Pois é.

Deixando de lado toda aquela crítica e talz, é interessante saber como rodar o Nginx num servidor Windows como serviço.

Por que utilizar instsrv não funciona? Porque quando se inicia o nginx ele criar 2 processos nginx e o Service do Windows ao parar o serviço vai parar apenas 1 processo, deixando o outro pendurado e inutilizando o Service do Windows.

Tem um programa bastante interessante para lidar com esse tipo cenário, e óbviamente pode ser utilizado/adaptado para outras necessidades.

É um Wrapper para o Windows Service, chama-se Windows Service Wrapper e para fazer o Download dele, acessar http://maven.dyndns.org/2/com/sun/winsw/winsw/ e baixar a última versão disponível (agora que escrevo é a 1.8), ou caso o site esteja fora, pode fazer o download por aqui winsw-1.8-bin.exe.

Instalando e configurando o Windows Service Wrapper

Depois de ter feito o download do aplicativo, copie para o diretório onde instalou o nginx, geralmente é no c:\nginx e renome o arquivo winsw-1.8-bin.exe para srvnginx.exe.

Crie um arquivo .xmlcom o mesmo nome do executável, no caso srvnginx.xml e coloque o seguinte conteúdo:

 nginx
 nginx
 nginx
 c:\nginx\nginx.exe
 c:\nginx\
 roll
 
 -p c:\nginx
 -p c:\nginx -s stop

Certamente você deve alterar o caminho para o nginx de acordo com sua instalação.

Isto feito, para finalizar, execute o comando via cmd

c:\nginx\srvnginx.exe install

Pronto, o serviço nginx estará no Windows Service, pronto para o tradicional Stop/Start e funcionando a contento.

rootsh é um shell que loga tudo o que um usuário root vê no terminal. É útil se você tem vários administradores com acesso root num servidor e você quer gravar exatamente o que o usuário faz.

Fazer o download do rootsh-1.5.3.tar.gz.

wget http://www.virtualxp.org/downloads/rootsh-1.5.3.tar.gz

Descompactar, configurar, compilar e instalar:

tar zxvf rootsh-1.5.3.tar.gz -C /usr/src
cd /usr/src/rootsh-1.5.3
./configure --disable-syslog --disable-linenumbering
make
make install

Depois de instalado os binários, o sistema está quase pronto. A única necessidade que falta é criar o diretório do rootsh em /var/log onde serão gravados os logs. Esse procedimento não está documentado, mas é necessário.

mkdir /var/log/rootsh

Garantindo que o usuário root usará o rootsh como shell padrão

Para garantir que o usuário root usará o rootsh como shell padrão, adicione o rootsh ao arquivo /etc/shells:

echo /usr/local/bin/rootsh >> /etc/shells

Após esse passo, definir o shell para o usuário root

usermod -s /usr/local/bin/rootsh root

Então, toda vez que o usuário root fizer login, seja direto por ssh ou por su será criado um arquivo de log em /var/log/rootsh com a seguinte estrutura:

< user >.< date >< time >.< process id >

A formatação de cada arquivo de log é exatamente a mesma que o usuário vê no terminal.

cd /var/log/rootsh
ls
root.20100420105208.00a0a.closed
#

Conclusão

Se você não confia em seus sysadmins, ou se você quer ter um controle a mais do que está sendo feito no seu sistema, não tem erro com rootsh

O que o script faz?

Faz um parse no arquivo de log do Oracle Listener e extrai o HOST do usuário, o USER e o HOST e PORTA que o usuário está conectando.

#!/bin/bash
#
###############################################################################
#
# Descrição: Fazer o parse do LOG e extrair apenas o HOST e USER, também
#            HOST e PORT
# Autor: Daniel K Lima
# Data : 10/03/2010
# Uso  : ./parser.sh arquivo.log
#
###############################################################################

# Parâmetros
LOG=${1}
SED=$(which sed)
CUT=$(which cut)
GREP=$(which grep)
CAT=$(which cat)

# Arquivo temporário
TMP="/tmp/parser.tmp"

# Validação
if [ -z ${LOG} ]; then
        echo "Arquivo não existe ou não informado."
        echo "Utilize o formato ./parser.sh arquivo.log"
        exit 1
fi      

# Faz um grep no arquivo do LOG e só processa as linhas com CONNECT e
# substituir os ( ) por ,
$(${GREP} "CONNECT" ${LOG} | ${SED} -e 's/)/,/g' -e 's/(/,/g' > ${TMP})

# Processar cada linha que o filtro do GREP passou
${CAT} ${TMP} | while read line
do
	# Extrair do campo os valores e jogar pra uma variável própria
	USERHOST=$(echo ${line} | ${CUT} -d',' -f 10 | ${CUT} -d'=' -f 2)
	USERNAME=$(echo ${line} | ${CUT} -d',' -f 12 | ${CUT} -d'=' -f 2)
	SERVERHOST=$(echo ${line} | ${CUT} -d',' -f 19 | ${CUT} -d'=' -f 2)
	SERVERPORT=$(echo ${line} | ${CUT} -d',' -f 21 | ${CUT} -d'=' -f 2)

	# Imprimir os resultados
	echo "   HOST Usuário: ${USERHOST} "
	echo "       Username: ${USERNAME}"
	echo "  HOST Servidor: ${SERVERHOST}"
	echo "          Porta: ${SERVERPORT}"
	echo " "
done

Para customizar o resultado, é só editar as linhas 44 a 48 para adequar a sua necessidade.

Exemplo do arquivo do Log

Arquivo: connect.log

04-MAR-2010 19:09:18 * ,CONNECT_DATA=,SERVER=DEDICATED,,SERVICE_NAME=cmt,,CID=,PROGRAM=C:\Arquivos de programas\Quest Software\Toad for Oracle\TOAD.exe,,HOST=APBMZ-001062,,USER=Dario,,, * ,ADDRESS=,PROTOCOL=tcp,,HOST=10.100.5.2,,PORT=2898,, * establish * cmt * 0
04-MAR-2010 19:09:22 * ,CONNECT_DATA=,SERVER=DEDICATED,,SERVICE_NAME=cmt,,CID=,PROGRAM=C:\Arquivos de programas\Quest Software\Toad for Oracle\TOAD.exe,,HOST=APBMZ-001062,,USER=Dario,,, * ,ADDRESS=,PROTOCOL=tcp,,HOST=10.100.5.2,,PORT=2901,, * establish * cmt * 0
05-MAR-2010 12:01:40 * ,CONNECT_DATA=,SERVER=DEDICATED,,SERVICE_NAME=cmt,,CID=,PROGRAM=C:\TFSRoot\APB.Mercury.Fork.CMT\Main\Source\APB.Mercury\Mercury.WindowsService\WindowsService.IntgCmtBv\APB.Mercury.WindowsService.IntgCmtBv\bin\Debug\APB.Mercury.WindowsService.IntgCmtBv.vshost.exe,,HOST=ASD001,,USER=Igor,,, * ,ADDRESS=,PROTOCOL=tcp,,HOST=10.100.5.2,,PORT=53725,, * establish * cmt * 0
05-MAR-2010 13:01:12 * ,CONNECT_DATA=,SERVER=dedicated,,SERVICE_NAME=cmt,,CID=,PROGRAM=C:\Program Files\Quest Software\Toad for Oracle\toad.exe,,HOST=APB-RJZ2BM87D3X,,USER=jcb,,, * ,ADDRESS=,PROTOCOL=tcp,,HOST=10.100.5.2,,PORT=1421,, * establish * cmt * 0
05-MAR-2010 13:01:17 * ,CONNECT_DATA=,SERVER=dedicated,,SERVICE_NAME=cmt,,CID=,PROGRAM=C:\Program Files\Quest Software\Toad for Oracle\toad.exe,,HOST=APB-RJZ2BM87D3X,,USER=jcb,,, * ,ADDRESS=,PROTOCOL=tcp,,HOST=10.100.5.2,,PORT=1422,, * establish * cmt * 0
05-MAR-2010 13:22:05 * ,CONNECT_DATA=,SERVER=dedicated,,SERVICE_NAME=cmt,,CID=,PROGRAM=C:\Program Files\Quest Software\Toad for Oracle\toad.exe,,HOST=APB-RJZ2BM87D3X,,USER=jcb,,, * ,ADDRESS=,PROTOCOL=tcp,,HOST=10.100.5.2,,PORT=2701,, * establish * cmt * 0

Exemplo do resultado do parse feito pelo script

Resultado:

   HOST Usuário: APBMZ-001062
       Username: Dario
  HOST Servidor: 10.100.5.2
          Porta: 2898

   HOST Usuário: APBMZ-001062
       Username: Dario
  HOST Servidor: 10.100.5.2
          Porta: 2901

   HOST Usuário: ASD001
       Username: Igor
  HOST Servidor: 10.100.5.2
          Porta: 53725

   HOST Usuário: APB-RJZ2BM87D3X
       Username: jcb
  HOST Servidor: 10.100.5.2
          Porta: 1421

   HOST Usuário: APB-RJZ2BM87D3X
       Username: jcb
  HOST Servidor: 10.100.5.2
          Porta: 1422

   HOST Usuário: APB-RJZ2BM87D3X
       Username: jcb
  HOST Servidor: 10.100.5.2
          Porta: 2701

Para fazer uma listagem de todos os HDs (discos) instalados num computador com FreeBSD, uma das formas de se fazer isso é executar o comando:

egrep 'ad[0-9]|cd[0-9]' /var/run/dmesg.boot

E a saída desse comando será algo como:

acd0: CDRW  at ata0-master UDMA33
ad2: 76318MB  at ata1-master UDMA100
ad3: 76318MB  at ata1-slave UDMA100

Onde:

1. IDE Hard disk começa com ad – /dev/ad0 primeiro IDE hard disk, /dev/ad1 segundo hard disk e assim por diante
2. SCSI Hard disk começam com da – /dev/da*
3. IDE CDROM/RW/DVD começam com acd – /dev/acd*
4. SCSI CDROM/RW/DVD começam com cd – /dev/cd*

Ter um PDF é bom, é prático e tudo o mais, mas é necessário ter um programa específico para poder abrir os arquivos .pdf como o Acrobat Reader, o evince e outros.

As vezes não é necessário ou não é desejado ter um programa específico para poder abrir PDFs, sendo mais prático, no entanto, utilizar o próprio navegador que suporta abrir as imagens diretamente sem auxílio externo.

Caso essa seja a sua necessidade, converter os PDFs que estejam num servidor ou o que seja, vou mostrar abaixo como converter PDF para imagem através da linha de comando do Linux utilizando o programa ImageMagick.

Instalando o ImageMagick no CentOS / Red Hat

No Red Hat / CentOS é bem simples:

yum install ImageMagick

Será instalado o ImageMagick e todas as dependências. Não se assuste se dentre elas ter alguma biblioteca do x.org, é necessário para várias bibliotecas de imagem.

Convertendo o PDF em imagem

Para converter o PDF propriamente dito para um arquivo de imagem, simplesmente execute o comando convert mais o destino, por exemplo:

convert Relatorio2010.pdf Relatorio2010.png

Será gerado uma imagem do PDF no formato .png, mas caso seja necessário que o PDF seja convertido para JPEG, altere a extensão do arquivo de destino:

convert Relatorio2010.pdf Relatorio2010.jpg

Quando há um LDAP server na rede, nesse caso o eDirectory, é interessante manter uma centralização dos usuários pois não é necessário ficar criando usuários manualmente nem os usuários terão várias senhas para guardar.

Parto do princípio que já tenha o Apache instalado e funcionando.

É necessário o mod_authz_ldap para configurar essa autenticação com o LDAP.

Instalando o mod_authz_ldap

No CentOS / Red Hat, para instalar:

yum install mod_authz_ldap

Configurando o diretório que deverá ser autenticado

O que é necessário saber do eDirectory server para poder autenticar com sucesso:

• IP do server
• Usuário para fazer o bind, ou seja, é o usuário que tem permissão para realizar a busca na árvore
• Se for fazer a autenticação baseada em grupo, saber qual grupo e em que contexto está esse grupo

Usando vhost

Nesse exemplo, utilizarei o conceito de vhost para a configuração da restrição de acesso.

Para isso, criar um arquivo de configuração no diretório /etc/httpd/conf.d chamado wordpress.conf e seu conteúdo é como abaixo

Controle por grupo

No caso, o grupo chama-se GRP_Wordpress.

Arquivo: /etc/httpd/conf.d/wordpress.conf

    DocumentRoot /var/www/html/wordpress
    
        AuthName "Utilize o login da rede Novell Netware"
        AuthType basic
        AuthBasicProvider file ldap

        AuthLDAPBindDN cn=dklima,ou=FCA,o=FogoNaCaixadAgua
        AuthLDAPBindPassword P45sw0rD

        AuthLDAPURL "ldap://192.168.11.10:389/ou=FCA,o=FogoNaCaixadAgua?cn?sub?(securityEquals=cn=GRP_Wordpress,ou=FCA,o=FogoNaCaixadAgua)"
        Require valid-user
        AuthzLDAPAuthoritative off
    
    ServerName wordpress.fogonacaixadagua

Validar apenas usuário

Arquivo: /etc/httpd/conf.d/wordpress.conf

    DocumentRoot /var/www/html/wordpress
    
        AuthName "Utilize o login da rede Novell Netware"
        AuthType basic
        AuthBasicProvider file ldap

        AuthLDAPBindDN cn=dklima,ou=FCA,o=FogoNaCaixadAgua
        AuthLDAPBindPassword P45sw0rD

        AuthLDAPURL "ldap://192.168.11.10:389/ou=FCA,o=FogoNaCaixadAgua?cn?sub"
        Require valid-user
        AuthzLDAPAuthoritative off
    
    ServerName wordpress.fogonacaixadagua

Com isso, quando foi solicitado acesso ao diretório /var/www/html/wordpress, o será solicitado um usuário válido para pode acessar o site.

É necessário reiniciar o processo do Apache

service httpd restart

Usando .htaccess

Nesse exemplo, o conceito usado é para utilizar um arquivo .htaccess dentro do diretório que será restrito o acesso.

Criar o arquivo .htaccess no diretório, nesse exemplo /var/www/html/wordpress com o seguinte conteúdo:

Controle por grupo

No caso, o grupo chama-se GRP_Wordpress.

Arquivo: /var/www/html/wordpress/.htaccess

        AuthName "Utilize o login da rede Novell Netware"
        AuthType basic
        AuthBasicProvider file ldap

        AuthLDAPBindDN cn=dklima,ou=FCA,o=FogoNaCaixadAgua
        AuthLDAPBindPassword P45sw0rD

        AuthLDAPURL "ldap://192.168.11.10:389/ou=FCA,o=FogoNaCaixadAgua?cn?sub?(securityEquals=cn=GRP_Wordpress,ou=FCA,o=FogoNaCaixadAgua)"
        Require valid-user
        AuthzLDAPAuthoritative off

Validar apenas usuários

Arquivo: /var/www/html/wordpress/.htaccess

        AuthName "Utilize o login da rede Novell Netware"
        AuthType basic
        AuthBasicProvider file ldap

        AuthLDAPBindDN cn=dklima,ou=FCA,o=FogoNaCaixadAgua
        AuthLDAPBindPassword P45sw0rD

        AuthLDAPURL "ldap://192.168.11.10:389/ou=FCA,o=FogoNaCaixadAgua?sn?sub
        Require valid-user
        AuthzLDAPAuthoritative off

Não é necessário reiniciar o apache.

Enabling Remote Access to the Installation System

You may access either graphical or text interfaces for the installation system from any other system.
Access to a text mode display requires telnet, which is installed by default on Fedora systems.
To remotely access the graphical display of an installation system, use client software that supports the VNC (Virtual Network Computing) display protocol.
A number of providers offer VNC clients for Microsoft Windows and Mac OS, as well as UNIX-based systems.

The installation system supports two methods of establishing a VNC connection.
You may start the installation, and manually login to the graphical display with a VNC client on another system.
Alternatively, you may configure the installation system to automatically connect to a VNC client on the network that is running in listening mode.

Enabling Remote Access with VNC

To enable remote graphical access to the installation system, enter two options at the boot prompt:

linux vnc vncpassword=qwerty

(The VNC password must be at least six characters long.)

The vnc option enables the VNC service. The vncpassword option sets a password for remote access. The example shown above sets the password as qwerty .

Specify the language, keyboard layout and network settings for the installation system with the screens that follow. You may then access the graphical interface through a VNC client. The installation system displays the correct connection setting for the VNC client:

Starting VNC…

The VNC server is now running.
Please connect to computer.mydomain.com:1 to begin the install…
Starting graphical installation…
Press for a shell

You may then login to the installation system with a VNC client. To run the vncviewer client on Fedora, choose Applications -> Accessories -> VNC Viewer , or type the command vncviewer in a terminal window. Enter the server and display number in the VNC Server dialog. For the example above, the VNC Server is computer.mydomain.com:1 .

Connecting the Installation System to a VNC Listener

To have the installation system automatically connect to a VNC client, first start the client in listening mode. On Fedora systems, use the -listen option to run vncviewer as a listener. In a terminal window, enter the command:

vncviewer -listen

Firewall Reconfiguration Required

By default, vncviewer uses TCP port 5500 when in listening mode. To permit connections to this port from other systems, choose System -> Administration -> Security Level and Firewall . Select Other ports , and Add . Enter 5500 in the Port(s) field, and specify tcp as the Protocol .

Once the listening client is active, start the installation system and set the VNC options at the boot: prompt. In addition to vnc and vncpassword options, use the vncconnect option to specify the name or IP address of the system that has the listening client. To specify the TCP port for the listener, add a colon and the port number to the name of the system.

For example, to connect to a VNC client on the system desktop.mydomain.com on the port 5500, enter the following at the boot: prompt:

linux vnc vncpassword=qwerty vncconnect=desktop.mydomain.com:5500

Enabling Remote Access with Telnet

To enable remote access to a text mode installation, use the telnet option at the boot: prompt:

linux text telnet

You may then connect to the installation system with the telnet utility. The telnet command requires the name or IP address of the installation system:

telnet computer.mydomain.com

(Telnet Access Requires No Password)

To ensure the security of the installation process, only use the telnet option to install systems on networks with restricted access.

Source: Linuxtopia

Isto é definido pelo parâmetro Banner do arquivo /etc/ssh/sshd_config.

Primeiro, crie o arquivo que conterá a mensagem que será apresentada quando o usuário tentar fazer login via SSH no servidor.

Arquivo: /etc/ssh/banner.txt

************************************************

            NOTICE TO USERS WARNING! 

The use of this system is restricted to authorized
users, unauthorized access is forbidden and will
be prosecuted by law. 

All information and communications on this system
are subject to review, monitoring and recording at
any time, without notice or permission. 

Users should have no expectation of privacy. 

*************************************************

Edite o arquivo /etc/ssh/sshd_config e procure pelo parâmetro Banner, geralmente está próximo do final desse arquivo.

Provavelmente esse parâmetro estará comentado:

#Banner /some/path

Altere essa linha para:

Banner /etc/ssh/banner.txt

Grave a alteração e reinicie o servidor do ssh:

service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

ou

/etc/init.d/sshd restart

Para testar se tudo está OK, tente conectar-se via SSH no host que foi feita a alteração:

ssh localhost

Deverá ser apresentada uma tela parecida com a seguinte:

The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is e8:86:ca:cc:e5:fd:cc:76:c3:57:55:5b:67:f8:98:c3.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
************************************************

            NOTICE TO USERS WARNING! 

The use of this system is restricted to authorized
users, unauthorized access is forbidden and will
be prosecuted by law. 

All information and communications on this system
are subject to review, monitoring and recording at
any time, without notice or permission. 

Users should have no expectation of privacy. 

*************************************************

root@localhost's password:

Estou colocando aqui um exemplo que pode ser adaptado para sua necessidade.

No caso, essa linha adiciona o caracter “:” (sem as aspas) a cada 2 caracteres.

Utilizei para formatar uma lista enorme de MAC address que me foi passado no formato 00106037614C

O arquivo texto original continha várias linhas:

Arquivo: mac1.txt

001060376173
001060376124
00106037614C
001060374840
001060376125
00106037612A
001060376176
001060375D9A
001060375D97

E executando sed, na linha abaixo

sed -e :a -e 's/\(.*[0-9,A-Z]\)\([0-9,A-Z]\{2\}\)/\1:\2/;ta' mac1.txt > mac2.txt

O resultado que foi direcionado para o arquivo mac2.txt é o desejado:

00:10:60:37:61:73
00:10:60:37:61:24
00:10:60:37:61:4C
00:10:60:37:48:40
00:10:60:37:61:25
00:10:60:37:61:2A
00:10:60:37:61:76
00:10:60:37:5D:9A
00:10:60:37:5D:97

Não é preciso descrever como é importante em um ambiente onde haja computadores Windows envolvidos que é necessário ter um antivírus no servidor de arquivos Linux ou FreeBSD com o Samba.

Essa versão do artigo irá cobrir Red Hat / CentOS versão 5.x.

Pré-requisitos

• Instalação mínima do CentOS e RedHat 5.3
• Utilizando o repositório Yum RPMforge

1.0 Instalando o ClamAV

É necessário o repositório Yum RPMforge estar instalado e configurado. Veja “Pré-requisitos”.

yum install clamav clamav-db clamd

1.1 Configurando o clamd

Após a instalação do clamav, edite o arquivo /etc/clamd.conf e adeque as suas necessidades.

Para uma utilização geral, a seguinte configuração é suficiente:

Arquivo: /etc/clamd.conf

LogFile /var/log/clamav/clamd.log
LogFileMaxSize 0
LogTime yes
LogSyslog yes
PidFile /var/run/clamav/clamd.pid
TemporaryDirectory /var/tmp
DatabaseDirectory /var/clamav
LocalSocket /var/run/clamav/clamd.sock
FixStaleSocket yes
TCPSocket 3310
TCPAddr 127.0.0.1
MaxConnectionQueueLength 30
MaxThreads 50
ReadTimeout 300
User root
AllowSupplementaryGroups yes
ScanPE yes
ScanELF yes
DetectBrokenExecutables yes
ScanOLE2 yes
ScanMail yes
ScanArchive yes
ArchiveBlockEncrypted no

Por que o usuário ‘root’? Porque por padrão o Clamd roda como usuário ‘clamav’ e quando o Samba chamar o clamav e for necessário apagar algum arquivo com vírus ele não vai ter permissão.

Inicar e garantir que iniciará no boot:

chkconfig --levels 35 clamd on
service clamd start

Starting Clam AntiVirus Daemon:                            [  OK  ]

1.2 Configurando freshclam para atualizações

Editar o arquivo de configuração do freshclam que ficará parecido com o seguinte:

Arquivo: /etc/freshclam.conf

DatabaseDirectory /var/clamav
UpdateLogFile /var/log/clamav/freshclam.log
LogTime yes
DatabaseMirror db.br.clamav.net
DatabaseMirror database.clamav.net
DatabaseOwner root
NotifyClamd /etc/clamd.conf
SubmitDetectionStats /etc/clamd.conf

Criar o arquivo de log pro Freshclam

touch /var/log/clamav/freshclam.log
chown clamav:clamav /var/log/clamav/freshclam.log

Caso seu servidor não tenha acesso diretamente à internet mas você possui um proxy na rede, coloque os seguintes parâmetros no arquivo /etc/freshclam.conf com as informações do proxy.

Arquivo: /etc/freshclam.conf

HTTPProxyServer 192.168.1.1
HTTPProxyPort 3128
HTTPProxyUsername user
HTTPProxyPassword s3nh4

Após isso, a permissão do arquivo /etc/freshclam.conf deverá ser 0600.

chmod 0600 /etc/freshclam.conf

Pode-se executar o comando freshclam para atualizar a assinatura de vírus.

freshclam

2.0 Instalando o Samba

A versão que vem por padrão com o Red Hat / CentOS não é possível utilizar em conjunto com o vscan, por isso será necessário compilar o Samba para que tenha suporte ao samba-vscan.

2.0.1 RPMs 64 bits gerados

Se o seu SO é 64 bits, então os pacotes do Samba eu compilei e estou disponbilizando aqui, pra facilitar o trabalho e não ser necessário instalar o ambiente de desenvolvimento no servidor.

• samba-3.0.33-3.14.x86_64.rpm
• samba-client-3.0.33-3.14.x86_64.rpm
• samba-common-3.0.33-3.14.x86_64.rpm

Caso queira compilar, prossiga para o próximo passo

2.0.2 Preparando o Samba para gerar o pacote .rpm

Faça o download do RPM source do samba:

cd ~
wget http://netops.nexicom.net/centos/5.4/updates/SRPMS/samba-3.0.33-3.14.el5.src.rpm

Instalar os arquivos:

rpm -ivh samba-3.0.33-3.14.el5.src.rpm

É necessário descompacatar o .tar.gz do código fonte e depois compactá-lo.

cd /usr/src/redhat/SOURCES
tar zxvf samba-3.0.33.tar.gz
cd samba-3.0.33/source
./autogen.sh && ./configure
make proto

Se ao tentar compilar o Samba, ao executar os comandos acima você tiver a seguinte mensagem:

./autogen.sh && ./configure
./autogen.sh: running script/mkversion.sh
./script/mkversion.sh: 'include/version.h' created for Samba("3.0.33")
./autogen.sh: running autoheader -I. -Ilib/replace
./autogen.sh: running autoconf -I. -Ilib/replace
Now run ./configure and then make.
SAMBA VERSION: 3.0.33
LIBREPLACE_LOCATION_CHECKS: START
...
LIBREPLACE_LOCATION_CHECKS: END
LIBREPLACE_CC_CHECKS: START
checking for gcc... no
checking for cc... no
checking for cc... no
checking for cl... no
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details.

É por que não tem os pacotes de desenvolvimento instalado, para resolver isso, instale-os:

yum install rpm-build gcc gcc-c++ make autoconf automake libtool

2.1 Fazer o download do vscan

2.1.1 Binário 64bits do vscan

Caso seu SO seja 64 bits, estou dispobilizando a biblioteca do vscan-clamav já compilada.

• vscan-clamav.so

Caso seja 32 bits ou queira compilar o código fonte, prossiga para o próximo tópico.

2.1.2 Compilando pelo código fonte

cd ~
wget http://www.openantivirus.org/download/samba-vscan-0.3.6c-beta5.tar.gz

Descompactar:

tar zxvf ~/samba-vscan-0.3.6c-beta5.tar.gz -C /usr/src

Compilar o samba-vscan:

cd /usr/src/samba-vscan-0.3.6c-beta5/
./configure --with-libclamav --with-samba-source=/usr/src/redhat/SOURCES/samba-3.0.33/source/

Ao final, você terá algo como:

** Configuration summary for samba-vscan 0.3.6c beta5 :

 Compile samba-vscan for Samba      : "3.0.33"
 Compile samba-vscan with sources in: /usr/src/redhat/SOURCES/samba-3.0.33/source/
 Compile samba-vscan backends       : oav sophos fprotd fsav trend icap mksd kavp clamav nai antivir
 Use GLOBAL_LIBS                    : -lmagic
 Use libmksd as                     : builtin
 Use libkavdc as                    : builtin

Hora de começar a compilar o samba-vscan:

cd /usr/src/samba-vscan-0.3.6c-beta5
make

Por enquanto é isso. Não execute make install.

2.1 Gerando o .rpm para o samba com vscan

2.1.1 Gerar o .rpm do samba

Agora é necessário compactar o diretório samba-3.0.33 novamente pra gerar o .rpm com tudo certo dentro.

Instalar dependências:

yum install cups-devel gnutls-devel pam-devel readline-devel ncurses-devel libacl-devel openldap-devel openssl-devel

cd /usr/src/redhat/SOURCES/
mv samba-3.0.33.tar.gz samba-3.0.33.tar.gz.orig
tar zcvf samba-3.0.33.tar.gz samba-3.0.33

Gerar o .rpm do samba-3.0.33:

cd /usr/src/redhat/SPECS/
rpmbuild -bb samba.spec

Ao final do processo, você terá algo como:

Wrote: /usr/src/redhat/RPMS/x86_64/samba-3.0.33-3.14.x86_64.rpm
Wrote: /usr/src/redhat/RPMS/x86_64/samba-client-3.0.33-3.14.x86_64.rpm
Wrote: /usr/src/redhat/RPMS/x86_64/samba-common-3.0.33-3.14.x86_64.rpm
Wrote: /usr/src/redhat/RPMS/x86_64/samba-swat-3.0.33-3.14.x86_64.rpm
Wrote: /usr/src/redhat/RPMS/x86_64/samba-debuginfo-3.0.33-3.14.x86_64.rpm
...

Para instalar, utilizaremos o próprio rpm.

rpm -iUvh /usr/src/redhat/RPMS/x86_64/samba-3.0.33-3.14.x86_64.rpm /usr/src/redhat/RPMS/x86_64/samba-client-3.0.33-3.14.x86_64.rpm /usr/src/redhat/RPMS/x86_64/samba-common-3.0.33-3.14.x86_64.rpm

Eu já tinha o samba instalado e nesse caso não me deixou instalar por cima e finalizou com as seguintes mensagens:

Preparing...                ########################################### [100%]
	package samba-common-3.0.33-3.15.el5_4.1.x86_64 (which is newer than samba-common-3.0.33-3.14.x86_64) is already installed
	package samba-3.0.33-3.15.el5_4.1.x86_64 (which is newer than samba-3.0.33-3.14.x86_64) is already installed
	package samba-client-3.0.33-3.15.el5_4.1.x86_64 (which is newer than samba-client-3.0.33-3.14.x86_64) is already installed

Nesse caso é seguro executar o rpm com o parâmetro --force

rpm -iUvh --force /usr/src/redhat/RPMS/x86_64/samba-3.0.33-3.14.x86_64.rpm /usr/src/redhat/RPMS/x86_64/samba-client-3.0.33-3.14.x86_64.rpm /usr/src/redhat/RPMS/x86_64/samba-common-3.0.33-3.14.x86_64.rpm

Preparing...                ########################################### [100%]
   1:samba-common           ########################################### [ 33%]
   2:samba                  ########################################### [ 67%]
   3:samba-client           ########################################### [100%]

3.0 Configuração do vscan

No diretório /etc/samba crie o arquivo de configuração para o samba-vscan (um exemplo desse arquivo está em: /usr/src/samba-vscan-0.3.6c-beta5/clamav/vscan-clamav.conf)

Arquivo: /etc/samba/vscan-clamav.conf

max file size = 0
verbose file logging = no
scan on open = yes
scan on close = yes
deny access on error = yes
deny access on minor error = yes
send warning message = yes
infected file action = delete
quarantine directory  = /tmp
quarantine prefix = vir-
max lru files entries = 100
lru file entry lifetime = 5
exclude file types =
exclude file regexp =
clamd socket name = /var/run/clamav/clamd.sock
scan archives = yes
libclamav max files in archive = 1000
libclamav max archived file size = 10485760
libclamav max recursion level = 5

64 bits

Copie a lib gerada do vscan para o ClamAV que está em /usr/src/samba-vscan-0.3.6c-beta5/

cd /usr/src/samba-vscan-0.3.6c-beta5/
cp vscan-clamav.so /usr/lib64/samba/vfs

32 bits

Copie a lib gerada do vscan para o ClamAV que está em /usr/src/samba-vscan-0.3.6c-beta5/

cd /usr/src/samba-vscan-0.3.6c-beta5/
cp vscan-clamav.so /usr/lib/samba/vfs

4.0 Configuração do Samba para utilizar o vscan

Edite o arquivo /etc/samba/smb.conf e adicione as entradas em [global]

Arquivo: /etc/samba/smb.conf

        vfs object = vscan-clamav
        vscan-clamav: config-file = /etc/samba/vscan-clamav.conf

Pronto.

Só falta iniciar ou reiniciar o Samba:

service smb start
Starting SMB services:                                     [  OK  ]
Starting NMB services:                                     [  OK  ]

Os logs dos arquivos scanneados são mostrados em /var/log/messages.

5.0 Não permitir que o yum atualize o Samba

É interessante não permitir que o yum atualize o Samba, se isso acontecer, as alterações feitas pelo samba-vscan quando compilamos ele serão perdidas e você perderá as funcionalidade de antivírus do Samba.

Para fazer isso, é bem simples, adicione a seguinte linha no arquivo /etc/yum.conf na sessão [main]

exclude=samba*

This error can happen with Linux or FreeBSD or whichever SO that ClamAV support.

When you run

clamscan

You get this error

LibClamAV Error: cli_loaddb(): No supported database files found in /var/db/clamav
ERROR: Can't open file or directory

----------- SCAN SUMMARY -----------
Known viruses: 0
Engine version: 0.95.1
Scanned directories: 0
Scanned files: 0
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 0.001 sec (0 m 0 s)

It means that you have no database virus.

Just configure and run freshclam.

A sample freshclam.conf file:

DatabaseDirectory /var/lib/clamav
UpdateLogFile /var/log/freshclam.log
LogTime yes
LogSyslog yes
PidFile /var/run/clamd/freshclam.pid
DatabaseOwner clamav
DNSDatabaseInfo current.cvd.clamav.net
DatabaseMirror db.br.clamav.net
DatabaseMirror database.clamav.net
NotifyClamd /usr/local/etc/clamd.conf
SubmitDetectionStats /usr/local/etc/clamd.conf
DetectionStatsCountry BR

1.0 About this

The goal of this article is to be a base for a complete installarion of GOsa2, it will be used by future articles on what maters with integrating with others services.

2.0 What GOsa2 means?

GOsa2 is the constrict form for GOnicus System Administration.
From author’s site gosa-project.org

A mighty System-/Config-management frontend using LDAP as a backend. It is able to manage POSIX, Samba, Mail, Kolab, FAX, Asterisk and many more services.

3.0 Prerequisites

• A minimal install of CentOS e RedHat 5.3 (This guide is in Portuguese only :( )
• Apache 2.2.x
• PHP 5.2
• OpenLDAP
• Repository yum EPEL

4.0 Instaling pre-requisites

As said before, I’m assuming that you already have an installation of CentOS or Red Hat, therefore, I’ll be covering the system requisites to get a functional GOsa2.

4.1 Installing the yum EPEL repository

rpm -ivh http://virtualxp.org/downloads/epel-release-5-3.noarch.rpm

4.2 Setting the repository for GOsa2

Go to /etc/yum.repos.d and create the file GOsa2.repo with your favorite text editor.
File: /etc/yum.repos.d/GOsa2.repo

[GOsa]
name=GOsa Repository
baseurl=ftp://oss.gonicus.de/pub/gosa/redhat
enabled=1
gpgcheck=0

4.3 Setting the repository for PHP 5.2

GOsa2 needs the PHP 5.2 to run, however, there’s no PHP 5.2 on official repository. With that said, we need to set up a third party repository. For this article I’ll be using the repository from Utter Ramblings. It’s a nice and reliable repo, you can use it with no fear.
Go to /etc/yum.repos.d and with your favorite text editor create a file called utterramblings.repo.
File: /etc/yum.repos.d/utterramblings.repo

[utterramblings]
name=Jason's Utter Ramblings Repo
baseurl=http://www.jasonlitka.com/media/EL$releasever/$basearch/
enabled=1
gpgcheck=1
gpgkey=http://www.jasonlitka.com/media/RPM-GPG-KEY-jlitka

This repo already have a version of Apache 2.2.x (2.2.14 at this momment) that we’ll be using.

4.4 Installing OpenLDAP Server

We’ll use the offical version (which means the one into the repository or Media).
To accomplish this, execute the following command:

yum install openldap openldap-clients openldap-servers

5.0 Installing GOsa2 via yum

With the prerequisites satisfied, continue the installation of GOsa2

There are a couple of plugins availiable from GOsa2 respository, doing a search over it, it is possible to get an idea of which of them you really need to install. Install those that suit to your environment.

yum search gosa

WARNING: Avoid to install the package gosa-desktop, as it will install Gnome and X.org as dependence.

Below are the packs that we will use in this article. Feel free to alter it.

yum install gosa-schema.noarch gosa-plugin-systems.noarch gosa-plugin-sudo.noarch gosa-plugin-squid.noarch gosa-plugin-samba.noarch gosa-plugin-rolemanagement.noarch gosa-plugin-pureftpd.noarch gosa-plugin-mail.noarch gosa-plugin-log.noarch gosa-plugin-ldapmanager.noarch gosa-plugin-dns.noarch gosa-plugin-dhcp.noarch gosa-plugin-connectivity.noarch gosa-plugin-addressbook.noarch gosa-help-en.noarch gosa.noarch

5.1 Edit PHP (php.ini) params to suit GOsa2

To GOsa2 run happy, it’s necessary to alter 2 parameters in file /etc/php.ini. Edit it and save it.

Before:

• expose_php = On
• magic_quotes_gpc = Off

After:

• expose_php = Off
• magic_quotes_gpc = On

5.2 Making sure the services start at boot time

chkconfig --levels 35 ldap on
chkconfig --levels 35 httpd on

6.0 Setting OpenLDAP to suit GOsa2 needs

With all those work we have done so far, now it’s a critical time, but simple to do.
Will be necessary to suit OpenLDAP to talk to GOsa2, this means showing the right schemas to OpenLDAP.
Make a backup copy from the original slapd.conf file.

cd /etc/openldap
cp slapd.conf slapd.conf.orig

To generate the cn=Manager password hash.

slappasswd -h {SSHA}
New password:
Re-enter new password:
{SSHA}Nag4FWwXLoGO/WpdpFJUlMVCBYwB94wt

The result will be the hash from the entered password, this case I used “fogonacaixadagua”. Keep this hash, we will use it soon.

Now, make your /etc/openldap/slapd.conf look like the one below:
File: /etc/openldap/slapd.conf

include         /etc/openldap/schema/corba.schema
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/dyngroup.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/java.schema
include         /etc/openldap/schema/misc.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/openldap.schema
include         /etc/openldap/schema/ppolicy.schema

include /etc/openldap/schema/gosa/samba3.schema
include /etc/openldap/schema/gosa/pureftpd.schema
include /etc/openldap/schema/gosa/gofon.schema
include /etc/openldap/schema/gosa/gosystem.schema
include /etc/openldap/schema/gosa/goto.schema
include /etc/openldap/schema/gosa/gosa-samba3.schema
include /etc/openldap/schema/gosa/gofax.schema
include /etc/openldap/schema/gosa/goserver.schema
include /etc/openldap/schema/gosa/goto-mime.schema
include /etc/openldap/schema/gosa/trust.schema
include /etc/openldap/schema/gosa/dnszone.schema
include /etc/openldap/schema/gosa/gosa_custom.schema

pidfile		/var/run/openldap/slapd.pid
argsfile	/var/run/openldap/slapd.args

database	bdb
suffix		"dc=FogoNaCaixadAgua"
rootdn		"cn=Manager,dc=FogoNaCaixadAgua"

# Senha gerada pelo comando slappasswd -h {SSHA}
rootpw		{SSHA}Nag4FWwXLoGO/WpdpFJUlMVCBYwB94wt

directory	/var/lib/ldap

index entryCSN,entryUUID eq
index uid,mail eq
index gosaMailAlternateAddress,gosaMailForwardingAddress eq
index cn,sn,givenName,ou pres,eq,sub
index objectClass pres,eq
index uidNumber,gidNumber,memberuid eq
index gosaSubtreeACL,gosaObject,gosaUser pres,eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq

cachesize 100000

To copy some schemas that aren’t on schemas’ dir:

cp /usr/share/gosa/plugins/pureftpd/contrib/pureftpd.schema /etc/openldap/schema/gosa
cp /usr/share/gosa/plugins/dns/contrib/dnszone.schema /etc/openldap/schema/gosa

Create the file /etc/openldap/schema/gosa_custom.schema with the following content:

File: /etc/openldap/schema/gosa_custom.schema

#$Id: authldap.schema,v 1.8 2005/03/20 19:10:30 mrsam Exp $
#
# OID prefix: 1.3.6.1.4.1.25981
#
# Attributes: 1.3.6.1.4.1.25981.1.1
#
# Depends on: gosa.schema and cosine.schema

attributetype ( 1.3.6.1.4.1.25981.1.1.1 NAME 'gosaMailHome'
	DESC 'The absolute path to the mail message stor directory in a virtual mail setup.'
        EQUALITY caseExactIA5Match
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )

#
# Objects: 1.3.6.1.4.1.25981.1.2
#

objectclass ( 1.3.6.1.4.1.25981.1.2.1 NAME 'gosaVirtualMailAccount' SUP top AUXILIARY
	DESC 'Objectclass to mark Virtual MailAccounts for GOsa (v2.4)'
        MAY ( gosaMailHome ) )

7.0 Starting OpenLDP

With OpenLDAP server configured and the schemas on the right place, copy DB_CONFIG.example to LDAP’s dir:

cd /etc/openldap
cp DB_CONFIG.example /var/lib/ldap/DB_CONFIG

Now, you can start OpenLDAP and you can verify if it’s gonna ok.

service ldap start
Checking configuration files for slapd:  config file testing succeeded
                                                           [  OK  ]
Starting slapd:                                            [  OK  ]

8.0 Starting Apache

Apache was installed with the GOsa2. The GOsa2 package created the config file to apache, this file can be found at /etc/httpd/conf.d/gosa-apache.conf

File: /etc/httpd/conf.d/gosa-apache.conf

# Include GOsa to your web service
Alias /gosa /usr/share/gosa/html

    php_admin_flag engine on
    php_admin_flag register_globals off
    php_admin_flag allow_call_time_pass_reference off
    php_admin_flag expose_php off
    php_admin_flag zend.ze1_compatibility_mode off
    php_admin_flag register_long_arrays off
    php_admin_flag magic_quotes_gpc on
    php_admin_value upload_tmp_dir /var/spool/gosa/
    php_admin_value session.cookie_lifetime 0
    include /etc/gosa/gosa.secrets

   PHP_Fix_Pathinfo_Enable 1

     Options +ExecCGI
     AddHandler fcgid-script .php
     FCGIWrapper /var/www/php-fcgi/php-fcgi-starter .php
     include /etc/gosa/gosa.secrets

Isnt’ recommended to edit it, do it only if it’s really necessary.
Time to start Apache:

service httpd start
Starting httpd:                                            [  OK  ]

9.0 Setting GOsa2 through Web interface

After starting Apache, access through of server IP.

9.1 Initial screen of GOsa2 set up

http://192.168.11.13/gosa/

Note the highlighted part on image, it’s necessary to execute the above command to GOsa2 installer know that you have control over server.

echo -n 93esjraq6baopmpchl1qsksc84 > /tmp/gosa.auth

After you executed the command, click “Next”.

9.2 Language selection

Pick up the correct one and Click “Next”.

9.3 Environment checking

If you got any error here, get back to: 5.1 Edit PHP (php.ini) params to suit GOsa2.

After all field being marked with Ok, click “Next”.

License agreement

This screen you must accept the license.

After you check it, click “Next.

9.4 LDAP Connection

Here you set the connection between GOsa2 and OpenLDAP that we configured before.

The parts tha need to be changed are marked in 1 and 2:
1. Put the conext to Manager user: “cn=Manager,dc=FogoNaCaixadAgua”
2. Password hash, “fogonacaixadagua”

Click “Next”".

9.5 Schema validation

Yeah!

Click “Next”.

9.6 Setting GOsa2 1/3

Let the default ones and click “Next”.

9.7 Setting GOsa2 2/3

Some settings to GOsa2.

Below I’ll explain the changes done, based on the number into above picture, change them as show.
1. the context that will have the Workstations info from Windows Domain.
2. Timezone for GOsa2.
3. Enable Copy & Paster, it’s a nice function, very interesting when you change some entry into an Organizational Unit, for example.
4. Enable snapshots, they are useful to revert some bat change, for example
5. Put the Manager password, “fogonacaixadagua”.

Click “Next” after you finish it.

9.8 Setting GOsa2 3/3

Last part on setting GOsa2.

1. Enter your SNMP community, if you have one in your network, otherwise put ‘public’.
2. To enable the SUDO config from GOsa2 Interface

Click “Next”.

9.9 Inspecting OpenLDAP

In this screen will have a full check to verify if you have some tree in LDAP, as we started from scratch, it have nothing, because of this you see a lot of “Fails”. Do not worry, soon it will be all Green ;)

To create a root object, click the button as highlighted on pic below:

After clicking “Try to create a root object” look that the things are starting to getting better :D

First click the button “Migrate”, in “Inspecting object classes in root object” then you will be redirected to the following page:

Click “Migrate”.

Getting back to LDAP Inspection page, click the unique button shown.

This time it’s to create a password for the user ‘admin’ that will log into GOsa2 interface. Enter a password, here is “fogonacaixadagua” then click “Apply”

All nice and green, as I promised you.

Time to go to the last part. Click “Next”.

9.10 Send a feedback

You are on your own.

Finnished, click “Next”.

9.11 Almost END

Download the config file to your computer and then copy it to /etc/gosa on server side, apply the permissions as shown by installer.

scp ~/temp/gosa.conf root@192.168.11.13:/etc/gosa

After, on GOsa2 server

chown root:apache /etc/gosa/gosa.conf
chmod 640 /etc/gosa/gosa.conf

Click “Next” on final step to confirm that the config file is there.

You will be awarded with the login screen, use the ‘admin’ user and the password defined in the install process to login.

Sobre esse artigo

A idéia deste artigo é servir como base para instalação completa do GOsa2 que será utilizada por artigos futuros no que diz respeito a integração com outros serviços.

O que GOsa2 quer dizer?

GOsa2 é a forma compacta para GOnicus System Administration.

Do site http://www.gosa-project.org/

A mighty System-/Config-management frontend using LDAP as a backend. It is able to manage POSIX, Samba, Mail, Kolab, FAX, Asterisk and many more services.

Pré-requisitos

• Instalação mínima do CentOS e RedHat 5.3 (Esse guia também aplica-se à versão 5.4 e superior)
• Apache 2.2.x
• PHP 5.2
• OpenLDAP
• Repositório yum EPEL

Instalando os pré-requisitos

Como informado acima, estou partindo do princípio que você já possui um sistema CentOS ou RedHat instalado, portanto, estarei cobrindo aqui os requisitos do sistema, para ter o GOsa2 funcional.

Instalando o repositório Yum EPEL

• Utilizando o repositório Yum EPEL

rpm -ivh http://virtualxp.org/downloads/epel-release-5-3.noarch.rpm

Configurar o repositório do GOsa2

Vá ao diretório /etc/yum.repos.d e crie o arquivo GOsa2.repo com seu editor de texto favorito.

Arquivo GOsa2.repo

[GOsa]
name=GOsa Repository
baseurl=ftp://oss.gonicus.de/pub/gosa/redhat
enabled=1
gpgcheck=0

Configurando repositório para PHP 5.2

O PHP 5.2 não está no repositório oficial do CentOS / RedHat, para isso será necessário utilizarmos um repositório de terceiros, nesse guia utilizarei o repositório do Utter Ramblings. É um repositório confiável e estável, pode utilizar sem maiores receios.

Vá ao diretório /etc/yum.repos.d e crie um novo arquivo com seu editor de textos favorito com o seguinte conteúdo:

Arquivo utterramblings.repo

[utterramblings]
name=Jason's Utter Ramblings Repo
baseurl=http://www.jasonlitka.com/media/EL$releasever/$basearch/
enabled=1
gpgcheck=1
gpgkey=http://www.jasonlitka.com/media/RPM-GPG-KEY-jlitka

Esse repositório já tem também o Apache 2.2.x a ser utilizado.

Instalando o servidor OpenLDAP

Pode ser utilizado a versão oficial.

Para isso, executar o comando:

yum install openldap openldap-clients openldap-servers

Instalando o GOsa2 via yum

Com os pré-requisitos satisfeitos, prossegue-se com a instalação definitiva do GOsa2.

Há uma série de plugins disponíveis para o GOsa2, fazendo uma busca no seu repositório, é possível ter uma idéia dos plugins e você pode instalar os que adequam ao seu ambiente:

yum search gosa

WARNING: Evite instalar o pacote gosa-desktop pois virá o Gnome e o X com dependência.

Abaixo estão os pacotes que serão instalados para esse guia, como dito antes, adeque com o que lhe servir.

yum install gosa-schema.noarch gosa-plugin-systems.noarch gosa-plugin-sudo.noarch gosa-plugin-squid.noarch gosa-plugin-samba.noarch gosa-plugin-rolemanagement.noarch gosa-plugin-pureftpd.noarch gosa-plugin-mail.noarch gosa-plugin-log.noarch gosa-plugin-ldapmanager.noarch gosa-plugin-dns.noarch gosa-plugin-dhcp.noarch gosa-plugin-connectivity.noarch gosa-plugin-addressbook.noarch gosa-help-en.noarch gosa.noarch

Editar prâmetros do PHP (php.ini) para o GOsa2

Para que o GOsa2 rode adequadamente, é necessário alterar 2 parâmetros no arquivo /etc/php.ini. Edite o arquivo e grave as alterações.

Antes:

• expose_php = On
• magic_quotes_gpc = Off

Depois:

• expose_php = Off
• magic_quotes_gpc = On

Certificando-se que os serviços corretos iniciarão no boot

Fazer com o Apache e o OpenLDAP iniciem no boot.

chkconfig --levels 35 ldap on
chkconfig --levels 35 httpd on

Configurando o OpenLDAP para ser utilizado com o GOsa2

Temos todos os programas necessários instalados e tudo indo bem, agora é parte mais crítica, mas não complicada, do ambiente que estamos configurando.

Será necessário adequar o OpenLDAP para que o GOsa2 se entenda com ele, isso significa apresentar os schemas corretos ao OpenLDAP.

Crie um cópia de backup do arquivo de configuração atual, just in case :)

cd /etc/openldap
cp slapd.conf slapd.conf.orig

Gerar uma senha para o cn=Manager

slappasswd -h {SSHA}
New password:
Re-enter new password:
{SSHA}Nag4FWwXLoGO/WpdpFJUlMVCBYwB94wt

O resultado foi um hash da senha informada, nesse caso utilizei a senha “fogonacaixadagua” e gerou esse hash, guarde esse hash por que ele será utilizado na sequencia.

Edite o arquivo /etc/openldap/slapd.conf e faça com fique parecido com o seguinte:

include         /etc/openldap/schema/corba.schema
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/dyngroup.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/java.schema
include         /etc/openldap/schema/misc.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/openldap.schema
include         /etc/openldap/schema/ppolicy.schema

include /etc/openldap/schema/gosa/samba3.schema
include /etc/openldap/schema/gosa/pureftpd.schema
include /etc/openldap/schema/gosa/gofon.schema
include /etc/openldap/schema/gosa/gosystem.schema
include /etc/openldap/schema/gosa/goto.schema
include /etc/openldap/schema/gosa/gosa-samba3.schema
include /etc/openldap/schema/gosa/gofax.schema
include /etc/openldap/schema/gosa/goserver.schema
include /etc/openldap/schema/gosa/goto-mime.schema
include /etc/openldap/schema/gosa/trust.schema
include /etc/openldap/schema/gosa/dnszone.schema
include /etc/openldap/schema/gosa/gosa_custom.schema

pidfile		/var/run/openldap/slapd.pid
argsfile	/var/run/openldap/slapd.args

database	bdb
suffix		"dc=FogoNaCaixadAgua"
rootdn		"cn=Manager,dc=FogoNaCaixadAgua"

# Senha gerada pelo comando slappasswd -h {SSHA}
rootpw		{SSHA}Nag4FWwXLoGO/WpdpFJUlMVCBYwB94wt

directory	/var/lib/ldap

index entryCSN,entryUUID eq
index uid,mail eq
index gosaMailAlternateAddress,gosaMailForwardingAddress eq
index cn,sn,givenName,ou pres,eq,sub
index objectClass pres,eq
index uidNumber,gidNumber,memberuid eq
index gosaSubtreeACL,gosaObject,gosaUser pres,eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq

cachesize 100000

Copiar alguns schemas que não estão no diretório certo:

cp /usr/share/gosa/plugins/pureftpd/contrib/pureftpd.schema /etc/openldap/schema/gosa
cp /usr/share/gosa/plugins/dns/contrib/dnszone.schema /etc/openldap/schema/gosa

Criar o arquivo /etc/openldap/schema/gosa_custom.schema com o seguinte conteúdo:

Arquivo /etc/openldap/schema/gosa_custom.schema

#$Id: authldap.schema,v 1.8 2005/03/20 19:10:30 mrsam Exp $
#
# OID prefix: 1.3.6.1.4.1.25981
#
# Attributes: 1.3.6.1.4.1.25981.1.1
#
# Depends on: gosa.schema and cosine.schema

attributetype ( 1.3.6.1.4.1.25981.1.1.1 NAME 'gosaMailHome'
	DESC 'The absolute path to the mail message stor directory in a virtual mail setup.'
        EQUALITY caseExactIA5Match
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )

#
# Objects: 1.3.6.1.4.1.25981.1.2
#

objectclass ( 1.3.6.1.4.1.25981.1.2.1 NAME 'gosaVirtualMailAccount' SUP top AUXILIARY
	DESC 'Objectclass to mark Virtual MailAccounts for GOsa (v2.4)'
        MAY ( gosaMailHome ) )

Iniciando o OpenLDAP

Com o OpenLDAP server configurado e o schemas copiados, copie o arquivo DB_CONFIG.example para o diretório do LDAP:

cd /etc/openldap
cp DB_CONFIG.example /var/lib/ldap/DB_CONFIG

Agora pode-se iniciar o OpenLDAP e verificar se tudo vai bem.

service ldap start
Checking configuration files for slapd:  config file testing succeeded
                                                           [  OK  ]
Starting slapd:                                            [  OK  ]

Iniciando o Apache

O apache foi instalado e fará a interface para o GOsa2.

O próprio pacote do GOsa2 criou um arquivo de configuração para ele no apache, esse arquivo encontra-se em /etc/httpd/conf.d/gosa-apache.conf

Seu conteúdo é o seguinte:

# Include GOsa to your web service
Alias /gosa /usr/share/gosa/html



    php_admin_flag engine on
    php_admin_flag register_globals off
    php_admin_flag allow_call_time_pass_reference off
    php_admin_flag expose_php off
    php_admin_flag zend.ze1_compatibility_mode off
    php_admin_flag register_long_arrays off
    php_admin_flag magic_quotes_gpc on
    php_admin_value upload_tmp_dir /var/spool/gosa/
    php_admin_value session.cookie_lifetime 0
    include /etc/gosa/gosa.secrets




   PHP_Fix_Pathinfo_Enable 1
   
     Options +ExecCGI
     AddHandler fcgid-script .php
     FCGIWrapper /var/www/php-fcgi/php-fcgi-starter .php
     include /etc/gosa/gosa.secrets
   

Não é recomendado alterá-lo, a não ser que seja realmente necessário.

Pode-se iniciar o serviço do apache.

service httpd start
Starting httpd:                                            [  OK  ]

Configurando o GOsa2 pela interface Web

Depois de iniciar o serviço do apache, acesse o IP do host que foi instalado o GOsa2, como por exemplo:

Tela inicial da configuração do GOsa2

http://192.168.11.13/gosa/

Note a parte destacada da imagem, é necessário executar esse comando para que o instalador do GOsa2 saiba que você tem poder sobre o servidor.

echo -n 93esjraq6baopmpchl1qsksc84 > /tmp/gosa.auth

Após executado o comando, clique em “Next”.

Seleção da linguagem

Escolha a linguagem e clique em “Next”.

Verificação do ambiente

Se houver alguma falha nessa parte, volte para o início do documento e revise a sessão que diz: Editar prâmetros do PHP (php.ini) para o GOsa2.

Após todos os campos estarem com OK, clique em “Next”.

Aceite do acordo

Nessa tela faz-se o aceite do acordo da licença.

Após marcar, conforme a a figura acima, clique em “Next”.

Conexão com o LDAP

Aqui configura-se a conectividade com o OpenLDAP que configuramos anteriormente.

As partes que devem ser alteradas estão marcadas em 1 e 2, no caso:
1. Informar o contexto para o usuário Manager, “cn=Manager,dc=FogoNaCaixadAgua”
2. Colocar a senha que foi gerada no hash, “fogonacaixadagua”

Clicar em “Next”".

Verificação dos schemas

Sim!

Clique em “Next”.

Configuração do GOsa2 1/3

Deixe as opções padrão e clique em “Next”.

Configuração do GOsa2 2/3

Mais algumas configurações pertinentes ao GOsa2.

Abaixo, vou explicar as alterações feitas, baseada na numeração da figura acima, altere-as conforme mostrado na foto.
1. É onde ficarão gravadas as informações das workstations de um domínio Windows
2. Timezone para o GOsa2.
3. Habilitar o “Copiar / Colar”, é uma função bastante interessante quando se quer mudar uma entrada de Unidade Organizacional, por exemplo.
4. Habilitar snapshots, são úteis para reverter uma adição mal feita, por exemplo.
5. Informar a senha do Manager, “fogonacaixadagua”.

Clicar em “Next” ao terminar.

Configurações do GOsa2 3/3

Última parte da configuração do GOsa2.

1. Coloque a sua comunidade SNMP caso já exista alguma padrão na sua rede, ou coloque ‘public’ apenas.
2. Para habilitar as configurações do SUDO no LDAP.

Quando terminar, clicar em “Next”.

Inspeção final do LDAP

Nessa tela, haverá uma checagem para verificar se existe alguma árvore no LDAP, como começamos do zero, não tem nada, por isso vê-se uma sequencia de falhas. Não se preocupe, logo vai estar tudo verdinho!

Para criar o objeto root, clique no botão conforme destacado na imagem abaixo.

Após clicar no botão “Try to create a root object” veja que as coisas começar a melhorar ;)

Clique primeiro no botão “Migrate” em “Inspecting object classes in root object” e você vai ser direcionado para a página abaixo:

Clique em “Migrate”.

Voltando para a tela da inspeção do LDAP, clique no único botão que aparece:

Dessa vez, é para criar uma senha para o usuário ‘admin’ que logará na interface Web do GOsa2, informe a senha para esse usuário, aqui foi definida “fogonacaixadagua” e clique em “Apply”.

Tudo bonito agora e verdinho, conforme o prometido!

Hora de prosseguir, para o final. Clique em “Next”.

Enviar um feedback

Aqui é por sua conta.

Terminando, clique em “Next”.

FIM

Chegamos.

Faça o download do arquivo de configuração para o seu computador e copie para o diretório /etc/gosa no servidor do GOsa2, altere as permissões do arquivo conforme a sugestão do instalador.

scp ~/temp/gosa.conf root@192.168.11.13:/etc/gosa

E depois, no servidor

chown root:apache /etc/gosa/gosa.conf
chmod 640 /etc/gosa/gosa.conf

Clique em “Next” na tela final do instalador para confirmar que o arquivo está lá.

Você então será agraciado com a tela de Login e utilize o usuário ‘admin’ com a senha definida no processo de instalação.

Symptom

After you connect to your OpenVPN, even without error and you are still able to see the print that say the routes were added successfully, after about a 10 seconds, the routes simply disappear and you lose connection with your hosts/server.

However, manually adding the routes, you can reach the servers and they become accessible.

Cause

This is a problem with 3G technology, I haven’t seen this behavior with ADSL or dedicated Links.

It’s what I call obscure problem, why this happen with 3G and 3G only? don’t no if it is regarding the technology or drivers, but we have an elegant workaround for this, as you can see below.

Workaround

For that situation do not occurs, add the following parameter to config file of OpenVPN, client side:

route-delay 20

With that line, after you connect to OpenVPN, the client will wait 20 seconds to add the routes given by server and won’t disappear no more.

É possível utilizar várias ferramentas para essa finalidade, como por exemplo o sed e o awk. O comando expand coverte todos os TABs para espaços.

Ele preserva os caracteres de backspace na saída; eles que fazem com os espaços sejam reduzidos na contagem para o cálculo dos TABs.

expand arquivo.log > output.log
expand dados.txt > output.txt
expand -t 2 dados.txt > output.txt

A opção -t pode ser usada para gerar uma lista separada por vírgula (arquivo CSV).

Caso você queira fazer o contrário, ou seja, converter espaços para TABs, use o comando unexpand.

Veja as man pages para mais informações

man expand
man unexpand

Quando se está atrás de um proxy para acessar sites e etc, os programas CSUP e CVSUP não irão conectar via HTTP ou FTP através do Proxy, mesmo que as variáveis HTTP_PROXY e/ou HTTP_PROXY_AUTH estejam definidas.

Mas há uma alternativa simples e elegante utilizando ssh forward para ter seu FreeBSD atualizado :)

Pré-requisito

Ter acesso ao ssh do Proxy que tem acesso à internet e consiga conectar na porta 5999 na internet

Tunelando com SSH forward

Com o pré-requisito satisfeito, para utilizar o CSVUP ou o CSUP faça um SSH no servidor proxy ou no computador que tenha acesso à internet fazer um forward na porta 5999, conforme o exemplo:

ssh -L 5999:cvsup4.FreeBSD.org:5999 -l usuario host.com.acesso.a.internet

O SSH vai redirecionar as conexões em localhost na porta 5999 para o host cvsup4.FreeBSD.org porta 5999.

Isto feito, para utlizar agora o CSUP ou CVSUP:

cvsup -h localhost

ou

csup -h localhost

ou ainda editar o arquivo supfile definindo o host como localhost.

Existem alguns recursos já prontos no Red Hat Cluster Suite (RHCS) para serem adicionados como serviço. Mas também é possível acrescentar seu próprio script para que o RHCS realoque ou reinicie o serviço em questão.

Basicamente o script tem que conter 3 chamadas: status, start e stop.

Abaixo está um exemplo que inicia, pára e verifica o status do Sun Glassfish, fique a vontade em adaptar a sua necessidade.

#!/bin/sh

# Script Name: glassfish
# Script Path: /etc/init.d/glassfish
# Script Purpose: To provide glassfish management
# start/stop/status under Red Hat Cluster Cluster
# Script Author: Daniel K. Lima

BASEDIR=/opt/glassfish/bin

case $1 in
	'start')
		cd ${BASEDIR}
		./asadmin start-domain domain1
		exit 0
	;;

	'stop')
		z=$(ps -ef | grep "com.sun.aas" | grep -v "grep"| awk ' { print $2 } ')
		if [[ $? -eq 0 ]]
		then
			cd ${BASEDIR}
			./asadmin stop-domain domain1
			exit 0
		fi
	;;

	'restart')
	   	/etc/init.d/glassfish stop
   		sleep 2
  		echo Now starting......
  		/etc/init.d/glassfish start
    		echo "restarted"
    	;;

	'status')
		ps awx | grep -v "grep " | grep "com.sun.aas" 1>/dev/null
		if [[ $? = 0 ]]
		then
			echo "Glassfish is running..."
			exit 0
		else
			echo "Glassfish is stopped..."
			exit 1
		fi
	;;
esac

Sintoma

Após conectar-se no servidor OpenVPN, sem erros e com o print de transferência das rotas sendo mostrado normalmente, uns 10 segundos depois, as rotas desaparecem e perde-se conexão com os servidores.

No entanto, adicionando as rotas manualmente, os servidores tornam-se navegáveis novamente.

Causa

Isto é um problema isolado com clientes que utilizam para conectar-se na internet modems USB e modems 3G (Timweb, VIVO etc).

Esse comportamento não ocorre com clientes que conectam-se via ADSL ou Links dedicados.

Portanto, é um problema obscuro, ficando “no ar” se é problema de drivers ou da tecnologia.

Workaround

Para que essa situação não ocorra, adicione o seguinte parâmetro no arquivo de configuração do OpenVPN no lado do cliente

route-delay 20

Com essa linha, após a conexão com o servidor OpenVPN o cliente esperará 20 segundos para adicionar as rotas fornecidas pelo servidor e não mais desaparecerão.

Cenário

Essa situação é interessante quando foi compilado um novo kernel e se está com acesso remoto ao servidor, ou seja, mandar um reboot remotamente com um novo kernel, muita coisa pode acontecer, e o mínimo é perder a conexão.

Para essas situações tem como fazer com que o GRUB utilize um kernel em específico apenas uma vez, e em caso de Kernel Panic o servidor será resetado e o kernel original será utilizado, voltando assim o acesso remoto para serem feitas as alterações necessárias.

Preparando o ambiente

É importante também definir os seguinte parâmetros de kernel:

kernel.panic = 5
kernel.panic_on_oops = 1

A primeira linha significa que o computador será “resetado” após 5 segundo de Panic e a segunda linha informa que será gerado um Kernel Panic em qualquer evento de estouro de memória e afins.

Adicione as duas linhas anteriores no arquivo /etc/sysctl.conf e após isso, execute o comando

 sysctl -p

Lidando com o GRUB

Como root execute

grub --batch

grub> savedefault --default=1 --once
grub> quit

Fará com que o GRUB ignore uma única vez os parâmetros ‘default’ e ‘timeout’ do grub.conf e nessa inicialização utilizará o kernel ‘1′ do GRUB, no boot seguinte será utilizado o arquivo grub.conf normalmente.

Um gráfico simples, porém verdadeiro, onde é grafado o contentamento do usuário em relação a quantidade de features que um software oferece.

Sintoma

Ao iniciar o FreeBSD em single mode, o Sistema entra direto como root, sem pedir senha.

Causa

Para evitar esse tipo de situação e obrigando quem quer que seja a saber a senha para poder mexer no sistema, proceda da seguinte maneira:

Edite o arquivo /etc/ttys e procure pela linha

console none                            unknown off secure

Solução

E altere o parâmetro onde lê-se secure para insecure, ficando assim:

console none                            unknown off insecure

Após isso, quando for iniciado no single mode, o acesso somente será permito à console mediante confirmação da senha.

É no mínimo show!

Olha só, numa série da cerveja Carlton Draught vem perguntas com respostas… e vejam uma delas…

“Aprecie com moderação”.

O gnarwl é de longe o melhor auto-reply disponível, bastante customizável e o melhor é que usa LDAP e é facilmente integrado com o Postifx.

Lembrando que se você tem o plugin ‘vacation’ no squirrelmail ele não vai ter incompatilidade, uma vez que setando a auto-resposta no squirrelmail vai sobrescrever os dados colocados originalmente no LDAP manualmente ou pelo phamm ou pelo GOsa2, ou seja, tranquilo :)

Não vou discutir aqui como instalar o gnarwl, pois para isso vou fazer outro post.

Esse post é específico em criar uma política que permita o Postfix “conversar” com o gnarwl, ou seja, vai permitir que o Postfix envie a mensagem, via BCC ao gnarwl e este verificará se o campo vacationActive está como TRUE.

Criando o arquivo com as regras

Primero, crie o arquivo que contém as regras para o gnarwl, chamando-o de gnarwl.te e com o seguinte conteúdo:

Arquivo gnarwl.te

module gnarwl 1.0;

require {
	type var_lib_t;
	type postfix_postdrop_t;
	type postfix_local_t;
	type sendmail_exec_t;
	class unix_stream_socket { read write getattr };
	class file { execute read lock create execute_no_trans write getattr };
	class dir { write search add_name };
}

#============= postfix_local_t ==============
allow postfix_local_t sendmail_exec_t:file { read execute execute_no_trans };
allow postfix_local_t var_lib_t:dir { write add_name };
allow postfix_local_t var_lib_t:file { read lock getattr write create };

#============= postfix_postdrop_t ==============
allow postfix_postdrop_t postfix_local_t:unix_stream_socket { read write getattr };

Vou explicar algumas linhas.

Linha 7 e 14: o postfix tem que ter permissão para executar o sendmail, pois quando o email é encaminhado para o usuário gnarwl (é um usuário local do Linux) ele auto-responde a mensagem para quem enviou, por isso essa regra é necessária.

Linhas 8 e 19: ao acessar o arquivo .forward do home do gnarwl, tem o comando que faz um pipe para o executável do gnarwl, essa linha é |/usr/bin/gnarwl, por isso o postfix precisa dessa permissão.

Compilando as regras

Com o arquivo criado, é necessário compilar as régras e instalar a nova política.

checkmodule -M -m -o gnarwl.mod gnarwl.te

O resultado do comando será algo parecido com:

checkmodule:  loading policy configuration from gnarwl.te
checkmodule:  policy configuration loaded
checkmodule:  writing binary representation (version 6) to gnarwl.mod

semodule_package -o gnarwl.pp -m gnarwl.mod

Se tudo for Ok, não haverá resultado de saída.

semodule -i gnarwl.pp

Se tudo for Ok, não haverá resultado de saída.

Verificando a instalação

O comando semodule -l lista todos os módulos instalados, veja que o novo módulo gnarwl 1.0 está instalado.

semodule -l |grep gnarwl
gnarwl	1.0

Se algum problema ocorreu no processo, comente sua dúvida.

Uma excelente apresentação acerca do IPv6, a nova versão do protocolo IP que vem substituir o bom e velho IPv4.

Jumpeamento dos HDs SCSI de 68 pinos… um saquinho né.

Vou colocar aqui uma cola com a pinagem certa e os IDs para os disco, assim não precisa ficar na tentativa e erro.

Na verdade é mais pra mim, que onde trabalho temos alguns disco desse naipe e volta e meia tenho que dar manutenção neles (falhas e trocas).

A quem interessar, espero ter ajudado.

Ao instalar o samba via ports no FreeBSD com suporte ao AD (Active Directory) da Microsoft, pode acontecer de o samba não compilar e terminar com o seguinte erro

Compiling libsmb/clikrb5.c
libsmb/clikrb5.c: In function `krb5_set_real_time':
libsmb/clikrb5.c:128: error: dereferencing pointer to incomplete type
libsmb/clikrb5.c:129: error: dereferencing pointer to incomplete type
The following command failed:
cc -I. -I/usr/ports/net/samba3/work/samba-3.0.26a/source  -O2 -pipe
-march=prescott -D_SAMBA_BUILD_=3 -I/usr/local/include
-I/usr/ports/net/samba3/work/samba-3.0.26a/source/iniparser/src
-Iinclude -I./include  -I. -I. -I./lib/replace -I./lib/talloc
-I./tdb/include -I./libaddns -I./librpc -DHAVE_CONFIG_H
-I/usr/local/include -DLDAP_DEPRECATED
-I/usr/ports/net/samba3/work/samba-3.0.26a/source/lib -D_SAMBA_BUILD_=3
-fPIC -DPIC -c libsmb/clikrb5.c -o libsmb/clikrb5.o
*** Error code 1

Stop in /usr/ports/net/samba3/work/samba-3.0.26a/source.
*** Error code 1

Stop in /usr/ports/net/samba3.
*** Error code 1

Stop in /usr/ports/net/samba3.

Para resolver isso, instale, pelo ports, o krb5

cd /usr/ports/security/krb5
make install

Em seguida, volte ao port do samba e prossiga com a instalação

cd /usr/ports/net/samba3
make clean
make KRB5_HOME=/usr/local
make install

Muitas vezes baixamos uma imagem de CD mas não queremos ou não precisamos queimar um CD pra pegar o necessário.

No linux, para montar uma imagem de CD o comando

mount -o loop /caminho/imagem.iso /ponto/de/montagem

é o suficiente, mas e no FreeBSD? Como chegar ao mesmo resultado?

A sequencia de comandos a serem digitados é esta:

mdconfig -a -t vnode -f /caminho/para/imagem.iso -u 1
mount -t cd9660 /dev/md1 /ponto/de/montagem

As características apresentadas são um escopo geral de como você pode identificar ou partir para uma análise caso seu servidor comece a se comportar de forma estranha, como segue:

• As aplicações instaladas no servidor de repente começam a não responder de forma esperada, ou seja, problemas incomuns e um ambiente considerado estável
• Contas de usuários adicionais que você não consegue visualizar (elas podem ter sido feitas para parecer com contas do sistema)
• Novos arquivos ou diretórios com nomes incomuns, por exemplo ‘…’, ‘.qualquercoisa’ etc
• Tráfego de rede acima do comum e que não podem ser atribuidas a um processo em particular
• Você recebe um email de um departamento de segurança dizendo que seu servidor foi detectado em estar fazendo port scan ou enviando tráfego de rede malicioso para determinado site
• O servidor está rodando significativamente lento e alto consumo de processamento.

Esses são os pontos principais, onde, pode haver um ou até mesmo todos os sintomas listados acima, mas não limitado a esses.

Link relacionado

Nesse Blog, do meu amigo Luciano, tem uma análise completa de um host comprometido e detalhamento do que foi feito para identificar e combater. Obrigado pela contribuição Luciano!

• http://lucianoborguetti.blogspot.com/2009/06/possible-t0rn-v8-or-variation-rootkit.html

Comente caso você tenha uma outra característica!