gutocarvalho.net

Uma ferramenta que vai lhe ajudar a configurar e fazer ajustes finos em seu Ubuntu de forma fácil e rápida.

Principais Recursos

• Visualização de informações do sistema (Distributição, Kernel, CPU, Memória, etc.)
• Configurações de sessão do GNOME
• Controle de programas que iniciam automaticamente
• Rápida instalação de programas populares
• Várias fontes de pacotes tipo PPA atualizadas
• Limpa pacotes desnecessários, traços de pacotes e cache de pacotes liberando espaço.
• Gerenciamento da Splash Screen
• Gerenciamento de ícones do Desktop e volumes (pontos de montagem)
• Gerenciamento de ícones (Computador, Rede, Lixeira)
• Tweaks do gerenciador de janelas Metacity (estilo e comportamentos)
• Configurações de efeitos do Compiz Fusion
• Configurações do GNOME Panel
• Alterar caminho padrão para diretórios Download/Música/Vídeos/Documentos/Área de Trabalho
• Configurações do Nautilus
• Gerenciamento de Energia
• Melhorias nas configurações de segurança
• E muitas outras coisas…

Site do projeto: http://ubuntu-tweak.com/
Licença: GPL
Download:
http://launchpad.net/ubuntu-tweak/0.5.x/0.5.0/+download/ubuntu-tweak_0.5.0-1~karmic1_all.deb

[]’s
Guto

E foi lançado o Karmic Koala, nova release do Ubuntu, aproveitei para instalar a versão 9.10 no netbook e no desktop de casa, em ambos tenho várias distros que gosto de usar, testar e avaliar, dentre elas debian, ubuntu, archlinux, centos e alguns flavors bsd’s.

Até agora o Karmic está funcionando muito bem onde instalei, o gnome 2.28 está show de bola.

Aproveitei para atualizar o tutorial Ubuntu Pantaneiro no wiki, segue o link abaixo.

http://gutocarvalho.net/mediawiki/index.php?title=Ubuntu_Pantaneiro

[]’s
Guto

Esta semana tive problemas com o Ubuntu Jaunty e um micro AMD64 Infoway, por algum motivo os drivers nvidia 173, 180 e 96 não foram compatíveis e o XORG não funcionava adequadamente.

A solução foi instalar o driver 185 disponível no repositório PPA mantido pelo grupo NVIDIA-VDAU.

edite o arquivo /etc/apt/sources.list e adicione a linha abaixo

deb http://ppa.launchpad.net/nvidia-vdpau/ppa/ubuntu jaunty main

depois adicione a chave

sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com CEC0676

aptitude update
aptitude install nvidia-glx-185

[]’s
Guto

Lembra-se do polêmico bug 59695 do Ubuntu ‘matador’ de HD’s que foi tema de um post aqui no blog?

Pois é, ele foi resolvido e o pacote com o bugfix está disponível no repositório proposed do Ubuntu.

As correções funcionam para o Ubuntu 8.04, 8.10 e 9.04

O bug aberto na verdade falava que as configurações de energia default de alguns fabricantes eram muito rígidas e portanto este comportamento poderia diminuir a vida útil dos discos rígidos. Foram sugeridos vários ajustes na configuração do ACPI e HDPARM inclusive aqui no blog, técnicas estas para tentar diminuir o impacto e desgaste iminente dos discos, porém nenhuma das técnicas sugeridas havia sido incorporada até o momento.

Se você usa Ubuntu vale a pena fazer a correção oficial, atualizando o pacote acpi-support.

Bug no Lauchpad
https://bugs.launchpad.net/ubuntu/+source/acpi-support/+bug/59695

Correção no Intrepid

This bug was fixed in the package acpi-support – 0.114-0intrepid2

—————
acpi-support (0.114-0intrepid2) intrepid-proposed; urgency=low

[ Jakob Unterwurzacher ]
* Defensive quoting in 90-hdparm.sh, so that the script doesn’t throw
a syntax error when the battery state is undetermined.

[ Steve Langasek ]
* lib/power-funcs: refactor getState() to return ‘AC’ by default,
since this is implicitly the case if we don’t have a battery.
LP: #59695.

– Steve Langasek <email address hidden> Thu, 15 Jan 2009 13:37:16 +0000

Primeira referência do bug na slashdot.
http://hardware.slashdot.org/article.pl?sid=07/10/30/1742258&tid=198

Discussão aqui neste site
http://gutocarvalho.net/wordpress/archives/97

Notícia do bugfix na slashdot
http://it.slashdot.org/article.pl?sid=09/01/17/2127254

[]’s
Guto

Para quem não conhece, o ULTRASURF é um software desenvolvido pela empresa ULTRAREACH,  este software permite que os usuários em redes que possuem um rígido controle de conteúdo para acesso web consigam burlar esta segurança utilizando um túnel criptografado via porta 443/TCP Através deste túnel eles conseguem acesso automático a um pool de servidores de proxy anônimo, que provavelmente são máquinas da rede que foram invadidas.

Usando o ultrasurf estes usuários conseguirão acessar qualquer site web e baixar qualquer tipo de arquivo. O problema é que os ingênuos usuários que infrigem as normas de TI das instituições na qual trabalham, não pensam em nenhum momento que o pessoal da ULTRAREACH pode (e com certeza tem) ter um sniffer capturando todo o tipo de informação dos espertinhos que se acham crackers por utilizarem tal programa, incluindo senhas de acesso aos sistemas internos e a sites, números de cartão de crédito, perfil de acesso de cada usuário, tudo isto vai parar na mão da ULTRAREACH que vende a ilusão de privacidade. ao usuários do programa. Outra possibilidade que ainda estou analisando é o ultrasurf possuir em seu código algum tipo de sistema VPN bem simples que permitiria que as pessoas da ULTRAREACH possam acessar a rede do usuário, e isto é na minha opinião o fator mais grave do uso do túnel por este programa. Bom nem precisa dizer que o ultrasurf é um binário executável, não temos acesso ao código fonte,  portando não temos como saber o quão malicioso é seu código, resta-nos a engenharia reversa.

O Ultrasurf é um programa que testa a capacidade do sysadmin pois não é uma tarefa simples bloqueá-lo, seja utilizando sistemas proxy como SQUID, mesmo com dansguardian e similares, ou através de filtros  de pacotes como o netfilter/iptables, digo isto pois tudo acontece depois que a conexão SSL é estabelecida, e este tipo de conexão normalmente é liberada pois existe uma grande gama de serviços na internet que utiliza acesso seguro (SSL/443/TCP). O problema é que não existe um IP único que você pode bloquear, pois eles tem um pool de servidores possibilitando queo cliente abra conexões SSL  para endereços aleatórios.

Isto estava tirando o sono de muitos sysadmin mundo afora. Alguns foram radicais e bloquearam qualquer acesso a porta 443, liberando apenas os sites necessários, algo como uma big-whitelist. Nem preciso dizer que isto gerou caos e desordem em muitas instituições.

Bom, felizmente este mês o Sr. Augusto Ferronato publicou na SNORT-BR uma regra criada pela equipe de segurança do SERPRO-RECIFE que detecta o uso do ULTRASURF. A equipe do SERPRO fez uma análise das conexões do ultrasurf e identificou que um dos comportamentos do programa era o envio de uma requisição DNS para servidores externos com um pacote com o tamanho de 554 bytes, sendo 480 bytes desdes com valor igual a 0, isto acontece sempre que o cliente é iniciado.

A primeira regra publicada foi pelo Augusto (baseada na rule do serpro) foi:

alert udp $HOME_NET any -> !$HOME_NET 53 (msg: “Consulta de DNS Externo – Possivel Ultrasurf”; content:”|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|”; classtype: policy-violation; sid: 1000059; rev:1; )

Depois da publicação, Rodrigo Montoro (Sp0oKeR) fez um ajuste para melhorar a visualização do log.

alert udp $HOME_NET any -> !$HOME_NET 53 (msg: “[OSSEC] Consulta de DNS Externo Possivel Ultrasurf”; content:”|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|”; classtype: policy-violation;threshold:type limit, track by_src, count 1, seconds 5; sid:1000059; rev:2; )

Com este ajuste o SNORT envia apenas 1 alerta para o arquivo de log mesmo que existam N tentativas em menos de 5 segundos, deixando a leitura do log mais clean.

Através do OSSEC HIDS o sysadmin pode criar um ação para ser executada baseando-se nos alertas do log do SNORT, esta seria a maneira mais indicada de executar uma ação. Uma outra alternativa é criar um shellscript bem simples que leia o log buscando as informações para que seja executada uma ação, seja enviado um alerta por e-mail, seja bloqueando os endereços IP via netfilter/iptables.

Pensando na segunda opção, criei um script para ler o log, bloquear o ip e enviar uma notificação ao sysadmin, veja o script em minha wiki clicando no link abaixo:

http://gutocarvalho.net/mediawiki/index.php/NoSurf

Essa regra do snort foi testada até a versão 9.1 do UltraSurf e funciona muito bem.

Deixo aqui um agradecimento especial ao pessoal do SERPRO-Recife por criar e compartilhar a regra. Agradeço ao Sr. Augusto Ferronato por publicar a regra no SNORT-BR e agradeço também  o Sp0oKeR por otimizar a regra para facilitar a leitura dos logs.

Espero que estes exemplos de compartilhamento de informação, código, conhecimento e experiências sejam seguidos sempre ;)

Referências:
http://listas.cipsga.org.br/cgi-bin/mailman/listinfo/snort-ids
http://snort.linuxsecurity.com.br/
http://www.snort.org.br/
http://www.snort.org

[]’s
Guto

O DebConf é ótimo para receber dicas interessantes vindas dos participantes, hoje de madrugada por exemplo eu conheci o Bonjour, o qual é uma implementação do ZeroConf feito pela Apple para o iChat. O mais interessante é que esta implementação é suportada pelo Pidgin, estranho não? Nem tanto!

Veja, ele funciona da seguinte forma, por baixo ele usa o ZeroConf e XMPP para permitir que 2 clientes iChat-like possam se comunicar, sem configuração, sem servidor, sem registro de usuário, você precisa apenas digitar o seu nome e sobrenome e todo o resto é feito por eles.

Bom se você quer testar o bonjour, primeiro você deve criar uma conta Bonjour no Pidgin e habilitá-la, sua workstation após este procedimento vai começar a se anunciar na rede local via avahi-daemon que é a implementação ZeroConf utilizada no debian e ubuntu por exemplo, os outros computadores da rede local também fazem anúncios e escutam anúncios, desta forma, após alguns segundos todos que tem uma conta compatível com o bonjour (e para isto todos devem ter suas implementações ZeroConf rodando) vão ser anunciados no Pidgin ou no cliente IM utilizado, normalmente estes usuários serão apresentados em um grupo chamado “Bonjour”.

Ele usa as portas 5297 TCP, 5298 TCP/UDP, 5353 UDP e estas precisam estar liberadas para que a sua workstation possa se comunicar com os demais clientes. Um detalhe importante, você não precisa adicionar ninguém, basta aguardar e em poucos segundos sua lista  vai crescendo de acordo com o número de pessoas que estejam utilizando o Bonjour em sua rede.

E agora, está instalado, funcionando, quais são as vantagens?
Pense o seguinte, você tem um IM disponível, apenas em rede interna, simples, rápido sem necessidade de implementar um serviço como o OpenFire, Ejabberd, Jabberd, e isto a um custo baixíssimo, claro que esta solução não utiliza todos os recursos do protocolo XMPP, mas funciona de forma estável, sendo uma alternativa aos im’s tradicionais (pelo menos na rede interna).

Agradeço ao Léo Serra por ter dado a dica ;)

Fike, eu gostei tanto da ferramenta que eu tinha que fazer um comentário de leve aqui no meu blog, mas eu sei que tu está fazendo um post mais detalhado, ficamos aguardando ;)

Referências:
http://en.wikipedia.org/wiki/Bonjour_(software)
http://psi-im.org/wiki/Bonjour

http://developer.apple.com/networking/bonjour/index.html

[]’s
Guto

Vamos supor que tenham te passado uma lista grande de usuários para serem criados no sistema, solicitaram que você o faça cadastrando a senha minhasenha, onde cada usuário ao se logar em sua estação windows, em nosso PDC samba, irá trocá-la no primeiro logon.

olhando a lista passada para o sysadmin

gutocarvalho@defiant:~$ cat lista.txt

fulano.sobrenome
beltrano.sobrenome
ciclano.sobrenome

Para criar usuários no samba, caso você use o backend tbsam, falando de forma simplificanda você precisa fazer dois procedimentos:

primeiro precisamos criar o usuário no sistema, o procedimento abaixo é suficiente.

gutocarvalho@defiant:~$ sudo su

root@defiant:~# useradd fulano.sobrenome -s /bin/false

agora vamos automatizar a coisa, vamos fazer um simples laço (for) usando o bash

root@defiant:~# for i in `cat lista.txt`;do useradd $i -s /bin/false;done

pronto, agora o próximo comando é interativo, ou seja o usuário precisa informar a senha e confirmá-la.

root@defiant:~#  smbpasswd -a fulano.sobrenome
Digite a nova senha UNIX:
Redigite a nova senha UNIX:
passwd: senha  atualizada com sucesso.

como isso é um procedimento cansativo, vamos automatizá-lo também.

Apresento a você, caso ainda não conheça, o EXPECT, que é uma ferramenta UNIX para automação e testes que trabalha com comandos interativos, tais quais, telnet, ftp, ssh, passwd, smbpasswd, etc.

Veja mais informações sobre o expect em http://en.wikipedia.org/wiki/Expect

primeira vamos instalar o expect

root@defiant:~# apt-get install expect

agora vamos criar um script expect chamado expPasswd com o conteúdo abaixo

#!/usr/bin/expect

# autor: guto carvalho
# e-mail: guto@gutocarvalho.net / gutocarvalho@gmail.com
# licença: GNU GPL v2
# descricao: script para setar a senha de usuarios em aplicacoes interativas

# para usar digite: expPasswd usuario senha

spawn smbpasswd -a [lindex $argv 0]
set password [lindex $argv 1]
expect “password:”
send “$password\r”
expect “password:”
send “$password\r”
expect eof

salve o arquivo, e vamos a segunda parte da automatização.

root@defiant:~# export LANG=C

ajustamos a variável de linguagem, pois o expect espera receber a informação password: e depois disto ele vai executar uma ação, se não fizermos o ajuste na variável e se você por acaso utilizar o Ubuntu em Português Tupiniquim, o prompt será diferente, algo como:

root@defiant:~# smbpasswd -a fulano.sobrenone

Digite a nova senha UNIX:
Redigite a nova senha UNIX:
passwd: senha  atualizada com sucesso.

ao invés de

root@defiant:~# export LANG=C
root@defiant:~# smbpasswd -a fulano.sobrenone

Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully

bom, entendeu né, variável setada, evitando problemas, agora vamos ao comando.

root@defiant:~# for i in `cat lista.txt`;do expect expPasswd $i minhasenha;sleep 5;done

a saída será algo assim..

spawn smbpasswd -a fulano.sobrenome
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
spawn smbpasswd -a beltrano.sobrenome
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
spawn smbpasswd -a ciclano.sobrenome
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully

pronto, missão passada, missão automatizada, missão cumprida!

Este post esta disponível na wiki de forma mais organizada.
http://gutocarvalho.net/mediawiki/index.php/Criando_usuarios_e_setando_senha_com_o_Expect

na próxima não vai precisar suar :)

Continuando o jogo, como você faria em sua linguagem?

Mostra ai, comente!

;)

[]’s
Guto

Supondo que você tem um arquivo chamado usuarios.txt com texto em caixa alta e quer deixá-lo em caixa baixa, vamos as diversas opções para convertê-lo

via sed

sed ‘y/ABCDEFGHIJKLMNOPQRSTUVWXYZ/abcdefghijklmnopqrstuvwxyz/’ usuarios.txt

via tr

cat usuarios.txt | tr ‘[A-Z]‘ ‘[a-z]‘

via awk

cat usuarios.txt | awk ‘{print tolower($1)}’

No caso do SED você pode incrementá-lo ainda mais colocando ç, é, í, ú, ã etc…

E ai, quem tem mais alguma dica, seja em perl, python, ruby, php, lua, java, c, etc… que tal aumentarmos as opções ?! Comente ai!

[]’s
Guto

Já fiz um post aqui falando que o squashfs-tools do ubuntu hardy está com problemas.

Bom na dúvida recompilei um kernel 2.6.24.3 com o último patch squashfs 3.3 e tentei gerar a imagem, e nada, continuou com o problema, usei o 2.6.24.3 pois o patch do squashfs 3.3 não funciona no 2.6.26.1, e o patch do LZMA para squashfs também só é compatível com o kernel 2.6.24.3, por fim nem  apliquei o patch do lzma pois queria fazer o teste por eliminação, primeiro squashfs puro, depois com patch lzma.

Bom vamos ao resumo da história, infelizmente não funcionou do mesmo jeito, o problema realmente está no squashfs-tools, eu até compilei o squashfs-tools que vem junto com o patch do squashfs 3.3, mesmo assim deu hang em 70% da criação da imagem.

Esse BUG já foi resolvido no debian, eis que baixei o pacote squashfs-tools do debian e voi-lá, funcionou!

Atalho para o pacote do debian, instala sem problemas no hardy.
http://ftp.de.debian.org/debian/pool/main/s/squashfs/squashfs-tools_3.3-7_i386.deb

Agora posso remasterizar o hardy tranquilo, a vida fica mais simples, paro de fritar meu processador,que chegou a incríveis 90 graus centigrados com o squashfs-tools zuado, e os hangs na criação da imagem ficam para outra encarnação.

Bugs relacionados:
https://bugs.launchpad.net/ubuntu/+source/squashfs/+bug/222700
https://bugs.launchpad.net/ubuntu/+source/squashfs/+bug/200778
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=455589

A bola da vez é o openLDAP, atualize!

===========================================================
Ubuntu Security Notice USN-634-1            August 01, 2008
openldap2.2, openldap2.3 vulnerability
CVE-2008-2952
===========================================================

A security issue affects the following Ubuntu releases:

Ubuntu 6.06 LTS
Ubuntu 7.04
Ubuntu 7.10
Ubuntu 8.04 LTS

This advisory also applies to the corresponding versions of
Kubuntu, Edubuntu, and Xubuntu.

The problem can be corrected by upgrading your system to the
following package versions:

Ubuntu 6.06 LTS:
slapd                           2.2.26-5ubuntu2.8

Ubuntu 7.04:
slapd                           2.3.30-2ubuntu0.3

Ubuntu 7.10:
slapd                           2.3.35-1ubuntu0.3

Ubuntu 8.04 LTS:
slapd                           2.4.9-0ubuntu0.8.04.1

In general, a standard system upgrade is sufficient to effect the
necessary changes.

Details follow:

Cameron Hotchkies discovered that OpenLDAP did not correctly handle
certain ASN.1 BER data.  A remote attacker could send a specially crafted
packet and crash slapd, leading to a denial of service.

Mais informações:
http://www.ubuntu.com/usn/usn-634-1
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2952

[]’s
Guto