A maior universidade aqui da região, a Dalhousie, acabou de criar um mirror de software livre.

Como se não fosse bom o suficiente ter um mirror fisicamente tão próximo, diminuindo em muito a latência na rede, ainda por cima eles usam o mesmo provedor que eu e tem um PTT (Ponto de Troca de Tráfego) dentro do datacenter deles.

Olhem só o traceroute:

Host                               Loss%   Snt   Last   Avg  Best  Wrst StDev

 1. DD-WRT.home.lan                  0.0%     3    0.5   0.6   0.5   0.7   0.1

 2. ???

 3. hlfx-asr1.eastlink.ca            0.0%     3    9.8   9.2   8.4   9.8   0.7

 4. hlfx-br1.eastlink.ca             0.0%     3    9.0  12.9   9.0  16.2   3.7

 5. hlfx-dr3.eastlink.ca             0.0%     2    7.0  21.1   7.0  35.2  19.9

 6. dal-gw.eastlink.ca               0.0%     2    7.8   9.8   7.8  11.8   2.9

 7. 198.166.1.37                     0.0%     2    8.5   8.1   7.8   8.5   0.5

 8. 192.75.96.254                    0.0%     2    9.1   9.3   9.1   9.4   0.3

Coloquei um download pra rolar, just for fun aqui. Não deu nem graça:

347,852,800 1.75M/s   in 3m 10s

Se eu ainda estivesse na universidade onde trabalhava o link entre elas é 1Gbp/s. O gargalo iria ser meu disco! Que coisa linda de imaginar.

Mas com isso eu já consigo viver feliz o suficiente, obrigado.

Pegue como exemplo esse vídeo: Artistas de ruas do mundo inteiro foram filmados tocando a música “stand by me”. Muito provavelmente por múltiplas pessoas/voluntários de dispõe de equipamentos de alta tecnologia, como câmera digitais, microfones e mesa de som. Mas apesar de serem de alta tecnologia são acessíveis para qualquer um na loja de eletrônicos mais próxima.

Não apenas isso, mas depois de todas as filmagens feitas com certeza elas foram transmitidas via internet até um pessoa/equipe responsável por remixar tudo. Mais uma vez, algo que não poderia ser feito alguns anos atrás ou por falta de acesso à rede mundial ou simplesmente porque a capacidade de banda não iria dar conta.

E com isso feito e o vídeo pronto, como disponibilizar para qualquer um sem depender de uma emissora/gravadora/tv a cabo?

É para isso que existe o YouTube, popular a apenas alguns anos.

Já vi algumas pessoas falando que a Internet causa deterioração da cultura, mas discordo totalmente. Ao mesmo tempo que grandes empresas de mídia podem estar sendo prejudicadas, pequenas iniciativas como essa são muito ricas culturalmente, IMHO. Mas isso já é discussão pra mais de metro.

E sem mais delongas, o vídeo:

Para facilitar minha busca fiz um script que disponibilizo aqui para quem tiver interesse.

Além do script vai precisar também do arquivo contendo a lista de IP vs País que pode ser baixado aqui.

Baixe o seu por Bittorrent e faça sua parte! Eu to fazendo a minha:

Se você participa de fórums, listas de discussão ou mesmo é um estudante universitário ou está fazendo um curso qualquer, fazer perguntas de forma inteligente é fundamental.

E apesar disso parece que a maioria das pessoas simplesmente não tem a menor noção de como fazer perguntas decentemente.

Segue este link que dá dicas para participar de listas de discussão relacionadas à IT, mas podem ser facilmente transportadas para qualquer situação.

E não se esqueça:

OK, mas eu moro no Canadá. Why should I care?

Este final de semana fomos eu e a esposa comemorar nossos cinco anos de casamento em New Brunswick, mais especificamente em Moncton e olha só que encontramos na rua:

Sim! Os ônibus municipais tem wifi de graça para os usuários. E a ironia da placa do ônibus então?

Mas como diria Silvio Santos, eu só acredito…. VENDO!!!!

A esposa sacou rapidamente o iPod Touch dela e buscou por redes wireless. Conectou na hora e o primeiro acesso foi redirecionado para uma página com a política de uso do sistema e uma breve pesquisa perguntando se o fato de ter acesso wifi no ônibus seria um fator que o faria preferir este meio de transporte e também com que frequência você pretende acessar o wifi enquanto usa o transporte coletivo.

Depois disso um acesso com uma velocidade muito boa ficou 100% funcional por uns 4 ou 6 quarteirões em que segui o ônibus.

Show de bola para uma cidadezinha com apenas 64.000 habitantes.

Vou dizer que não sei nem o básico sobre IPv6. Tudo que sei é que os endereçamentos IPv4 estão à beira da exaustão e assim que eles acabarem o único jeito de conectar-se à internet vai ser através de NAT.

Lógico que eu não preciso de uma desculpinha apocalíptica como o fim dos endereços IP para me interessar por novas tecnologias, mas o que me assusta é que no ritmo atual não teremos mais IPv4 disponíveis em 768 dias e tem gente que ainda assim nem parou pra pensar no assunto.

Já estabelecemos aqui que vamos adicionar IPv6 à nossa rede gradualmente e toda a transição deve demorar mais de 1 ano.

E você, sysadmin que lê este humilde blog, já sequer _pensou_ nisso?

Ao contrário do Brasil, as principais férias escolares aqui são no meio do ano e o “ano letivo” começa em Setembro (e não em Janeiro).

Então desde que comecei neste emprego eu ainda não tinha visto como são as coisas quando os alunos estão lá.

É uma experiência diferente. Já trabalhei em banco, onde todo dia era dia de terno e gravata. Já trabalhei também em empresa de IT, onde em dia de visita de/à cliente tinha que usar calça social, camisa e sapatos e agora trabalho num ambiente escolar, onde os alunos são os clientes mas eles não tem a menor expectativa que eu esteja engomadinho enquanto trabalho para eles.

Na verdade meus padrões de vestimenta são bem baixos (camiseta preta e calça jeans) mas mesmo assim achei que o pessoal que trabalha comigo se veste mal. Nego de bermuda de praia e camiseta de time, outro de chinelo de dedo e outro com camisa velha e manchada.

Mas hoje deu pra entender: Nossos “clientes” ficam sentados no chão, usam calças rasgadas, sapatos de borracha e outras esquisitices mais. No meu entender passear pela universidade todo engomadinho não só pareceria um peixe fora d’agua como seria até ofensivo para  o meio-ambiente.

Isso me fez lembrar de um antigo post que fiz quando ainda estava no meu último emprego no Brasil e acho que já está na hora de fazer um re-assessment.

Novamente, leia a referência original antes de continuar lendo este post.

1. Confere. Tenho uma certa flexibilidade de horário (entre 30 minutos e 1 hora) mas como pego carona com a esposa é mais conveniente ir no horário padrão.

2. OK. Novamente não pude escolher minha mesa, mas é a mais espaçosa que tenho desde 2004.

3. Yap. Tem a luz ambiente, suficiente na minha opinião, mas tenho 2 lustres ligados embaixo da minha prateleira que posso ligar se achar conveniente. Temperatura regulada é meio óbvio num país onde faz -20.o C

4. Positivo. Fones de ouvido e recentemente descobri o last.fm. Quando preciso me concentrar uso música clássica num volume apenas o suficiente para cobrir o som ambiente. Quando estou fazendo algo que estou acostumado fico mais eclético.

5. Nem preciso falar da roupa né? Aliás, está na hora de umas comprinhas.

6. Não sei. Será que tem festa lá? Mas de qualquer forma nada aqui é obrigatório. Eu não iria de qualquer jeito. Odeio seres humanos.

7. Humm… Mea culpa nisso. Já estou na empresa faz mais de um mês e ainda nem sequer propus a idéia de um Instant Messenger corporativo. O email é bem utilizado, mas infelizmente o resto do pessoal de IT tem o péssimo hábito de ir até a mesa pra conversar.

8. Lógico. De jeito nenhum vão me pedir pra fazer algo não relacionado ao meu trabalho. Aliás, eu trabalho em uma das poucas empresas que tem sindicato aqui e por isso a empresa antes de me contratar e na admissão tem que me disponibilizar um descritivo das minha tarefas,  bem como a porcentagem esperada de quanto do meu tempo devo gastar em cada. Então, na teoria, eu poderia até me recusar a fazer alguma coisa que faz parte do meu trabalho mas que está me tomando mais tempo do que o combinado. Lógico que isso é apenas teoria, pois trabalho foi feito pra ser executado e não discutido.

9. Máquinas de refrigerante, sucos, cantinas, Tim Horton’s e etc espalhados por tudo quando é canto no campus. Mas eu já peguei a mania dos canadenses de sempre andar por ai com uma canequinha com alguma coisa. Levo café de casa que é mais gostoso e mais barato.

10. YES! YES! YES! IN YOUR FACE!!!! Internet 100% liberada, sem proxy nem NAT. Tenho um IP válido direto na minha workstation, sem firewall, proxy, NAT ou traffic shapping. Já falei que nosso link internet é de 100Mb/s?

Yah… kinda like my job, eh?

A rede mundial de computadores tem mais de 10 botnets. Todas dominadas por crackers armados até os dentes. É só nego de nmap, nessus, tcpdump e por ai vai.
No resto do mundo são softwares de auditoria. Na internet, são as armas do crime.

Um 0-day attack atravessa um firewall como se fosse papel. É burrice pensar que numa rede assim os daemons, mesmo atualizados, não vão ser crackeados apenas para fazer valer a lei.
E Linux também tem bug amigo, Linux também tem falha de segurança.

É por isso que nessa rede todo administrador tem que escolher: Ou se corrompe, ou se omite, ou vai pra guerra.

Aviso

Se você é um profissional decente, não tenho dúvidas que vai decidir partir para guerra e nesse tutorial vamos ver os passos básicos para tornar seu servidor mais resistente a invasões.

Mas não se iluda. Nada é 100% seguro e seguir as boas práticas de segurança uma vez na vida não vai te ajudar muito. Mantenha-se atualizado, mantenha sua infra-estrutura atualizada (não apenas seus servidores) e seja humilde. Aprenda com seus erros e com os erros dos outros.

Outro ponto que vale ressaltar aqui: Esse tutorial é dirigido ao Ubuntu Server 8.04 (Hardy). Muita coisa pode ser aplicada para desktop e para outras distribuições, mas não é sobre isso que vou falar aqui.

Fique com o básico

Quanto menos pacotes instalados no seu Ubuntu, melhor. Mais pacotes significam mais potenciais pontos de falha, mais opções para um invasor tentar escalar privilégios e mais recursos para ele utilizar sua máquina como ponte para outros ataques em caso de uma invasão bem sucedida.

Durante a instalação do seu Ubuntu Server, quando apresentado às opções, não escolha nenhum pacote. Você pode manualmente instalar openssh, LAMP, DNS e etc mais tarde, num momento mais conveniente.

Num primeiro momento fique apenas com o sistema mais enxuto possível para facilitar as implementações de segurança antes de começar a abrir as portas.

Application Specific

Ter um servidor para cada serviço que você precisa não é mais exclusividade de grandes empresas, com um gordo orçamento. Utilize máquinas virtuais baseadas no seu hypervisor preferido e crie uma máquina virtual para cada tipo de serviço que for utilizar.

Utilize de bom-senso. Não coloque banco de dados da intranet na mesma partição virtual que está seu banco de dados da DMZ.

Algo como um servidor de banco de dados para todos os serviços da DMZ e um servidor HTTP para todos os bancos de dados da DMZ parece mais coerente.

Servidores em redes muito hostis (como um servidor do lado de fora dos firewalls da DMZ) ficam melhor se forem self-contained, ou seja, com todos os serviços rodando numa mesma partição virtual.

Tenha certeza de que tem uma placa de rede exclusiva para administração do seu hypervisor e proteja-a muito bem.

No Ubuntu o Xen é uma excelente opção.

Guardando seus logs

Numa situação ideal sua rede vai dispor de um servidor de syslog onde todos os hosts enviam seus eventos, mas se não for o caso, durante a instalação crie uma partição /var/log com filesystem ext3.

Isso vai permitir que você utilize o chattr para restrigir seus arquivo ao modo append only.

# cd /var/log
# chattr +a messages syslog auth.log daemon.log

Caso esteja utilizando rotacionamento de log, lembre-se de editar as políticas para evitar erros.

Ter logs é essencial para previnir invasões, mas pode ser seu passe livre de problemas em caso de invasão concretizada ou investigação judicial.

Se possível utilize sempre um servidor de syslog numa máquina física à parte. Seja bem paranóico na configuração da segurança dessa máquina.

Utilize firewall local

Mesmo que sua rede disponha de firewall de borda, existe sempre a possibilidade de alguém conseguir acesso à sua rede local. Um visitante numa sala de reunião, um esperto num wireless rogue, etc.

No Hardy nem mesmo com sintaxe do iptables você precisa se preocupar. Basta utilizar o ufw.

Ele já vem com uma lista de regras pré-configuradas com um nível de segurança bem aceitável. Falando em bom iptablês, as policies são DROP e você aplica suas excessões.

Exemplificando um servidor LAMP na sua DMZ:

# ufw allow proto tcp from 192.168.5.0/24 to 192.168.100.2 port 22
# ufw allow proto tcp from any to any port 80
# ufw enable

Onde:

192.168.5.0/24 é sua rede interna.

192.168.100.2 é o IP interno do seu LAMP server

Ou um servidor de DNS apenas com ip válido:

# ufw allow proto tcp from 200.200.200.201 to 200.200.200.10 port 22
# ufw allow proto udp from any to 200.200.200.10 port 53
# ufw allow proto tcp from 200.1.1.200 to 200.200.200.10 port 53
# ufw enable

Onde:

200.200.200.201 é o IP nateado da sua rede

200.200.200.10 é o IP do seu servidor de DNS

200.1.1.200 é o seu DNS Slave

Colocando uma armadura

A Novell desenvolveu um excelente framework de segurança chamado AppArmor e disponibilizou como open source.

Consiste basicamente em um patch no kernel e uma série de ferramentas de gerenciamento.

O conceito é: Uma determinada aplicação, independentemente de estar sendo executada pelo zezinho ou pelo root deve conseguir acessar somente determinados diretórios e arquivos, executar somente determinados comandos e utilizar somente determinadas bibliotecas.

O grande trunfo do AppArmor é que ele proteje seus servidor mesmo contra 0-day attacks. Se você preparar o perfil da sua aplicação muito bem são grandes as chances de seu servidor sair ileso mesmo num ataque a um daemon bugado.

Para isso você gera um arquivo com o “perfil” da aplicação e fala pro AppArmor: Amigão, esse binário só pode fazer isso aqui ó…

O Hardy já vem com o kernel patcheado e com as ferramentas de gerenciamento instaladas. Basta baixar os profiles e sair usando.

# apt-get install apparmor-profiles

Mas lembre-se do seguinte: Os profiles que você instalou levam em conta que você está utilizando os serviços conforme a configuração padrão do Ubuntu. Eu inclusive recomendo que você realmente faça isso sempre que possível, mas caso esteja utilizando alguma coisa diferente do padrão, um pouco de tweak pode ser necessário.

Pessoalmente senti falta de um profile para o Apache, mas depois de criar o meu eu entendi o motivo: Depende muito do que você vai rodar no seu webserver.

Talvez mais para frente eu escreva um artigo sobre o AppArmor, mas por enquanto, fique com este link da Wiki do Ubuntu.

UPDATE (29/08/2008 08:27): Meu amigo Mezzanotti, que é especialista em IT Security, mandou um link bem interessante que eu não conhecia: Center for Internet Security. Muitos tutoriais de hardening lá. Vale uma passada.

Eu senti na pele que a Telefônica é incompetente desde a simples linha telefônica até links de fibra L2L de 100Mb/s que utilzava para interconexão de um cliente entre São Paulo e o interior.

Essa última experiência, inclusive, foi o que bateu o martelo na minha opinião sobre a empresa: É um boteco com alguns bilhões no bolso.

Eu até entendo que um assinante de um speedy 256K tenha que esperar 24 ou 48 horas para ter seu problema resolvido, mas a Telefônica despertou minha ira ao deixar um link L2L fora do ar durante mais de 12 horas! E como a lei de Murphy é tão real quanto a lei da gravidade ficou fora do ar no pior momento possível.

Esse outage me fez sair da região de Campinas quase 3 horas da manhã e ir até São Paulo pra pegar o técnico da Telefônica na mãozinha e ensinar ele a fazer a bo*** do serviço dele.

Outra experiência “agradável” que me lembro foi quando o gerente de contas corporativo me deixou o telefone de contato do sujeito que ia ficar on-call durante uma atividade muito importante que tínhamos.

Uma das fases da atividade iria exigir uma mudança na rede MPLS da Telefônica e eu deveria ligar em algum momento da madrugada de sábado pra domingo pra pedir pro fulano executar a mudança.

Foi sensacional quando liguei e o cara (muito educado e disposto pra aquelas horas da madrugada, isso não posso negar) me perguntou: Escuta, amigo. Isso aqui que você tá pedindo pra eu fazer, você sabe como faz?

Me senti desafiado, já que imaginei que ele ia dizer algo como “não vou fazer isso não, porque isso, isso e aquilo”. Já respondi meio atravessado: “sei sim, porque?”.

Não sabia se ria ou chorava quando ele me responde: “Você pode me ditar os comandos então? Porque eu não faço a menor idéia”.

E ainda mais uma que não dá pra deixar passar: Depois de mais de uma semana com um erro de configuração em um roteador o gerente de contas me fala baixinho: “Se eu te der a senha do router você pode resolver o problema pra mim?”

Lógico, toca eu fazer o serviço da Telefônica de novo…

Mas quando eu contava essas histórias pra quem não tem convivência com Telefônica, muitas vezes a pessoa fazia aquela cara de “duvido”.

Bom… pra provar que eu não estou mentindo:

Pane na internet prejudica atendimento em serviços essenciais de SP

”

A pane na internet apresentada nesta quinta-feira (3) no Estado de São Paulo interfere em serviços essenciais para a população, como retirada de documentos, realização de boletins de ocorrência e até bancários. O problema ocorre em razão de uma falha técnica na rede da Telefônica, que prejudica os serviços de transmissão de dados oferecidos pela empresa.

A empresa afirma que técnicos estão trabalhando para diagnosticar as causas da falha e restabelecer o serviço, mas não soube informar quantos assinantes são afetados. Não há prazo para normalização do serviço….”

Vale a pena ler a reportagem inteira e os links associados.

Bom… quem mora em São Paulo e tem serviço da Telefônica, eu só lamento. Mas eu estou fazendo a dancinha do “bem-feito! bem-feito”.