source/
 Compile samba-vscan backends       : oav sophos fprotd fsav trend icap mksd kavp clamav nai antivir
 Use GLOBAL_LIBS                    : -lmagic
 Use libmksd as                     : builtin
 Use libkavdc as                    : builtin

Hora de começar a compilar o samba-vscan:

cd /usr/src/samba-vscan-0.3.6c-beta5
make

Por enquanto é isso. Não execute make install.

2.1 Gerando o .rpm para o samba com vscan

2.1.1 Gerar o .rpm do samba

Agora é necessário compactar o diretório samba-3.0.33 novamente pra gerar o .rpm com tudo certo dentro.

Instalar dependências:

yum install cups-devel gnutls-devel pam-devel readline-devel ncurses-devel libacl-devel openldap-devel openssl-devel

cd /usr/src/redhat/SOURCES/
mv samba-3.0.33.tar.gz samba-3.0.33.tar.gz.orig
tar zcvf samba-3.0.33.tar.gz samba-3.0.33

Gerar o .rpm do samba-3.0.33:

cd /usr/src/redhat/SPECS/
rpmbuild -bb samba.spec

Ao final do processo, você terá algo como:

Wrote: /usr/src/redhat/RPMS/x86_64/samba-3.0.33-3.14.x86_64.rpm
Wrote: /usr/src/redhat/RPMS/x86_64/samba-client-3.0.33-3.14.x86_64.rpm
Wrote: /usr/src/redhat/RPMS/x86_64/samba-common-3.0.33-3.14.x86_64.rpm
Wrote: /usr/src/redhat/RPMS/x86_64/samba-swat-3.0.33-3.14.x86_64.rpm
Wrote: /usr/src/redhat/RPMS/x86_64/samba-debuginfo-3.0.33-3.14.x86_64.rpm
...

Para instalar, utilizaremos o próprio rpm.

rpm -iUvh /usr/src/redhat/RPMS/x86_64/samba-3.0.33-3.14.x86_64.rpm /usr/src/redhat/RPMS/x86_64/samba-client-3.0.33-3.14.x86_64.rpm /usr/src/redhat/RPMS/x86_64/samba-common-3.0.33-3.14.x86_64.rpm

Eu já tinha o samba instalado e nesse caso não me deixou instalar por cima e finalizou com as seguintes mensagens:

Preparing...                ########################################### [100%]
	package samba-common-3.0.33-3.15.el5_4.1.x86_64 (which is newer than samba-common-3.0.33-3.14.x86_64) is already installed
	package samba-3.0.33-3.15.el5_4.1.x86_64 (which is newer than samba-3.0.33-3.14.x86_64) is already installed
	package samba-client-3.0.33-3.15.el5_4.1.x86_64 (which is newer than samba-client-3.0.33-3.14.x86_64) is already installed

Nesse caso é seguro executar o rpm com o parâmetro --force

rpm -iUvh --force /usr/src/redhat/RPMS/x86_64/samba-3.0.33-3.14.x86_64.rpm /usr/src/redhat/RPMS/x86_64/samba-client-3.0.33-3.14.x86_64.rpm /usr/src/redhat/RPMS/x86_64/samba-common-3.0.33-3.14.x86_64.rpm

Preparing...                ########################################### [100%]
   1:samba-common           ########################################### [ 33%]
   2:samba                  ########################################### [ 67%]
   3:samba-client           ########################################### [100%]

3.0 Configuração do vscan

No diretório /etc/samba crie o arquivo de configuração para o samba-vscan (um exemplo desse arquivo está em: /usr/src/samba-vscan-0.3.6c-beta5/clamav/vscan-clamav.conf)

Arquivo: /etc/samba/vscan-clamav.conf

max file size = 0
verbose file logging = no
scan on open = yes
scan on close = yes
deny access on error = yes
deny access on minor error = yes
send warning message = yes
infected file action = delete
quarantine directory  = /tmp
quarantine prefix = vir-
max lru files entries = 100
lru file entry lifetime = 5
exclude file types =
exclude file regexp =
clamd socket name = /var/run/clamav/clamd.sock
scan archives = yes
libclamav max files in archive = 1000
libclamav max archived file size = 10485760
libclamav max recursion level = 5

64 bits

Copie a lib gerada do vscan para o ClamAV que está em /usr/src/samba-vscan-0.3.6c-beta5/

cd /usr/src/samba-vscan-0.3.6c-beta5/
cp vscan-clamav.so /usr/lib64/samba/vfs

32 bits

Copie a lib gerada do vscan para o ClamAV que está em /usr/src/samba-vscan-0.3.6c-beta5/

cd /usr/src/samba-vscan-0.3.6c-beta5/
cp vscan-clamav.so /usr/lib/samba/vfs

4.0 Configuração do Samba para utilizar o vscan

Edite o arquivo /etc/samba/smb.conf e adicione as entradas em [global]

Arquivo: /etc/samba/smb.conf

        vfs object = vscan-clamav
        vscan-clamav: config-file = /etc/samba/vscan-clamav.conf

Pronto.

Só falta iniciar ou reiniciar o Samba:

service smb start
Starting SMB services:                                     [  OK  ]
Starting NMB services:                                     [  OK  ]

Os logs dos arquivos scanneados são mostrados em /var/log/messages.

5.0 Não permitir que o yum atualize o Samba

É interessante não permitir que o yum atualize o Samba, se isso acontecer, as alterações feitas pelo samba-vscan quando compilamos ele serão perdidas e você perderá as funcionalidade de antivírus do Samba.

Para fazer isso, é bem simples, adicione a seguinte linha no arquivo /etc/yum.conf na sessão [main]

exclude=samba*

This error can happen with Linux or FreeBSD or whichever SO that ClamAV support.

When you run

clamscan

You get this error

LibClamAV Error: cli_loaddb(): No supported database files found in /var/db/clamav
ERROR: Can't open file or directory

----------- SCAN SUMMARY -----------
Known viruses: 0
Engine version: 0.95.1
Scanned directories: 0
Scanned files: 0
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 0.001 sec (0 m 0 s)

It means that you have no database virus.

Just configure and run freshclam.

A sample freshclam.conf file:

DatabaseDirectory /var/lib/clamav
UpdateLogFile /var/log/freshclam.log
LogTime yes
LogSyslog yes
PidFile /var/run/clamd/freshclam.pid
DatabaseOwner clamav
DNSDatabaseInfo current.cvd.clamav.net
DatabaseMirror db.br.clamav.net
DatabaseMirror database.clamav.net
NotifyClamd /usr/local/etc/clamd.conf
SubmitDetectionStats /usr/local/etc/clamd.conf
DetectionStatsCountry BR

1.0 About this

The goal of this article is to be a base for a complete installarion of GOsa2, it will be used by future articles on what maters with integrating with others services.

2.0 What GOsa2 means?

GOsa2 is the constrict form for GOnicus System Administration.
From author’s site gosa-project.org

A mighty System-/Config-management frontend using LDAP as a backend. It is able to manage POSIX, Samba, Mail, Kolab, FAX, Asterisk and many more services.

3.0 Prerequisites

• A minimal install of CentOS e RedHat 5.3 (This guide is in Portuguese only :( )
• Apache 2.2.x
• PHP 5.2
• OpenLDAP
• Repository yum EPEL

4.0 Instaling pre-requisites

As said before, I’m assuming that you already have an installation of CentOS or Red Hat, therefore, I’ll be covering the system requisites to get a functional GOsa2.

4.1 Installing the yum EPEL repository

rpm -ivh http://virtualxp.org/downloads/epel-release-5-3.noarch.rpm

4.2 Setting the repository for GOsa2

Go to /etc/yum.repos.d and create the file GOsa2.repo with your favorite text editor.
File: /etc/yum.repos.d/GOsa2.repo

[GOsa]
name=GOsa Repository
baseurl=http://oss.gonicus.de/pub/gosa/redhat
enabled=1
gpgcheck=0

4.3 Setting the repository for PHP 5.2

GOsa2 needs the PHP 5.2 to run, however, there’s no PHP 5.2 on official repository. With that said, we need to set up a third party repository. For this article I’ll be using the repository from Utter Ramblings. It’s a nice and reliable repo, you can use it with no fear.
Go to /etc/yum.repos.d and with your favorite text editor create a file called utterramblings.repo.
File: /etc/yum.repos.d/utterramblings.repo

[utterramblings]
name=Jason's Utter Ramblings Repo
baseurl=http://www.jasonlitka.com/media/EL$releasever/$basearch/
enabled=1
gpgcheck=1
gpgkey=http://www.jasonlitka.com/media/RPM-GPG-KEY-jlitka

This repo already have a version of Apache 2.2.x (2.2.14 at this momment) that we’ll be using.

4.4 Installing OpenLDAP Server

We’ll use the offical version (which means the one into the repository or Media).
To accomplish this, execute the following command:

yum install openldap openldap-clients openldap-servers

5.0 Installing GOsa2 via yum

With the prerequisites satisfied, continue the installation of GOsa2

There are a couple of plugins availiable from GOsa2 respository, doing a search over it, it is possible to get an idea of which of them you really need to install. Install those that suit to your environment.

yum search gosa

WARNING: Avoid to install the package gosa-desktop, as it will install Gnome and X.org as dependence.

Below are the packs that we will use in this article. Feel free to alter it.

yum install gosa-schema.noarch gosa-plugin-systems.noarch gosa-plugin-sudo.noarch gosa-plugin-squid.noarch gosa-plugin-samba.noarch gosa-plugin-rolemanagement.noarch gosa-plugin-pureftpd.noarch gosa-plugin-mail.noarch gosa-plugin-log.noarch gosa-plugin-ldapmanager.noarch gosa-plugin-dns.noarch gosa-plugin-dhcp.noarch gosa-plugin-connectivity.noarch gosa-plugin-addressbook.noarch gosa-help-en.noarch gosa.noarch

5.1 Edit PHP (php.ini) params to suit GOsa2

To GOsa2 run happy, it’s necessary to alter 2 parameters in file /etc/php.ini. Edit it and save it.

Before:

• expose_php = On
• magic_quotes_gpc = Off

After:

• expose_php = Off
• magic_quotes_gpc = On

5.2 Making sure the services start at boot time

chkconfig --levels 35 ldap on
chkconfig --levels 35 httpd on

6.0 Setting OpenLDAP to suit GOsa2 needs

With all those work we have done so far, now it’s a critical time, but simple to do.
Will be necessary to suit OpenLDAP to talk to GOsa2, this means showing the right schemas to OpenLDAP.
Make a backup copy from the original slapd.conf file.

cd /etc/openldap
cp slapd.conf slapd.conf.orig

To generate the cn=Manager password hash.

slappasswd -h {SSHA}
New password:
Re-enter new password:
{SSHA}Nag4FWwXLoGO/WpdpFJUlMVCBYwB94wt

The result will be the hash from the entered password, this case I used “fogonacaixadagua”. Keep this hash, we will use it soon.

Now, make your /etc/openldap/slapd.conf look like the one below:
File: /etc/openldap/slapd.conf

include         /etc/openldap/schema/corba.schema
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/dyngroup.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/java.schema
include         /etc/openldap/schema/misc.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/openldap.schema
include         /etc/openldap/schema/ppolicy.schema

include /etc/openldap/schema/gosa/samba3.schema
include /etc/openldap/schema/gosa/pureftpd.schema
include /etc/openldap/schema/gosa/gofon.schema
include /etc/openldap/schema/gosa/gosystem.schema
include /etc/openldap/schema/gosa/goto.schema
include /etc/openldap/schema/gosa/gosa-samba3.schema
include /etc/openldap/schema/gosa/gofax.schema
include /etc/openldap/schema/gosa/goserver.schema
include /etc/openldap/schema/gosa/goto-mime.schema
include /etc/openldap/schema/gosa/trust.schema
include /etc/openldap/schema/gosa/dnszone.schema
include /etc/openldap/schema/gosa/gosa_custom.schema

pidfile		/var/run/openldap/slapd.pid
argsfile	/var/run/openldap/slapd.args

database	bdb
suffix		"dc=FogoNaCaixadAgua"
rootdn		"cn=Manager,dc=FogoNaCaixadAgua"

# Senha gerada pelo comando slappasswd -h {SSHA}
rootpw		{SSHA}Nag4FWwXLoGO/WpdpFJUlMVCBYwB94wt

directory	/var/lib/ldap

index entryCSN,entryUUID eq
index uid,mail eq
index gosaMailAlternateAddress,gosaMailForwardingAddress eq
index cn,sn,givenName,ou pres,eq,sub
index objectClass pres,eq
index uidNumber,gidNumber,memberuid eq
index gosaSubtreeACL,gosaObject,gosaUser pres,eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq

cachesize 100000

To copy some schemas that aren’t on schemas’ dir:

cp /usr/share/gosa/plugins/pureftpd/contrib/pureftpd.schema /etc/openldap/schema/gosa
cp /usr/share/gosa/plugins/dns/contrib/dnszone.schema /etc/openldap/schema/gosa

Create the file /etc/openldap/schema/gosa_custom.schema with the following content:

File: /etc/openldap/schema/gosa_custom.schema

#$Id: authldap.schema,v 1.8 2005/03/20 19:10:30 mrsam Exp $
#
# OID prefix: 1.3.6.1.4.1.25981
#
# Attributes: 1.3.6.1.4.1.25981.1.1
#
# Depends on: gosa.schema and cosine.schema

attributetype ( 1.3.6.1.4.1.25981.1.1.1 NAME 'gosaMailHome'
	DESC 'The absolute path to the mail message stor directory in a virtual mail setup.'
        EQUALITY caseExactIA5Match
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )

#
# Objects: 1.3.6.1.4.1.25981.1.2
#

objectclass ( 1.3.6.1.4.1.25981.1.2.1 NAME 'gosaVirtualMailAccount' SUP top AUXILIARY
	DESC 'Objectclass to mark Virtual MailAccounts for GOsa (v2.4)'
        MAY ( gosaMailHome ) )

7.0 Starting OpenLDP

With OpenLDAP server configured and the schemas on the right place, copy DB_CONFIG.example to LDAP’s dir:

cd /etc/openldap
cp DB_CONFIG.example /var/lib/ldap/DB_CONFIG

Now, you can start OpenLDAP and you can verify if it’s gonna ok.

service ldap start
Checking configuration files for slapd:  config file testing succeeded
                                                           [  OK  ]
Starting slapd:                                            [  OK  ]

8.0 Starting Apache

Apache was installed with the GOsa2. The GOsa2 package created the config file to apache, this file can be found at /etc/httpd/conf.d/gosa-apache.conf

File: /etc/httpd/conf.d/gosa-apache.conf

# Include GOsa to your web service
Alias /gosa /usr/share/gosa/html

    php_admin_flag engine on
    php_admin_flag register_globals off
    php_admin_flag allow_call_time_pass_reference off
    php_admin_flag expose_php off
    php_admin_flag zend.ze1_compatibility_mode off
    php_admin_flag register_long_arrays off
    php_admin_flag magic_quotes_gpc on
    php_admin_value upload_tmp_dir /var/spool/gosa/
    php_admin_value session.cookie_lifetime 0
    include /etc/gosa/gosa.secrets

   PHP_Fix_Pathinfo_Enable 1

     Options +ExecCGI
     AddHandler fcgid-script .php
     FCGIWrapper /var/www/php-fcgi/php-fcgi-starter .php
     include /etc/gosa/gosa.secrets

Isnt’ recommended to edit it, do it only if it’s really necessary.
Time to start Apache:

service httpd start
Starting httpd:                                            [  OK  ]

9.0 Setting GOsa2 through Web interface

After starting Apache, access through of server IP.

9.1 Initial screen of GOsa2 set up

http://192.168.11.13/gosa/

Note the highlighted part on image, it’s necessary to execute the above command to GOsa2 installer know that you have control over server.

echo -n 93esjraq6baopmpchl1qsksc84 > /tmp/gosa.auth

After you executed the command, click “Next”.

9.2 Language selection

Pick up the correct one and Click “Next”.

9.3 Environment checking

If you got any error here, get back to: 5.1 Edit PHP (php.ini) params to suit GOsa2.

After all field being marked with Ok, click “Next”.

License agreement

This screen you must accept the license.

After you check it, click “Next.

9.4 LDAP Connection

Here you set the connection between GOsa2 and OpenLDAP that we configured before.

The parts tha need to be changed are marked in 1 and 2:
1. Put the conext to Manager user: “cn=Manager,dc=FogoNaCaixadAgua”
2. Password hash, “fogonacaixadagua”

Click “Next”".

9.5 Schema validation

Yeah!

Click “Next”.

9.6 Setting GOsa2 1/3

Let the default ones and click “Next”.

9.7 Setting GOsa2 2/3

Some settings to GOsa2.

Below I’ll explain the changes done, based on the number into above picture, change them as show.
1. the context that will have the Workstations info from Windows Domain.
2. Timezone for GOsa2.
3. Enable Copy & Paster, it’s a nice function, very interesting when you change some entry into an Organizational Unit, for example.
4. Enable snapshots, they are useful to revert some bat change, for example
5. Put the Manager password, “fogonacaixadagua”.

Click “Next” after you finish it.

9.8 Setting GOsa2 3/3

Last part on setting GOsa2.

1. Enter your SNMP community, if you have one in your network, otherwise put ‘public’.
2. To enable the SUDO config from GOsa2 Interface

Click “Next”.

9.9 Inspecting OpenLDAP

In this screen will have a full check to verify if you have some tree in LDAP, as we started from scratch, it have nothing, because of this you see a lot of “Fails”. Do not worry, soon it will be all Green ;)

To create a root object, click the button as highlighted on pic below:

After clicking “Try to create a root object” look that the things are starting to getting better :D

First click the button “Migrate”, in “Inspecting object classes in root object” then you will be redirected to the following page:

Click “Migrate”.

Getting back to LDAP Inspection page, click the unique button shown.

This time it’s to create a password for the user ‘admin’ that will log into GOsa2 interface. Enter a password, here is “fogonacaixadagua” then click “Apply”

All nice and green, as I promised you.

Time to go to the last part. Click “Next”.

9.10 Send a feedback

You are on your own.

Finnished, click “Next”.

9.11 Almost END

Download the config file to your computer and then copy it to /etc/gosa on server side, apply the permissions as shown by installer.

scp ~/temp/gosa.conf root@192.168.11.13:/etc/gosa

After, on GOsa2 server

chown root:apache /etc/gosa/gosa.conf
chmod 640 /etc/gosa/gosa.conf

Click “Next” on final step to confirm that the config file is there.

You will be awarded with the login screen, use the ‘admin’ user and the password defined in the install process to login.

Sobre esse artigo

A idéia deste artigo é servir como base para instalação completa do GOsa2 que será utilizada por artigos futuros no que diz respeito a integração com outros serviços.

O que GOsa2 quer dizer?

GOsa2 é a forma compacta para GOnicus System Administration.

Do site http://www.gosa-project.org/

A mighty System-/Config-management frontend using LDAP as a backend. It is able to manage POSIX, Samba, Mail, Kolab, FAX, Asterisk and many more services.

Pré-requisitos

• Instalação mínima do CentOS e RedHat 5.3 (Esse guia também aplica-se à versão 5.4 e superior)
• Apache 2.2.x
• PHP 5.2
• OpenLDAP
• Repositório yum EPEL

Instalando os pré-requisitos

Como informado acima, estou partindo do princípio que você já possui um sistema CentOS ou RedHat instalado, portanto, estarei cobrindo aqui os requisitos do sistema, para ter o GOsa2 funcional.

Instalando o repositório Yum EPEL

• Utilizando o repositório Yum EPEL

rpm -ivh http://virtualxp.org/downloads/epel-release-5-3.noarch.rpm

Configurar o repositório do GOsa2

Vá ao diretório /etc/yum.repos.d e crie o arquivo GOsa2.repo com seu editor de texto favorito.

Arquivo GOsa2.repo

[GOsa]
name=GOsa Repository
baseurl=ftp://oss.gonicus.de/pub/gosa/redhat
enabled=1
gpgcheck=0

Configurando repositório para PHP 5.2

O PHP 5.2 não está no repositório oficial do CentOS / RedHat, para isso será necessário utilizarmos um repositório de terceiros, nesse guia utilizarei o repositório do Utter Ramblings. É um repositório confiável e estável, pode utilizar sem maiores receios.

Vá ao diretório /etc/yum.repos.d e crie um novo arquivo com seu editor de textos favorito com o seguinte conteúdo:

Arquivo utterramblings.repo

[utterramblings]
name=Jason's Utter Ramblings Repo
baseurl=http://www.jasonlitka.com/media/EL$releasever/$basearch/
enabled=1
gpgcheck=1
gpgkey=http://www.jasonlitka.com/media/RPM-GPG-KEY-jlitka

Esse repositório já tem também o Apache 2.2.x a ser utilizado.

Instalando o servidor OpenLDAP

Pode ser utilizado a versão oficial.

Para isso, executar o comando:

yum install openldap openldap-clients openldap-servers

Instalando o GOsa2 via yum

Com os pré-requisitos satisfeitos, prossegue-se com a instalação definitiva do GOsa2.

Há uma série de plugins disponíveis para o GOsa2, fazendo uma busca no seu repositório, é possível ter uma idéia dos plugins e você pode instalar os que adequam ao seu ambiente:

yum search gosa

WARNING: Evite instalar o pacote gosa-desktop pois virá o Gnome e o X com dependência.

Abaixo estão os pacotes que serão instalados para esse guia, como dito antes, adeque com o que lhe servir.

yum install gosa-schema.noarch gosa-plugin-systems.noarch gosa-plugin-sudo.noarch gosa-plugin-squid.noarch gosa-plugin-samba.noarch gosa-plugin-rolemanagement.noarch gosa-plugin-pureftpd.noarch gosa-plugin-mail.noarch gosa-plugin-log.noarch gosa-plugin-ldapmanager.noarch gosa-plugin-dns.noarch gosa-plugin-dhcp.noarch gosa-plugin-connectivity.noarch gosa-plugin-addressbook.noarch gosa-help-en.noarch gosa.noarch

Editar prâmetros do PHP (php.ini) para o GOsa2

Para que o GOsa2 rode adequadamente, é necessário alterar 2 parâmetros no arquivo /etc/php.ini. Edite o arquivo e grave as alterações.

Antes:

• expose_php = On
• magic_quotes_gpc = Off

Depois:

• expose_php = Off
• magic_quotes_gpc = On

Certificando-se que os serviços corretos iniciarão no boot

Fazer com o Apache e o OpenLDAP iniciem no boot.

chkconfig --levels 35 ldap on
chkconfig --levels 35 httpd on

Configurando o OpenLDAP para ser utilizado com o GOsa2

Temos todos os programas necessários instalados e tudo indo bem, agora é parte mais crítica, mas não complicada, do ambiente que estamos configurando.

Será necessário adequar o OpenLDAP para que o GOsa2 se entenda com ele, isso significa apresentar os schemas corretos ao OpenLDAP.

Crie um cópia de backup do arquivo de configuração atual, just in case :)

cd /etc/openldap
cp slapd.conf slapd.conf.orig

Gerar uma senha para o cn=Manager

slappasswd -h {SSHA}
New password:
Re-enter new password:
{SSHA}Nag4FWwXLoGO/WpdpFJUlMVCBYwB94wt

O resultado foi um hash da senha informada, nesse caso utilizei a senha “fogonacaixadagua” e gerou esse hash, guarde esse hash por que ele será utilizado na sequencia.

Edite o arquivo /etc/openldap/slapd.conf e faça com fique parecido com o seguinte:

include         /etc/openldap/schema/corba.schema
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/dyngroup.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/java.schema
include         /etc/openldap/schema/misc.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/openldap.schema
include         /etc/openldap/schema/ppolicy.schema

include /etc/openldap/schema/gosa/samba3.schema
include /etc/openldap/schema/gosa/pureftpd.schema
include /etc/openldap/schema/gosa/gofon.schema
include /etc/openldap/schema/gosa/gosystem.schema
include /etc/openldap/schema/gosa/goto.schema
include /etc/openldap/schema/gosa/gosa-samba3.schema
include /etc/openldap/schema/gosa/gofax.schema
include /etc/openldap/schema/gosa/goserver.schema
include /etc/openldap/schema/gosa/goto-mime.schema
include /etc/openldap/schema/gosa/trust.schema
include /etc/openldap/schema/gosa/dnszone.schema
include /etc/openldap/schema/gosa/gosa_custom.schema

pidfile		/var/run/openldap/slapd.pid
argsfile	/var/run/openldap/slapd.args

database	bdb
suffix		"dc=FogoNaCaixadAgua"
rootdn		"cn=Manager,dc=FogoNaCaixadAgua"

# Senha gerada pelo comando slappasswd -h {SSHA}
rootpw		{SSHA}Nag4FWwXLoGO/WpdpFJUlMVCBYwB94wt

directory	/var/lib/ldap

index entryCSN,entryUUID eq
index uid,mail eq
index gosaMailAlternateAddress,gosaMailForwardingAddress eq
index cn,sn,givenName,ou pres,eq,sub
index objectClass pres,eq
index uidNumber,gidNumber,memberuid eq
index gosaSubtreeACL,gosaObject,gosaUser pres,eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq

cachesize 100000

Copiar alguns schemas que não estão no diretório certo:

cp /usr/share/gosa/plugins/pureftpd/contrib/pureftpd.schema /etc/openldap/schema/gosa
cp /usr/share/gosa/plugins/dns/contrib/dnszone.schema /etc/openldap/schema/gosa

Criar o arquivo /etc/openldap/schema/gosa_custom.schema com o seguinte conteúdo:

Arquivo /etc/openldap/schema/gosa_custom.schema

#$Id: authldap.schema,v 1.8 2005/03/20 19:10:30 mrsam Exp $
#
# OID prefix: 1.3.6.1.4.1.25981
#
# Attributes: 1.3.6.1.4.1.25981.1.1
#
# Depends on: gosa.schema and cosine.schema

attributetype ( 1.3.6.1.4.1.25981.1.1.1 NAME 'gosaMailHome'
	DESC 'The absolute path to the mail message stor directory in a virtual mail setup.'
        EQUALITY caseExactIA5Match
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )

#
# Objects: 1.3.6.1.4.1.25981.1.2
#

objectclass ( 1.3.6.1.4.1.25981.1.2.1 NAME 'gosaVirtualMailAccount' SUP top AUXILIARY
	DESC 'Objectclass to mark Virtual MailAccounts for GOsa (v2.4)'
        MAY ( gosaMailHome ) )

Iniciando o OpenLDAP

Com o OpenLDAP server configurado e o schemas copiados, copie o arquivo DB_CONFIG.example para o diretório do LDAP:

cd /etc/openldap
cp DB_CONFIG.example /var/lib/ldap/DB_CONFIG

Agora pode-se iniciar o OpenLDAP e verificar se tudo vai bem.

service ldap start
Checking configuration files for slapd:  config file testing succeeded
                                                           [  OK  ]
Starting slapd:                                            [  OK  ]

Iniciando o Apache

O apache foi instalado e fará a interface para o GOsa2.

O próprio pacote do GOsa2 criou um arquivo de configuração para ele no apache, esse arquivo encontra-se em /etc/httpd/conf.d/gosa-apache.conf

Seu conteúdo é o seguinte:

# Include GOsa to your web service
Alias /gosa /usr/share/gosa/html



    php_admin_flag engine on
    php_admin_flag register_globals off
    php_admin_flag allow_call_time_pass_reference off
    php_admin_flag expose_php off
    php_admin_flag zend.ze1_compatibility_mode off
    php_admin_flag register_long_arrays off
    php_admin_flag magic_quotes_gpc on
    php_admin_value upload_tmp_dir /var/spool/gosa/
    php_admin_value session.cookie_lifetime 0
    include /etc/gosa/gosa.secrets




   PHP_Fix_Pathinfo_Enable 1
   
     Options +ExecCGI
     AddHandler fcgid-script .php
     FCGIWrapper /var/www/php-fcgi/php-fcgi-starter .php
     include /etc/gosa/gosa.secrets
   

Não é recomendado alterá-lo, a não ser que seja realmente necessário.

Pode-se iniciar o serviço do apache.

service httpd start
Starting httpd:                                            [  OK  ]

Configurando o GOsa2 pela interface Web

Depois de iniciar o serviço do apache, acesse o IP do host que foi instalado o GOsa2, como por exemplo:

Tela inicial da configuração do GOsa2

http://192.168.11.13/gosa/

Note a parte destacada da imagem, é necessário executar esse comando para que o instalador do GOsa2 saiba que você tem poder sobre o servidor.

echo -n 93esjraq6baopmpchl1qsksc84 > /tmp/gosa.auth

Após executado o comando, clique em “Next”.

Seleção da linguagem

Escolha a linguagem e clique em “Next”.

Verificação do ambiente

Se houver alguma falha nessa parte, volte para o início do documento e revise a sessão que diz: Editar prâmetros do PHP (php.ini) para o GOsa2.

Após todos os campos estarem com OK, clique em “Next”.

Aceite do acordo

Nessa tela faz-se o aceite do acordo da licença.

Após marcar, conforme a a figura acima, clique em “Next”.

Conexão com o LDAP

Aqui configura-se a conectividade com o OpenLDAP que configuramos anteriormente.

As partes que devem ser alteradas estão marcadas em 1 e 2, no caso:
1. Informar o contexto para o usuário Manager, “cn=Manager,dc=FogoNaCaixadAgua”
2. Colocar a senha que foi gerada no hash, “fogonacaixadagua”

Clicar em “Next”".

Verificação dos schemas

Sim!

Clique em “Next”.

Configuração do GOsa2 1/3

Deixe as opções padrão e clique em “Next”.

Configuração do GOsa2 2/3

Mais algumas configurações pertinentes ao GOsa2.

Abaixo, vou explicar as alterações feitas, baseada na numeração da figura acima, altere-as conforme mostrado na foto.
1. É onde ficarão gravadas as informações das workstations de um domínio Windows
2. Timezone para o GOsa2.
3. Habilitar o “Copiar / Colar”, é uma função bastante interessante quando se quer mudar uma entrada de Unidade Organizacional, por exemplo.
4. Habilitar snapshots, são úteis para reverter uma adição mal feita, por exemplo.
5. Informar a senha do Manager, “fogonacaixadagua”.

Clicar em “Next” ao terminar.

Configurações do GOsa2 3/3

Última parte da configuração do GOsa2.

1. Coloque a sua comunidade SNMP caso já exista alguma padrão na sua rede, ou coloque ‘public’ apenas.
2. Para habilitar as configurações do SUDO no LDAP.

Quando terminar, clicar em “Next”.

Inspeção final do LDAP

Nessa tela, haverá uma checagem para verificar se existe alguma árvore no LDAP, como começamos do zero, não tem nada, por isso vê-se uma sequencia de falhas. Não se preocupe, logo vai estar tudo verdinho!

Para criar o objeto root, clique no botão conforme destacado na imagem abaixo.

Após clicar no botão “Try to create a root object” veja que as coisas começar a melhorar ;)

Clique primeiro no botão “Migrate” em “Inspecting object classes in root object” e você vai ser direcionado para a página abaixo:

Clique em “Migrate”.

Voltando para a tela da inspeção do LDAP, clique no único botão que aparece:

Dessa vez, é para criar uma senha para o usuário ‘admin’ que logará na interface Web do GOsa2, informe a senha para esse usuário, aqui foi definida “fogonacaixadagua” e clique em “Apply”.

Tudo bonito agora e verdinho, conforme o prometido!

Hora de prosseguir, para o final. Clique em “Next”.

Enviar um feedback

Aqui é por sua conta.

Terminando, clique em “Next”.

FIM

Chegamos.

Faça o download do arquivo de configuração para o seu computador e copie para o diretório /etc/gosa no servidor do GOsa2, altere as permissões do arquivo conforme a sugestão do instalador.

scp ~/temp/gosa.conf root@192.168.11.13:/etc/gosa

E depois, no servidor

chown root:apache /etc/gosa/gosa.conf
chmod 640 /etc/gosa/gosa.conf

Clique em “Next” na tela final do instalador para confirmar que o arquivo está lá.

Você então será agraciado com a tela de Login e utilize o usuário ‘admin’ com a senha definida no processo de instalação.

É possível utilizar várias ferramentas para essa finalidade, como por exemplo o sed e o awk. O comando expand coverte todos os TABs para espaços.

Ele preserva os caracteres de backspace na saída; eles que fazem com os espaços sejam reduzidos na contagem para o cálculo dos TABs.

expand arquivo.log > output.log
expand dados.txt > output.txt
expand -t 2 dados.txt > output.txt

A opção -t pode ser usada para gerar uma lista separada por vírgula (arquivo CSV).

Caso você queira fazer o contrário, ou seja, converter espaços para TABs, use o comando unexpand.

Veja as man pages para mais informações

man expand
man unexpand

Existem alguns recursos já prontos no Red Hat Cluster Suite (RHCS) para serem adicionados como serviço. Mas também é possível acrescentar seu próprio script para que o RHCS realoque ou reinicie o serviço em questão.

Basicamente o script tem que conter 3 chamadas: status, start e stop.

Abaixo está um exemplo que inicia, pára e verifica o status do Sun Glassfish, fique a vontade em adaptar a sua necessidade.

#!/bin/sh

# Script Name: glassfish
# Script Path: /etc/init.d/glassfish
# Script Purpose: To provide glassfish management
# start/stop/status under Red Hat Cluster Cluster
# Script Author: Daniel K. Lima

BASEDIR=/opt/glassfish/bin

case $1 in
	'start')
		cd ${BASEDIR}
		./asadmin start-domain domain1
		exit 0
	;;

	'stop')
		z=$(ps -ef | grep "com.sun.aas" | grep -v "grep"| awk ' { print $2 } ')
		if [[ $? -eq 0 ]]
		then
			cd ${BASEDIR}
			./asadmin stop-domain domain1
			exit 0
		fi
	;;

	'restart')
	   	/etc/init.d/glassfish stop
   		sleep 2
  		echo Now starting......
  		/etc/init.d/glassfish start
    		echo "restarted"
    	;;

	'status')
		ps awx | grep -v "grep " | grep "com.sun.aas" 1>/dev/null
		if [[ $? = 0 ]]
		then
			echo "Glassfish is running..."
			exit 0
		else
			echo "Glassfish is stopped..."
			exit 1
		fi
	;;
esac

Cenário

Essa situação é interessante quando foi compilado um novo kernel e se está com acesso remoto ao servidor, ou seja, mandar um reboot remotamente com um novo kernel, muita coisa pode acontecer, e o mínimo é perder a conexão.

Para essas situações tem como fazer com que o GRUB utilize um kernel em específico apenas uma vez, e em caso de Kernel Panic o servidor será resetado e o kernel original será utilizado, voltando assim o acesso remoto para serem feitas as alterações necessárias.

Preparando o ambiente

É importante também definir os seguinte parâmetros de kernel:

kernel.panic = 5
kernel.panic_on_oops = 1

A primeira linha significa que o computador será “resetado” após 5 segundo de Panic e a segunda linha informa que será gerado um Kernel Panic em qualquer evento de estouro de memória e afins.

Adicione as duas linhas anteriores no arquivo /etc/sysctl.conf e após isso, execute o comando

 sysctl -p

Lidando com o GRUB

Como root execute

grub --batch

grub> savedefault --default=1 --once
grub> quit

Fará com que o GRUB ignore uma única vez os parâmetros ‘default’ e ‘timeout’ do grub.conf e nessa inicialização utilizará o kernel ’1′ do GRUB, no boot seguinte será utilizado o arquivo grub.conf normalmente.

O gnarwl é de longe o melhor auto-reply disponível, bastante customizável e o melhor é que usa LDAP e é facilmente integrado com o Postifx.

Lembrando que se você tem o plugin ‘vacation’ no squirrelmail ele não vai ter incompatilidade, uma vez que setando a auto-resposta no squirrelmail vai sobrescrever os dados colocados originalmente no LDAP manualmente ou pelo phamm ou pelo GOsa2, ou seja, tranquilo :)

Não vou discutir aqui como instalar o gnarwl, pois para isso vou fazer outro post.

Esse post é específico em criar uma política que permita o Postfix “conversar” com o gnarwl, ou seja, vai permitir que o Postfix envie a mensagem, via BCC ao gnarwl e este verificará se o campo vacationActive está como TRUE.

Criando o arquivo com as regras

Primero, crie o arquivo que contém as regras para o gnarwl, chamando-o de gnarwl.te e com o seguinte conteúdo:

Arquivo gnarwl.te

module gnarwl 1.0;

require {
	type var_lib_t;
	type postfix_postdrop_t;
	type postfix_local_t;
	type sendmail_exec_t;
	class unix_stream_socket { read write getattr };
	class file { execute read lock create execute_no_trans write getattr };
	class dir { write search add_name };
}

#============= postfix_local_t ==============
allow postfix_local_t sendmail_exec_t:file { read execute execute_no_trans };
allow postfix_local_t var_lib_t:dir { write add_name };
allow postfix_local_t var_lib_t:file { read lock getattr write create };

#============= postfix_postdrop_t ==============
allow postfix_postdrop_t postfix_local_t:unix_stream_socket { read write getattr };

Vou explicar algumas linhas.

Linha 7 e 14: o postfix tem que ter permissão para executar o sendmail, pois quando o email é encaminhado para o usuário gnarwl (é um usuário local do Linux) ele auto-responde a mensagem para quem enviou, por isso essa regra é necessária.

Linhas 8 e 19: ao acessar o arquivo .forward do home do gnarwl, tem o comando que faz um pipe para o executável do gnarwl, essa linha é |/usr/bin/gnarwl, por isso o postfix precisa dessa permissão.

Compilando as regras

Com o arquivo criado, é necessário compilar as régras e instalar a nova política.

checkmodule -M -m -o gnarwl.mod gnarwl.te

O resultado do comando será algo parecido com:

checkmodule:  loading policy configuration from gnarwl.te
checkmodule:  policy configuration loaded
checkmodule:  writing binary representation (version 6) to gnarwl.mod

semodule_package -o gnarwl.pp -m gnarwl.mod

Se tudo for Ok, não haverá resultado de saída.

semodule -i gnarwl.pp

Se tudo for Ok, não haverá resultado de saída.

Verificando a instalação

O comando semodule -l lista todos os módulos instalados, veja que o novo módulo gnarwl 1.0 está instalado.

semodule -l |grep gnarwl
gnarwl	1.0

Se algum problema ocorreu no processo, comente sua dúvida.

Para quem trabalha com vários servidores Linux / FreeBSD atualizar todos os servidores para o horário e verão é uma tarefa cansativa e chata.

Vou disponibilizar aqui um script para ser utilizado nessa tarefa, ou seja, um script que atualizará todos os servidores listados em um arquivo e os deixará prontos para a virada do horário.

O funcionamento do script é bem simples, é composto por 3 arquivos

• daylight.sh
• daylight.exp
• servidores.txt

Vou explicar rapidamente o que é cada um desses arquivos e o que fazem.

Pré-requisitos

• expect
• openssh

Posts relacionados

• Horario de verão no Linux e FreeBSD 2009/2010
• Horario de verão no Linux e FreeBSD

daylight.sh

É o script principal, responsável por ler os dados dos servidores do arquivo servidores.txt e repassar para o script expect que atuará nos servidores.

Arquivo daylight.sh

#!/bin/bash

# Script para atualizacao em massa, via ssh, das regras de horario de verão
# nos servidores listados no arquivo
#
# - servidores.txt
#
# Autor: Daniel K Lima
# Data: 17/10/2009
########################

# VARIAVEIS para funcionamento do script
SERVIDORES="./servidores.txt"
DAYLIGHT="./daylight.exp"

# Testa se o arquivo servidores.txt existe
if [ ! -e ${SERVIDORES} ]
	then
	echo "Arquivo 'servidores.txt' não encontrado."
	exit 1
fi

# Ler o arquivo ${SERVIDORES} e processar cada linha que contém informações
# acerca da conexão
cat ${SERVIDORES} | while read LINHA
do
	# Joga os campos em variáveis
	HOST=$(echo ${LINHA} | cut -d',' -f1)
	USERNORMAL=$(echo ${LINHA} | cut -d',' -f2)
	USERPASSWD=$(echo ${LINHA} | cut -d',' -f3)
	ROOTPASSWD=$(echo ${LINHA} | cut -d',' -f4)

	# Teste sobre repasse das variáveis
	#echo ${HOST}
	#echo ${USERNORMAL}
	#echo ${USERPASSWD}
	#echo ${ROOTPASSWD}

	# Chama o arquivo expect com os parâmetros coletados
	# Testa se o expect existe
	if [ ! -e ${DAYLIGHT} ]
		then
		echo "Arquivo com script expect ${DAYLIGHT} não encontrado"
		exit 1
	else
		# Garantir que o arquivo tenha permissão de execução
		chmod 755 ${DAYLIGHT}

		# imprimir na tela o comando que esta sendo executado
		#echo "${DAYLIGHT} ${HOST} ${USERNORMAL} ${USERPASSWD} ${ROOTPASSWD}"

		# executar o script expect com os parametros
		${DAYLIGHT} ${HOST} ${USERNORMAL} ${USERPASSWD} ${ROOTPASSWD}
	fi

done

Nota
Recomendo fazer o download do script daylight.sh ao invés de copiar o código, ao copiar e colar alguma coisa pode ser “truncada” e erros serão inevitáveis.

daylight.exp

Contém o script expect que automatizará a conexão com os servidores baseado nos parâmetros que o script daylight.sh passar e criará os arquivos da nova timezone para o horário de verão.

Arquivo daylight.exp

#!/usr/bin/expect -f
#
set force_conservative 0;
if {$force_conservative} {
	set send_slow {1 .1}
	proc send {ignore arg} {
		sleep .1
		exp_send -s -- $arg
	}
}

# argv 0 = host a ser conectado
# argv 1 = usuario para conexao SSH
# argv 2 = senha do usuario
# argv 3 = senha do root

set timeout -1
spawn $env(SHELL)
match_max 100000
send -- "ssh -l [lindex $argv 1] [lindex $argv 0]\r"
expect "word:"
send -- "[lindex $argv 2]\r"
expect "\$ "
send -- "su - root\r"
expect "word:"
send -- "[lindex $argv 3]\r"
expect "# "
send -- "cd /usr/share/zoneinfo/America\r"
expect "# "
send -- "cat > Sao_Paulo.zic << EOF\r"
expect "> "
send -- "Rule Brazil 2009 only - Oct 18 00:00 1 S\rRule Brazil 2010 only - Feb 21 00:00 0 -\r\rZone Brazil/East -3:00 Brazil BR%sT"
send -- "\r"
expect "> "
send -- "EOF\r"
expect "# "
send -- "zic Sao_Paulo.zic\r"
expect "# "
send -- "alias cp='cp'\r"
expect "# "
send -- "cp Sao_Paulo /etc/localtime\r"
expect "# "
send -- "date\r"
expect "# "
send -- "exit\r"
expect "\$ "
send -- "exit\r"
expect "$ "
send -- ""
expect eof

Nota
Recomendo fazer o download do script daylight.exp ao invés de copiar o código, ao copiar e colar alguma coisa pode ser “truncada” e erros serão inevitáveis, como por exemplo o envio das teclas Ctrl+D que não aparece no código listado acima.

servidores.txt

Contém a lista de servidores com usuário normal, senha do usuário normal e senha do root.

O formato desse arquivo é bem simples:

host,usuario_normal,senha_usuario_normal,senha_root

Note que os parâmetros são separados por vírgula.

Um exemplo desse arquivo ficaria assim:

192.168.32.20,master,xP57KLXu,89MX1sPSys3P
192.168.8.14,master,xP57KLXu,89MX1sPSys3P
192.168.32.42,master,xP57KLXu,89MX1sPSys3P
192.168.16.55,master,oz1XBUTK,89MX1sPSys3P
192.168.16.252,master,oz1XBUTK,89MX1sPSys3P
192.168.16.22,master,oz1XBUTK,sWr9MyYo
192.168.16.240,master,xP57KLXu,89MX1sPSys3P
192.168.16.18,master,xP57KLXu,sWr9MyYo
192.168.16.239,master,xP57KLXu,sWr9MyYo
192.168.8.26,master,xP57KLXu,89MX1sPSys3P
192.168.8.33,master,xP57KLXu,89MX1sPSys3P
192.168.32.132,master,xP57KLXu,sWr9MyYo
192.168.32.79,master,xP57KLXu,sWr9MyYo
192.168.32.21,master,oz1XBUTK,89MX1sPSys3P
192.168.32.22,master,oz1XBUTK,89MX1sPSys3P
192.168.32.55,master,oz1XBUTK,89MX1sPSys3P
192.168.32.44,master,xP57KLXu,sWr9MyYo
192.168.32.205,master,xP57KLXu,89MX1sPSys3P
192.168.32.204,master,oz1XBUTK,89MX1sPSys3P
192.168.32.60,master,xP57KLXu,sWr9MyYo
192.168.8.21,master,xP57KLXu,89MX1sPSys3P
192.168.32.111,master,xP57KLXu,89MX1sPSys3P

Onde: master é o usuário comum, e a última coluna, é a senha do usuário root

Notas

Algumas observações importantes acerca dos scripts, principalmente relacionado ao expect.

Nota 1

O script não sabe como lidar com verificação de certificado para servidores que ainda não estão na lista ~/.ssh/known_hosts, portanto, para o script funcionar a contento, adicione essas duas linhas no arquivo ~/.ssh/config

Arquivo ~/.ssh/config

Host *
StrictHostKeyChecking no

Nota 2

Em todos os hosts, o shell padrão do usuário comum e do root é o bash ou o sh.

Se você utiliza o csh deverá adaptar o arquivo daylight.exp na linha 23, onde ele espera o caracter $ que é do bash e do sh, e substituir por % .

O timeout do expect está em -1, ou seja, se algum erro acontecer o expect congelará e é possível sair do processo spawned com Ctrl+C, verifique onde o script parou e faça os ajustes.

find / -type l

No exemplo mostrado ele vai procurar por todo o sistema, caso queira restringir a apenas um diretório em específico, substitua o ‘/’ por ‘/diretorio’, sem os apóstrofos.

Este post serve para qualquer distribuição Linux ou qualquer BSD, pois por padrão os arquivos de configuração do OpenSSH estão em /etc/ssh

Começe por editar o arquivo /etc/ssh/sshd_config e localizar a linha

#Port 22

Por padrão ela vem comentada porque o SSH ouve na porta 22 por padrão mesmo, descomente essa linha e altere para uma outra porta

Port 8222

É possível também adicionar várias linhas Port sendo que com isso, em cada porta especificada o OpenSSH irá responder nas portas listadas, mas tenha certeza que a porta especificada não esteja em uso no momento.

Bastando para isso agora reiniciar o serviço do OpenSSH.

No CentOS / Red Hat

service sshd restart

No FreeBSD

/etc/rc.d/sshd restart

Para saber qual versão do Red Hat / CentOS que está instalada é bem simples, execute o comando

cat /etc/redhat-release

e o resultado será algo como:

Red Hat Enterprise Linux Server release 5.4 (Tikanga)

Para Red Hat, ou no caso do CentOS

CentOS release 5.3 (Final)

Você saberá exatamente qual versão está instalada.

Para reiniciar o servidor Linux ou FreeBSD like, apenas execute o comando

reboot

ou

shutdown -r now

Como resultado você terá algo como:

Broadcast message from root (pts/0) (Wed Apr 20 01:23:45 2009):
The system is going down for reboot NOW!

No Linux/FreeBSD e afins é possível se previnir, adicionar uma regra para mudar apartir de uma data específica.

O exemplo desse post será configurado o horário de verão para 2009/2010.

Nota: Linux
É necessário estar no diretorio /usr/share/zoneinfo/America.

Nota: FreeBSD
É necessário estar no diretorio /usr/share/zoneinfo.

Post relacionado

• Script shell com expect para atualização em massa para o horário de verão 2009/2010

Criando o arquivo .zic com as regras de fuso

Para isto ser possível, segue abaixo a forma de criar essa regra.

cd /usr/share/zoneinfo/America

Primeiro, crie um arquivo .zic que conterá as regras.

Por exemplo, para alterar a regra para o fuso utilizando o horário de Brasília, crie o arquivo Sao_Paulo.zic e adicione o seguinte conteúdo:

Rule Brazil 2009 only - Oct 18 00:00 1 S
Rule Brazil 2010 only - Feb 21 00:00 0 -

Zone Brazil/East -3:00 Brazil BR%sT

A primeira linha, é o início que a data entrará em vigor e o relógio do sistema irá adiantar em 1 hora nessa data.

A segunda linha é o final do horário de verão e o relógio irá atrasar 1 hora.

A terceira linha contém o fuso horário que o arquivo é baseado.

Compilando o arquivo .zic

Isto feito, agora é só compilar o arquivo gerado para criar o novo localtime que utilizará magicamente da regra criada.

zic Sao_Paulo.zic

Após a compilação, será gerado o arquivo Sao_Paulo que o sistema utilizará para configurar o fuso.

Isto feito, copiando para o /etc as regras já entrarão em vigor no mesmo momento.

cp Sao_Paulo /etc/localtime

Para baixar o VMware, acesse o site http://www.vmware.com/download/server/ e faça o download do .rpm.

Aviso
Anote o número serial que será informado no momento do download.

Instalando o .rpm

rpm -ivh VMware-server-2.0.1-156745.x86_64.rpm

Preparing...                ########################################### [100%]
   1:VMware-server          ########################################### [100%]

The installation of VMware Server 2.0.1 for Linux completed successfully.
You can decide to remove this software from your system at any time by
invoking the following command: "rpm -e VMware-server".

Before running VMware Server for the first time, you need to
configure it for your running kernel by invoking the
following command: "/usr/bin/vmware-config.pl".

Enjoy,

    --the VMware team

Após a instalação do RPM é necessário configurar o VMware Server.

Digite o comando abaixo como root para iniciar o processo

vmware-config.pl

Making sure services for VMware Server are stopped.

Stopping VMware autostart virtual machines:
   Virtual machines                                                   failed
Stopping VMware management services:
   VMware Virtual Infrastructure Web Access
   VMware Server Host Agent                                           failed
Stopping VMware services:
   VMware Authentication Daemon                                        done
   Virtual machine monitor                                             done

You must read and accept the End User License Agreement to continue.
Press enter to display it.

Pressione <ENTER> para ler o contrato de aceitação.

NOTICE:  BY DOWNLOADING AND INSTALLING, COPYING OR OTHERWISE USING THE
SOFTWARE, YOU AGREE TO BE BOUND BY THE TERMS OF THIS VMWARE MASTER END
USER LICENSE AGREEMENT ("EULA").  IF YOU DO NOT AGREE TO THE TERMS OF
THIS EULA, YOU MAY NOT DOWNLOAD, INSTALL, COPY OR USE THE SOFTWARE, AND
YOU MAY RETURN THE UNUSED SOFTWARE TO THE VENDOR FROM WHICH YOU ACQUIRED
IT WITHIN THIRTY (30) DAYS AND REQUEST A REFUND OF THE LICENSE FEE, IF
ANY, ALREADY PAID UPON SHOWING PROOF OF PAYMENT.  "YOU" MEANS THE
NATURAL PERSON OR THE ENTITY THAT IS AGREEING TO BE BOUND BY THIS EULA,
THEIR EMPLOYEES AND THIRD PARTY CONTRACTORS THAT PROVIDE SERVICES TO
YOU.  YOU SHALL BE LIABLE FOR ANY FAILURE BY SUCH EMPLOYEES AND THIRD
PARTY CONTRACTORS TO COMPLY WITH THE TERMS OF THIS AGREEMENT.

1.	DEFINITIONS

1.1	"Designated Administrative Access" means that access to the
standard user interfaces of a given instance of the Software
(designated in this section) that you may grant to a designated
third party (a) for which you have provided advance written notice
to VMware that you are providing outsourced services and (b) for
whose dedicated benefit you have licensed such instance of the
Software.  Designated Administrative Access is applicable only
where you are 1) an IT outsourcing company that is providing
outsourced IT services to a client company and 2) applicable only
--More--

Pressione ‘q’ para sair ou aperte <ESPAÇO> para ler até o final.

Do you accept? (yes/no)

Responda yes

Thank you.

None of the pre-built vmmon modules for VMware Server is suitable for your
running kernel.  Do you want this program to try to build the vmmon module for
your system (you need to have a C compiler installed on your system)? [yes]

Pressione <ENTER> para aceitar o padrão [yes] ou digite yes para prosseguir com a compilação dos drivers do kernel.

Using compiler "/usr/bin/gcc". Use environment variable CC to override.

Your kernel was built with "gcc" version "4.3.2", while you are trying to use
"/usr/bin/gcc" version "4.3". This configuration is not recommended and VMware
Server may crash if you'll continue. Please try to use exactly same compiler as
one used for building your kernel. Do you want to go with compiler
"/usr/bin/gcc" version "4.3" anyway? [no]

Responda yes para prosseguir com a compilação.

What is the location of the directory of C header files that match your running
kernel? [/lib/modules/2.6.27.29-0.1-default/build/include]

Qual é o caminho para os sources do kernel, pressione <ENTER> para aceitar o sugerido.

Extracting the sources of the vmmon module.

Building the vmmon module.

Using 2.6.x kernel build system.
...
The vmmon module loads perfectly into the running kernel.

Ao terminar a compilação dos módulos vmmon do VMware para o kernel, dará início à compilação do módulo vmci para o VMware.

None of the pre-built vmci modules for VMware Server is suitable for your
running kernel.  Do you want this program to try to build the vmci module for
your system (you need to have a C compiler installed on your system)? [yes]

Pressione <ENTER> para aceitar o padrão [yes] ou digite yes para prosseguir com a compilação dos drivers do kernel.

Extracting the sources of the vmci module.

Building the vmci module.
...
The vmci module loads perfectly into the running kernel.

Ao terminar a compilação do módulo vmci para o VMware, dará início a compilação do módulo vsock.

None of the pre-built vsock modules for VMware Server is suitable for your
running kernel.  Do you want this program to try to build the vsock module for
your system (you need to have a C compiler installed on your system)? [yes]

Pressione <ENTER> para aceitar o padrão [yes] ou digite yes para prosseguir com a compilação dos drivers do kernel.

Extracting the sources of the vsock module.

Building the vsock module.

Configuração da rede

Do you want networking for your virtual machines? (yes/no/help) [yes]

Claro que rede é necessário :)

Pressione <ENTER> para aceitar o padrão [yes] ou digite yes para prosseguir com a compilação dos drivers do kernel.

Bridge

Configuring a bridged network for vmnet0.

Please specify a name for this network.
[Bridged]

O padrão sugerido é aceitável. Pressione <ENTER> ou escolha um outro nome.

Caso você tenha mais de 1 placa de rede no seu computador, aparecerá uma lista com as opções disponíveis.

Escolha a interface na qual você quer a bridge.

Caso desejar possuir em todas, repita o processo com todas as interfaces até terminar o processo.

Your computer has multiple ethernet network interfaces available: eth0, eth1,
pan0. Which one do you want to bridge to vmnet0? [eth0] eth1

The following bridged networks have been defined:

. vmnet0 is bridged to eth1

Your computer has multiple ethernet network interfaces available: eth0, pan0.
Which one do you want to bridge to vmnet2? [eth0] 

The following bridged networks have been defined:

. vmnet0 is bridged to eth1
. vmnet2 is bridged to eth0

Quando terminar, escreva no quando a opção de configuração de bridge aparecer novamente.

Do you wish to configure another bridged network? (yes/no) [no]

Caso prefira que uma interface de rede seja configurada através de NAT, ou seja, terá um IP virtual de uma rede Virtual e sairá do host “NATeada”, com o IP do servidor.

NAT

Do you want to be able to use NAT networking in your virtual machines? (yes/no)
[yes]

Caso queira esse tipo de configuração, pressione <ENTER>, caso negativo, escreva no e pressione <ENTER> para finalizar.

Host-only

Do you want to be able to use host-only networking in your virtual machines?
[no]

Nesse caso é se você apenas quer que a máquina Host (onde está instalado o VMware) tenha acesso, e não será acessível por nenhuma outra na rede.

Hora de compilar os módulos vmnet para o kernel

None of the pre-built vmnet modules for VMware Server is suitable for your
running kernel.  Do you want this program to try to build the vmnet module for
your system (you need to have a C compiler installed on your system)? [yes]

Pressione <ENTER> para aceitar o padrão [yes] ou digite yes para prosseguir com a compilação dos drivers do kernel.

Extracting the sources of the vmnet module.

Building the vmnet module.
...
The vmnet module loads perfectly into the running kernel.

Please specify a port for remote connections to use [902]

A opção padrão é suficiente.

Pressione <ENTER> para aceitar o padrão.

Acesso web do gerenciador

Please specify a port for standard http connections to use [8222]

Qual porta o gerenciador Web estará ouvindo.

A opção padrão é suficiente.

Pressione <ENTER> para aceitar o padrão.

Please specify a port for secure http (https) connections to use [8333]

Qual porta o gerenciador Web (via https) estará ouvindo.

A opção padrão é suficiente.

Pressione <ENTER> para aceitar o padrão.

Usuário administrador do VMware Server

The current administrative user for VMware Server  is ''.  Would you like to
specify a different administrator? [no]

Especificar um usuário administrador para o VMware é bastante interessante. Nesse caso irei utilizar um usuário local na máquina daniel que terá poder de administrar as VMs criadas.

Escreva yes e pressione <ENTER> para digitar o nome do usuário.

Please specify the user whom you wish to be the VMware Server administrator
 daniel

Storage

Using daniel as the VMware Server administrator.

insserv: script vmware-core: service VMware already provided!
insserv: script vmware-mgmt: service VMware already provided!
insserv: script vmware-autostart: service VMware already provided!
In which directory do you want to keep your virtual machine files?
[/var/lib/vmware/Virtual Machines]

Se você quiser utilizar o diretório padrão fornecido para gravar as novas VMs, pressione <ENTER>.

Se quiser outro diretório como storage das VMs, especifique o caminho completo aqui. No meu caso, tenho outro volume separado /VM e especificarei aqui

In which directory do you want to keep your virtual machine files?
[/var/lib/vmware/Virtual Machines] /VM

Número Serial

No momento que você fez o download do VMware server foi sugerido que registrasse gratuitamente para receber o número Serial, deve estar em seu email.

Caso não possua o serial, o link para solicitar o número é http://register.vmware.com/content/registration.html

Please enter your 20-character serial number.

Type XXXXX-XXXXX-XXXXX-XXXXX or 'Enter' to cancel:

Após digitar o número serial a saída será como a seguir

Terminando a configuração

Creating a new VMware VIX API installer database using the tar4 format.

Installing VMware VIX API.

In which directory do you want to install the VMware VIX API binary files?
[/usr/bin]

Pressione <ENTER> para aceitar o padrão.

In which directory do you want to install the VMware VIX API library files?
[/usr/lib/vmware-vix/lib]

Pressione <ENTER> para aceitar o padrão.

The path "/usr/lib/vmware-vix/lib" does not exist currently. This program is
going to create it, including needed parent directories. Is this what you want?
[yes]

Pressione <ENTER> para aceitar o padrão.

In which directory do you want to install the VMware VIX API document pages?
[/usr/share/doc/vmware-vix]

Pressione <ENTER> para aceitar o padrão.

The path "/usr/share/doc/vmware-vix" does not exist currently. This program is
going to create it, including needed parent directories. Is this what you want?
[yes]

Esse foi o último passo.

Se tudo correu bem, você verá no final

The installation of VMware VIX API 1.6.2 build-156745 for Linux completed
successfully. You can decide to remove this software from your system at any
time by invoking the following command: "/usr/bin/vmware-uninstall-vix.pl".

Enjoy,

--the VMware team

Starting VMware services:
   Virtual machine monitor                                             done
   Virtual machine communication interface                             done
   Virtual ethernet                                                    done
   Bridged networking on /dev/vmnet0                                   done
   Bridged networking on /dev/vmnet2                                   done
   VMware Server Authentication Daemon (background)                    done
   Shared Memory Available                                             done
Starting VMware management services:
   VMware Server Host Agent (background)                               done
   VMware Virtual Infrastructure Web Access
Starting VMware autostart virtual machines:
   Virtual machines                                                    done

The configuration of VMware Server 2.0.1 build-156745 for Linux for this
running kernel completed successfully.

Acessando a interface de gerenciamento Web

Abra o navegador e aponte para http://localhost:8222

Tela de login para a interface

Após logar-se, essa é a interface de gerenciamento das VMs.

Copie o código do script abaixo e cole num arquivo, podendo ser chamado /usr/local/bin/httpdcheck.

Após isso, edite o crontab para rodar a cada 5 minutos

*/5 * * * * /usr/local/bin/httpdcheck >/dev/null 2>&1

Abaixo está o script, após editá-lo no arquivo, não esqueça de dar permissão de execução para o arquivo com chmod 755 /usr/local/bin/httpdcheck

#!/bin/bash

# Comente se está usando Debian
RESTART="/sbin/service httpd restart"

# Descomente se está usando Debian / Ubuntu Linux
#RESTART="/etc/init.d/apache2 restart"

#path do comando pgrep
PGREP="/usr/bin/pgrep"

# Nome do processo do Apache
# RHEL/CentOS/Fedora é httpd
# Debian 4.x é apache2
HTTPD="httpd"

# httpd pid
$PGREP ${HTTPD}

if [ $? -ne 0 ] # se o apache não está rodando
then
 # restart apache
 $RESTART
fi

Having a centralized logging is a prerequisite if you want to have your logs intacts. But having the events recorded in plain files is virtually impossible for queries.

Because of this, I will show you how to configure rsyslog to write events in MySQL DB and a web interface for queries with filters to facilitate viewing of the logs without have to access the console for such task.

The focus of this post is on CentOS / Red Hat, but it can be used in other distributions with a few modifications in the process.

Prerequisites

• Instalação mínima do CentOS e RedHat 5.3

It may be interesting for you to use a web-based repository for Yum for this follow the instructions in this post

• CentOS 5: Utilizando repositório Yum da internet

Installing the necessary packages

yum install rsyslog.i386 rsyslog-mysql.i386 mysql-server php php-mysql php-gd httpd mod_ssl

Making sure that the services will start at boot

chkconfig --levels 35 rsyslog on
chkconfig --levels 35 httpd on
chkconfig --levels 35 mysqld on

Setting rSyslog

As syslog comes by default with CentOS 5 / Red Hat 5, it is necessary to disable it because both of them uses the same port to listen for write request (UDP 514). rSyslog won’t start if syslog is active.

service syslog stop
chkconfig --del syslog

Note

rSyslog uses the same syntax as syslog.conf. So, if you have a customized configuration you can copy syslog.conf over rsyslog.conf, just remember to rename the original rsyslog.conf to rsyslog.conf.orig just in case something goes wrong then you can rollback to the original one.

To rSyslog have access to MySQL it’s necessary to load the ommysql plugin, add this line at the begin of the /etc/rsyslog.conf file.

$ModLoad ommysql.so

Creating a MySQL database for rSyslog

Before everything, it’s needed to start MySQL service

service mysqld start

As root, lets create the access for the user from rSyslog to connect do database

mysql

mysql> CREATE USER 'rsyslog'@'localhost' IDENTIFIED BY 'P45sword';
mysql> GRANT ALL PRIVILEGES ON Syslog.* TO 'rsyslog'@'localhost' WITH GRANT OPTION;

Now, create the database that will be used by rSyslog

As root, run

mysql < /usr/share/doc/rsyslog-mysql-2.0.6/createDB.sql

Back to the file, /etc/rsyslog.conf add this line before the rsyslog directives

*.*    :ommysql:localhost,Syslog,rsyslog,P45sword

This is the syntax:

   :ommysql:database-server,database-name,database-userid,database-password

Where

• ommysql: is the plugin name
• database-server: MySQL db server address (tipicaly localhost)
• database-name: database
• database-userid: the user allowed to connect to MySQL
• database-password: user password

At the end of this process, the file /etc/rsyslog.conf will look like

$ModLoad ommysql.so

*.*                      :ommysql:localhost,Syslog,rsyslog,P45sword

*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 *
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log

Allowing remote connections to rSyslog

Edit the /etc/sysconfig/rsyslog file and add the parameter -r at line 6

SYSLOGD_OPTIONS="-r -m 0"

It’s possible to start rsyslog right now, so you can see if everything gonna ok

service rsyslog start

Watch the log /var/log/messages, if everything is ok, a message from rsyslog starting may look like this one, without error

Sep 22 18:42:23 master rsyslogd: [origin software="rsyslogd" swVersion="2.0.6" x -pid="2779" x-info="http://www.rsyslog.com"][x-configInfo udpReception="Yes" udp Port="514" tcpReception="No" tcpPort="0"] restart
Sep 22 18:42:23 master kernel: rklogd 2.0.6, log source = /proc/kmsg started.

Installing the Web UI client for rSyslog

With the rsyslog service ok, comes the part where we configure the web interface to make de filters, queries etc.

Download the frontend phpLogCon to your server

wget http://www.virtualxp.org/downloads/phplogcon-2.6.4.tar.gz

Extract to /usr/src

tar zxvf phplogcon-2.6.4.tar.gz -C /usr/src

Go to directory where you extracted it, in this case /usr/src/phplogcon-2.6.4 and copy the directory src to /var/www/html

cp -R src /var/www/html/syslog
cd /var/www/html/syslog
touch config.php
chown apache config.php

If you haven’t started apache yet, you can do it now

service httpd start

Starting httpd:                                            [  OK  ]

Access your web browser pointing to server address http://172.20.32.205/syslog, replace the address with your server.

Note the error, it’s normal and awaited. Click in “here” to start configuring phpLogCon.

The installer will check the OS for the prerequisites to start the program. Click “Next”.

The test was done on the phpLogCon has write access to config.php file that we created and defined the permission. Click “Next” to continue.

On Basic Configuration, let the default options selected. Click “Next”.

This is the most important part, it’s here that will be configured the data sources from Syslog.

Change the field “Source Type” to “MySQL” and fill the fields on block “Database Type Options”, like the figure above.

Click Next.

Ready! All okie dokie now!

Click “Finish!” and you will be redirected to the main screen for the phpLogCon.

Setting clients to log on Syslog server

On Linux clientes that you wanna log on a Syslog server, you must configure /etc/syslog.conf and add the following line:

*.*                   @syslog_server

Where, “syslog_server” is the hostname or IP Address from syslog server.

With this done, you need to restart Syslog service on host client

service syslog restart

Those procedures are for Red Hat / CentOS servers clients. You should adapt to you distribution.

Please, leave a comment showing the procedure for your client! It will be very helpful.

It is at those times that is necessary to compile a new kernel for the device to be recognized or a new functionality can be used by the software, for example.

I will show you how to compile a new kernel on CentOS / Red Hat Linux.

Pre-requisite

• CentOS / RedHat 5.3 minimal installation (Portuguese only)

Download latest kernel do Linux

The latest version can be get straight from http://www.kernel.org/pub/linux/kernel/v2.6/

Downloading the kernel source (at this moment is 2.6.30.5)

wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.30.5.tar.bz2

After you have done it, extract to /usr/src

tar jxvf linux-2.6.30.5.tar.bz2 -C /usr/src

...
linux-2.6.30.5/virt/
linux-2.6.30.5/virt/kvm/
linux-2.6.30.5/virt/kvm/coalesced_mmio.c
linux-2.6.30.5/virt/kvm/coalesced_mmio.h
linux-2.6.30.5/virt/kvm/ioapic.c
linux-2.6.30.5/virt/kvm/ioapic.h
linux-2.6.30.5/virt/kvm/iodev.h
linux-2.6.30.5/virt/kvm/iommu.c
linux-2.6.30.5/virt/kvm/irq_comm.c
linux-2.6.30.5/virt/kvm/kvm_main.c
linux-2.6.30.5/virt/kvm/kvm_trace.c

To made things simple, go to /usr/src and create a symlink to source code called linux, do this:

cd /usr/src
ln -sf linux-2.6.30.5 linux

Result:

ls -al

drwxr-xr-x  3 root root 4.0K Sep  2 06:18 .
drwxr-xr-x 13 root root 4.0K Aug 31 14:25 ..
lrwxrwxrwx  1 root root   14 Sep  2 06:18 linux -> linux-2.6.30.5
drwxrwxr-x 22 root root 4.0K Aug 16 18:19 linux-2.6.30.5

Preparing the environment to compile Kernel

To compile the Kernel on Linux, the OS need to be prepared, with gcc, ncurses etc.

If your CentOS or Red Hat installation is the minimal, the devel packages weren’t installed, it is needed to do it now, it’s simple with Yum that will resolve all dependencies.

yum install gcc make bison ncurses-devel rpm-build

...
Installed: bison.i386 0:2.3-2.1 gcc.i386 0:4.1.2-44.el5 ncurses-devel.i386 0:5.5-24.20060715
Dependency Installed: cpp.i386 0:4.1.2-44.el5 glibc-devel.i386 0:2.5-34.el5_3.1 glibc-headers.i386 0:2.5-34.el5_3.1 kernel-headers.i386 0:2.6.18-128.7.1.el5 libgomp.i386 0:4.3.2-7.el5
Updated: glibc.i686 0:2.5-34.el5_3.1 glibc-common.i386 0:2.5-34.el5_3.1 nscd.i386 0:2.5-34.el5_3.1

Compiling the kernel to CentOS or Red Hat

Before starting the compilation, it is interesting to clean the garbage that should left behind.

make clean

A good idea is to take the parameters of configuration that comes with the factory one, this file can be found at /boot dir, let’s copy it to the root of our kernel source and execute make menuconfig.

cd /usr/src/linux
cp /boot/config-`uname -r` .config

Be sure to stay on /usr/src/linux.
Accessing the configuration menu is the easy way to configure it.

make menuconfig

As this is a custom compilation, I suggest you to add a custom tag that will identify the new kernel, to accomplish this, do that:

• On initial screen, go to General setup  —>

• Select Local version – append to kernel release

With this done, the resulting kernel.rpm will have the tag identifying it.

It is time to customize the kernel configuration to fit with your hardware.

After this task, it’s time to quit from menuconfig and start the compilation.

While you get out the configuration, you will be asked to save the changes. Answer Yes.

The most awaited time… compiling!

Run make rpm

make rpm

...
  HOSTLD  scripts/kconfig/conf
scripts/kconfig/conf -s arch/x86/Kconfig
make clean
set -e; cd ..; ln -sf /usr/src/linux-2.6.30.5 kernel-2.6.30.5fogonacaixadagua
/bin/sh /usr/src/linux-2.6.30.5/scripts/setlocalversion > /usr/src/linux-2.6.30.5/.scmversion
set -e; cd ..; tar -cz --exclude SCCS --exclude BitKeeper --exclude .svn --exclude CVS --exclude .pc --exclude .hg --exclude .git -f kernel-2.6.30.5fogonacaixadagua.tar.gz kernel-2.6.30.5fogonacaixadagua/.
...

The compilation will start, it will take a looong time.

At the end of process, without errors:

...
Wrote: /usr/src/redhat/SRPMS/kernel-2.6.30.5fogonacaixadagua-1.src.rpm
Wrote: /usr/src/redhat/RPMS/i386/kernel-2.6.30.5fogonacaixadagua-1.i386.rpm
...

The kernel was compiled and a .rpm was generated to be installed.

To confirm that the new kernel really exists in a rpm format, run:

ls -alh /usr/src/redhat/RPMS/i386/

total 164M
drwxr-xr-x 2 root root 4.0K Sep  2 11:45 .
drwxr-xr-x 9 root root 4.0K Sep  2 10:39 ..
-rw-r--r-- 1 root root 164M Sep  2 11:45 kernel-2.6.30.5fogonacaixadagua-1.i386.rpm

RPM of the new kernel (32 bits)

I’m putting the compiled kernel and packaged here, feel free to download it.

• kernel-2.6.30.5fogonacaixadagua-1.i386.rpm

Installing the new kernel

How was generated a RPM of kernel, the installation becomes quite simple

rpm -ivh /usr/src/redhat/RPMS/i386/kernel-2.6.30.5fogonacaixadagua-1.i386.rpm

Preparing...                ########################################### [100%]
   1:kernel                 ########################################### [100%]

Confirming that the new kernel was installed.

ls /boot

config-2.6.18-128.el5                 symvers-2.6.18-128.el5.gz
config-2.6.30.5-fogonacaixadagua      System.map-2.6.18-128.el5
grub                                  System.map-2.6.30.5-fogonacaixadagua
initrd-2.6.18-128.el5.img             vmlinux-2.6.30.5-fogonacaixadagua.bz2
initrd-2.6.30.5-fogonacaixadagua.img  vmlinuz-2.6.18-128.el5
lost+found                            vmlinuz-2.6.30.5-fogonacaixadagua

Creating the initrd for the new kernel

To create the dependencies for the modules:

depmod 2.6.30.5-fogonacaixadagua

You must create a new initrd so the OS can start and pre-load the modules necessary to your hardware.

mkinitrd -v /boot/initrd-2.6.30.5-fogonacaixadagua.img 2.6.30.5-fogonacaixadagua

In case the following error occour:

No module dm-mem-cache found for kernel 2.6.30.5-fogonacaixadagua, aborting.

mkinitrd --without-dmraid -v /boot/initrd-2.6.30.5-fogonacaixadagua.img 2.6.30.5-fogonacaixadagua

Editing grub

Final phase, it remains only edit the grub.conf to use the new kernel.

With your favorite text editor, add the following lines:

title CentOS (2.6.30.5-fogonacaixadagua)
        root (hd0,0)
        kernel /vmlinuz-2.6.30.5-fogonacaixadagua ro root=/dev/VolGroup00/LogVol00
        initrd /initrd-2.6.30.5-fogonacaixadagua.img

The file /boot/grub/grub.conf will be like this:

# grub.conf generated by anaconda
#
# Note that you do not have to rerun grub after making changes to this file
# NOTICE:  You have a /boot partition.  This means that
#          all kernel and initrd paths are relative to /boot/, eg.
#          root (hd0,0)
#          kernel /vmlinuz-version ro root=/dev/VolGroup00/LogVol00
#          initrd /initrd-version.img
#boot=/dev/sda
default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title CentOS (2.6.18-128.el5)
	root (hd0,0)
	kernel /vmlinuz-2.6.18-128.el5 ro root=/dev/VolGroup00/LogVol00
	initrd /initrd-2.6.18-128.el5.img
title CentOS (2.6.30.5-fogonacaixadagua)
        root (hd0,0)
        kernel /vmlinuz-2.6.30.5-fogonacaixadagua ro root=/dev/VolGroup00/LogVol00
        initrd /initrd-2.6.30.5-fogonacaixadagua.img

For the first boot, let the line default=0 to test, if the new kernel boot with no trouble it will be ok to change the line to default=1 to always boot with the new kernel.

Testing a boot with the new kernel

Reboot.

shutdown -r now

• Press any key on boot screen to enter the selection kernel

• Select the new kernel configured into Grub

• At the end of the boot, it will be possible to see that the new one booted properly

Ter um log centralizado é um pré-requisito se você quer ter seus logs íntegros. Mas ter os eventos registrados apenas em arquivos é praticamente inviável para consultas.

Por conta disso, mostrarei aqui como configurar o rSyslog para gravar os eventos no MySQL e uma interface web para consultas, com filtros e tudo o mais para facilitar a visualização dos logs sem ser precisso acessar a console para tal atividade.

Pré-requisitos

• Instalação mínima do CentOS e RedHat 5.3

Talvez seja interessante pra você utilizar um repositório Web para o Yum, para isso siga as instruções desse post

• CentOS 5: Utilizando repositório Yum da internet

Instalando os pacotes necessários

yum install rsyslog.i386 rsyslog-mysql.i386 mysql-server php php-mysql php-gd httpd mod_ssl

Certificando que os serviços inicializarão no boot

chkconfig --levels 35 rsyslog on
chkconfig --levels 35 httpd on
chkconfig --levels 35 mysqld on

Configurando o rSyslog

Como o syslog vem por padrão instalado no CentOS 5 / Red Hat 5, é necessário desabilitá-lo porque ambos utilizam a mesma porta para ouvir requisições de gravação remotas (UDP 514) e o rSyslog não vai iniciar se o syslog estiver ativo.

service syslog stop
chkconfig --del syslog

Nota

O rSyslog entende a mesma sintaxe do syslog.conf. Então, se você tiver uma configuração específica para o syslog hoje pode copiar o arquivo syslog.conf para rsyslog.conf, lembrando de renomear o rsyslog.conf para rsyslog.conf.orig, assim caso alguma coisa aconteça de errado poderá voltar o arquivo original.

Para o rSyslog ter acesso ao MySQL é preciso carregar o plugin ommysql, acrescente essa linha no início do arquivo /etc/rsyslog.conf

$ModLoad ommysql.so

Criando a base MySQL para o rSyslog

Antes de tudo é preciso iniciar o serviço do MySQL

service mysqld start

Como root, vamos criar o acesso para o usuário do banco que o rSyslog irá utilizar para conectar-se

mysql

mysql> CREATE USER 'rsyslog'@'localhost' IDENTIFIED BY 'P45sword';
mysql> GRANT ALL PRIVILEGES ON Syslog.* TO 'rsyslog'@'localhost' WITH GRANT OPTION;

E agora, criar o banco de dados que será utilizado pelo rSyslog.

Como root, execute o comando

mysql < /usr/share/doc/rsyslog-mysql-2.0.6/createDB.sql

De volta ao arquivo /etc/rsyslog.conf acrescente essa linha, antes das diretivas do rSyslog

*.*    :ommysql:localhost,Syslog,rsyslog,P45sword

A sintaxe é essa:

:ommysql:database-server,database-name,database-userid,database-password

Onde

• ommysql: é o nome do plugin
• database-server: endereço do servidor do MySQL
• database-name: nome da base
• database-userid: usuário que conectar-se-á e tem permissão no MySQL
• database-password: senha do usuário

Ao final do processo o arquivo /etc/rsyslog.conf parecerá com o seguinte

$ModLoad ommysql.so

*.*                      :ommysql:localhost,Syslog,rsyslog,P45sword

*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 *
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log

Permitindo conexões remotas ao rSyslog

Edite o arquivo /etc/sysconfig/rsyslog e acresente o parâmetro -r na linha 6

SYSLOGD_OPTIONS="-r -m 0"

Já é possível iniciar o rsyslog para ver se tudo ocorreu bem.

service rsyslog start

Verifique o log /var/log/messages e se tudo foi certo, a mensagem referente ao rsyslog iniciando deve ser como essa, sem erros

Sep 22 18:42:23 master rsyslogd: [origin software="rsyslogd" swVersion="2.0.6" x -pid="2779" x-info="http://www.rsyslog.com"][x-configInfo udpReception="Yes" udp Port="514" tcpReception="No" tcpPort="0"] restart
Sep 22 18:42:23 master kernel: rklogd 2.0.6, log source = /proc/kmsg started.

Instalando e configurando a interface Web para o rSyslog

Com o serviço rsyslog configurado vem a parte necessária da interface Web para consultas e etc.

Baixe o frontend phpLogCon para o computador

wget http://www.virtualxp.org/downloads/phplogcon-2.6.4.tar.gz

Descompacte o arquivo para /usr/src

tar zxvf phplogcon-2.6.4.tar.gz -C /usr/src

Vá ao diretório onde descompactou, no caso o /usr/src/phplogcon-2.6.4 e copie o diretório src para /var/www/html

cp -R src /var/www/html/syslog
cd /var/www/html/syslog
touch config.php
chown apache config.php

Se você não iniciou o apache ainda, pode iniciar agora

service httpd start

Starting httpd:                                            [  OK  ]

Acesse agora, do navegador do seu computador o host http://172.20.32.205/syslog, substitua o endereço para o do seu servidor.

Note o erro, é normal e esperado. Clique em “here” para configurar o phpLogCon

Agora o instalador verificará se o SO tem os pré-requisitos necessários para rodar o programa. Clique em “Next”.

O teste feito foi referente se o phpLogCon tem acesso à escrita no arquivo config.php que criamos e definimos a permissão. Clique em “Next” para prosseguir.

Nas configurações básicas, deixe as oções padrão marcadas e clique em “Next”.

Essa é a tela de configuração mais importante. É nela que será configurado a origem dos dados dos eventos do Syslog.

Mude o campo “Source Type” para “MySQL” e preencha os campos da sessão “Database Type Options” como na figura acima.

Clique em Next.

Pronto! Tudo okie dokie agora!

Clique em “Finish!” e você será direcionado para a tela principal do phpLogCon.

Configurando clientes para logar no servidor rSyslog

Nos clientes Linux / FreeBSD etc, que você quer que os logs sejam enviados ao servidor do rSyslog, você deve configurar o /etc/syslog.conf para essa finalidade. Adicione a seguinte linha:

*.*                   @syslog_server

Onde, “syslog_server” é o hostname ou IP do servidor syslog.

Quando terminar, é necessário reiniciar o serviço do syslog no lado do cliente.

service syslog restart

Esses procedimentos são para Red Hat / CentOS e clientes Linux em geral. Para outros sistemas, deve-se adaptar de acordo.

Deixe um comentário mostrando como foi feito para o seu cliente utilizar essa solução de log centralizado! Será de bastante valor.

Script para converter nomes de arquivos de MAIÚSCULAS para minúsculas.

#!/bin/bash

file="$1"
if [ $# -eq 0 ]
then
	echo "$(basename $0)"
	exit 1
fi

if [ ! $file ]
then
	echo "$file não é um arquivo"
	exit 2
fi

lowercase=$(echo $file | tr '[A-Z]' '[a-z]'])

if [ -f $lowercase ]
then
	echo "Erro - Arquivo já existe!"
	exit 3
fi

# troca o nome do arquivo
/bin/mv $file $lowercase

Crie o arquivo /etc/iptables/blocked.ips com a lista de IPs ou redes a serem bloqueados.

Como exemplo

192.168.0.0/24
200.122.53.11
74.67.1.213

E o script que será o responsável por carregar as regras.

#!/bin/bash

IPT=`which iptables`
SPAMLIST="spamlist"
SPAMDROPMSG="SPAM LIST DROP"
BADIPS=$(egrep -v -E "^#|^$" /etc/iptables/blocked.ips)

# create a new iptables list
$IPT -N $SPAMLIST

for ipblock in $BADIPS
do
   $IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
   $IPT -A $SPAMLIST -s $ipblock -j DROP
done

$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST

Após a instalação do CentOS, você não quer mais depender da mídia de instalção e decide utilizar um repositório na Internet.

A configuração abaixo do arquivo /etc/yum.repos.d/CentOS-Base.repo utiliza repositório da internet para atualização e para eventuais instalações de pacotes, livrando assim da dependência da mídia de instalação.

[base]
name=CentOS-$releasever - Base
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#released updates
[updates]
name=CentOS-$releasever - Updates
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates
#baseurl=http://mirror.centos.org/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#packages used/produced in the build but not released
[addons]
name=CentOS-$releasever - Addons
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=addons
#baseurl=http://mirror.centos.org/centos/$releasever/addons/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras
#baseurl=http://mirror.centos.org/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-$releasever - Plus
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=centosplus
#baseurl=http://mirror.centos.org/centos/$releasever/centosplus/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#contrib - packages by Centos Users
[contrib]
name=CentOS-$releasever - Contrib
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=contrib
#baseurl=http://mirror.centos.org/centos/$releasever/contrib/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

Os enabled=0 significa que esse diretório dentro do repositório não será consultado. Se quiser habilitá-lo basta colocar um “1″ no lugar do “0″.

Após feita essa configuração execute

yum update

para atualizar as informações do repositório.