Vous êtes sur la page 1sur 84

Linux New Media do Brasil Editora Ltda.

Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Expediente editorial
Diretor Geral Rafael Peregrino da Silva rperegrino@admin-magazine.com.br Editores Flvia Jobstraibizer fjobs@admin-magazine.com.br Laura Loenert Lopes llopes@linuxmagazine.com.br Editora de Arte Larissa Lima Zanini llima@admin-magazine.com.br Editor Online Felipe Brumatti Sentelhas fsentelhas@admin-magazine.com.br Colaboradores Bjrn Brstinghaus, Cezar Taurion, Harald Zisler, Ken Hess, Marcelo Ayres Branquinho, Martin Loschwitz, Mela Eckenfels, Michael Koer, Thomas Joos, Thomas Zeller. Traduo Emerson Satomi, Sebastio Luiz da Silva Guerra. Reviso Ana Carolina Hunger. Editores internacionais Charly Khnast, Christoph Siess, David J. Dodd, Jens-Christoph Brendel, Juliet Kemp, Ken Hess, Marcelo Ayres Branquinho, Marcel Schynowski, Markus Feilner, Martin Loschwitz, Nelson Murilo Runo, Thilo Uttendorfer, Thomas Joos, Tim Schrmann, Valentin Hbel. Anncios: Rafael Peregrino da Silva (Brasil) anuncios@admin-magazine.com.br Tel.: +55 (0)11 3675-2600 Penny Wilby (Reino Unido e Irlanda) pwilby@admin-magazine.com Amy Phalen (Amrica do Norte) aphalen@admin-magazine.com Hubert Wiest (Outros pases) hwiest@admin-magazine.com Diretor de operaes Claudio Bazzoli cbazzoli@admin-magazine.com.br Na Internet: www.admin-magazine.com.br Brasil www.admin-magazin.de Alemanha www.admin-magazine.com Portal Mundial Apesar de todos os cuidados possveis terem sido tomados durante a produo desta revista, a editora no responsvel por eventuais imprecises nela contidas ou por consequncias que advenham de seu uso. A utilizao de qualquer material da revista ocorre por conta e risco do leitor. Nenhum material pode ser reproduzido em qualquer meio, em parte ou no todo, sem permisso expressa da editora. Assume-se que qualquer correspondncia recebida, tal como cartas, emails, faxes, fotograas, artigos e desenhos, sejam fornecidos para publicao ou licenciamento a terceiros de forma mundial noexclusiva pela Linux New Media do Brasil, a menos que explicitamente indicado. Linux uma marca registrada de Linus Torvalds. Admin Magazine publicada trimestralmente por: Linux New Media do Brasil Editora Ltda. Rua So Bento, 500 Conj. 802 S 01010-001 So Paulo SP Brasil Tel.: +55 (0)11 3675-2600 Direitos Autorais e Marcas Registradas 2004 - 2012: Linux New Media do Brasil Editora Ltda. Atendimento Assinante www.linuxnewmedia.com.br/atendimento So Paulo: +55 (0)11 3675 2600 ISSN 2179-8559

A famosa (famigerada?) batalha judicial que a Apple e a Samsung esto travando em tribunais ao redor do mundo em torno de patentes e padres estticos utilizados em seus produtos ilustram o quanto o sistema de patentes est ultrapassado e deturpado, podendo ser utilizado para os propsitos mais esdrxulos. O veredicto inicial proferido pelos jurados de um tribunal na Califrnia tem potencial para mudar a composio de foras no segmento de fabricantes de smartphones, e multa a Samsung em mais de 1 bilho de dlares, por conta de uma suposta infrao das patentes tcnicas de nmeros 7469381, 7844915 e 7864163, que, entre outras coisas, descrevem os gestos usados para girar ou ampliar objetos em telas sensveis ao toque, alm de uma interface de programao para rolagem de tela. Alm disso, o jri tambm considerou a empresa coreana culpada por violar as patentes de nmero D593087, D618677 e D604305, alegando incidentes sobre o design de elementos da interface grca. Como uma primeira reao ao veredicto, a Samsung declarou jocosamente que a corte acabara de conceder Apple o monoplio sobre retngulos com cantos arredondados. Vale dizer que coube a Velvin Hogan, um dos membros do jri que detm ele prprio direitos sobre patentes, o papel de orientar os outros jurados (leigos) sobre as questes a serem consideradas em um caso de violao de patentes, mas ele mesmo no entende conceitos bsicos sobre o tema, como prticas correntes (prior art), por exemplo. A gigante coreana j deixou claro que vai recorrer da deciso. Qualquer que seja o resultado nal, entretanto, a sentena proferida pelo tribunal fornece um claro sinal para o mercado de dispositivos mveis: o Android inseguro juristicamente. Apesar de o golpe ter sido desferido contra a Samsung, o alvo bvio da Apple o Google, que, apesar de ter desdenhado do brocardo do tribunal, j se equipou com um arsenal de patentes oriundas da aquisio da Motorola Mobility, e no vai se furtar de us-lo para contra-atacar j podemos dizer adeus ao simptico lema Dont be evil da gigante de buscas... Um efeito colateral interessante: a Microsoft dispe de um sistema operacional para smartphones nalmente funcional, com o qual ainda no foi capaz de ganhar um tosto furado, mas que oferece segurana jurdica ao mercado, o que pode pesar positivamente a seu favor daqui para frente. Por sorte (ou precauo), os quadrados da interface grca do Windows Phone no tm cantos arredondados e a empresa j esclareceu antecipadamente todos os problemas envolvendo patentes de terceiros, o que confere ao sistema um custo previsvel para fabricantes. O que quer que acontea, atualmente quem mais perde com tudo isso so os consumidores. Prticas litigiosas e anticapitalistas que geram monoplios s servem para limitar a inovao e diminuir a concorrncia, tornando o mercado mais quadrado sem cantos arredondados! Rafael Peregrino da Silva Diretor de Redao

Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

EDITORIAL

Donos do retngulo

ndice
Capa
Consumidores de dados 09
Armazenar dados e informaes de forma conveniente e prtica para acesso posterior, de forma segura e confivel, o tema desta edio.

Dupla perfeita

10

Armazenamento escalonvel um componente-chave em ambientes de nuvem. RADOS e Ceph entram em cena, e cumprem a tarefa sem nenhum remendo.

Armazenamento de longa durao

16

Poupe sobrecarga e dinheiro ao arquivar emails e anexos. Conhea vrias abordagens que usam ferramentas embutidas no Linux e no FreeBSD.

Armazenamento flexvel

20

O FreeNAS ajuda a congurar um sistema NAS prprio com esforo mnimo. Graas ao sistema de arquivos ZFS, o armazenamento mais exvel, e pode ser fornecido tambm via iSCSI.

Completo

26

O KVM tem muitas maneiras de mapear discos virtuais no host. A escolha apropriada do formato de disco tem efeito no s sobre a velocidade das operaes de entrada e sada de dados, como tambm em snapshots e backups

Corporate
Notcias 06
Lenovo adquire CCE em busca da liderana no mercado brasileiro Mais de 1 milho de dispositivos Android por dia

Impactos do Big Data

08

O crescimento no volume e variedade de dados imenso e a velocidade de gerao de novos dados est acelerando rapidamente. Entenda mais sobre o assunto e saiba o que o aguarda na era da Big Data.

Tecnologia
Guerra de servios 66
O Ofce 365 a nova soluo corporativa da Microsoft em ambiente de nuvem para gerenciamento de email, tarefas e contatos, bem como de colaborao em tempo real entre usurios.

Uma questo de vista

71

Bibliotecas do Windows 7 podem agrupar logicamente diretrios fsicos e oferecer uma viso compartilhada de arquivos, com melhor visibilidade de dados importantes e consequente ecincia no gerenciamento de documentos.

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Network
Bloqueio inteligente 43
Aprenda como utilizar o AppLocker em redes com Windows Server 2008 R2 e Windows 7 e crie polticas para bloquear aplicativos individualmente, impedindo que usurios utilizem programas no permitidos contrabandeados atravs de pendrives ou emails.

Data Center
Duelo de clones 76
Seu disco comea a fazer barulhos estranhos? Planeja uma grande alterao de hardware? Quatro ferramentas ajudam usurios e administradores Linux a mover e criar cpias de dados.

Segurana
Gesto de riscos e conformidade 33
Como estabelecer um programa de gesto com ferramentas automatizadas em conformidade com a norma ANSI/ISA-99.

Protegido

34

Saiba como vericar se sua senha segura com uma ferramenta que os hackers de rede usam todos os dias.

Primeiros socorros

38

O ShadowProtect da StorageCraft uma alternativa de baixo custo para administradores Windows de SAN e clusters, com fcil restaurao de servidor quando h falha de hardware.

Solues
Ateno com a distncia 48
Administradores Windows: expanda seus horizontes com comandos Unix atravs do Cygwin. Vamos mostrar como usar a extensa lista de utilitrios Unix da ferramenta para criar scripts, realizar manuteno, gerar compatibilidade e automao.

Filtrado

55

O SMTP Proxy antispam oferece s empresas uma soluo livre e extremamente poderosa para implementao de um servidor de email prprio.

Monitoramento mvel

60

Conhea o melhor amigo do administrador de sistemas para monitorar o ambiente interno de servidores.

Servios
Eventos Preview
Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

81 82

NDICE

Notcias

Lenovo adquire CCE em busca da liderana no mercado brasileiro

CORPORATE

Lenovo Group anunciou na primeira semana de setembro de 2012 a aquisio da CCE. Esta aquisio expande de forma signicativa a presena da Lenovo no terceiro maior mercado de PCs do mundo, ampliando a sua capacidade de fabricao local e seu portfolio, que abranger as quatro plataformas de produtos que denem o que a empresa optou por chamar de era PC+: PCs, tablets, smartphones e TVs. Ao mesmo tempo, o acordo alinhar os negcios lucrativos e crescentes da CCE com um parceiro global, que vai aumentar a sua fora, capacidade de inovao, portfolio de produtos e recursos na cadeia de suprimentos. A empresa armou que a aquisio trar benefcios imediatos para o consumidor brasileiro, com um novo e melhor portflio de produtos e preos ainda mais competitivos. Esta aquisio vai dobrar a nossa participao no mercado brasileiro, que um dos mercados de tecnologia mais importantes e que mais cresce no mundo, alm de possibilitar Lenovo expandir a sua presena local, e estabelecer uma base slida para a nossa viso do futuro da era PC+, armou Yang Yuanqing, charmain e CEO da Lenovo. A CCE, com o seu portfolio completo de produtos

e uma base de fabricao no Brasil, resultam em uma parceira perfeita. A equipe de gesto da CCE, que ser essencial s nossas operaes no Brasil, conhece bem o consumidor brasileiro e vai nos ajudar a estabelecer rapidamente uma presena forte no varejo local. Temos certeza de que esta aquisio vai impulsionar o crescimento e garantir um futuro promissor para as nossas equipes no Brasil, alm de trazer uma grande variedade de produtos empolgantes e de alta qualidade para o mercado, completa. A Lenovo vai manter a equipe de gesto da CCE, incluindo o CEO, Roberto Sverner. A aquisio est sujeita aos procedimentos normais que incluem aprovaes regulatrias e dever ocorrer at o primeiro trimestre de 2013. Durante e aps a transio, no haver interrupo nas operaes de ambas as empresas, incluindo fabricao, atendimento, entrega de produtos e garantia. As marcas atuais dos produtos da CCE e da Lenovo permanecero as mesmas para maximizar os pontos fortes de cada empresa. O atual plano de negcios da empresa no prev reestruturaes no quadro de funcionrios como resultado da aquisio.

Mais de 1 milho de dispositivos Android por dia

ric Schmidt, presidente do conselho administrativo do Google, armou que sua empresa registrou um total de 1,3 milhes de dispositivos Android sendo ativados por dia, um aumento signicativo sobre os um milho de dispositivos dirios registrados em junho de 2012. Schmidt falou em um evento para a imprensa realizado pela Motorola na cidade de Nova Iorque, durante o qual a subsidiria do Google estava lanando trs novos smartphones baseados em Android. Do total de 1,3 milhes de ativaes dirias, Schmidt armou que 70.000 desses dispositivos so tablet Android. De acordo com os ltimos nmeros, a verso 4.0.x do Android, Ice Cream Sandwich (ICS), agora responde por quase 21% do nmero total de dispositivos Android atualmente em uso, um aumento de 5 pontos percentuais comparado com o ms anterior. Apesar de o ICS no ser a verso mais recente do Android, aquela que os fabricantes de dispositivos mveis preferem e continua a ganhar espao conforme so vendidos novos modelos com esta

verso instalada e atualizam antigos dispositivos, como o Samsung Galaxy S2 e o Sony Xperia P. A verso mais recente do Android, 4.1.x Jelly Bean, est disponvel no Galaxy Nexus e no tablet Nexus 7 do Google, e alguns poucos outros dispositivos. Sua parcela aumentou de 0,8% no ms passado para 1,2% conforme o Google vende mais desses dispositivos; essa participao deve aumentar mais rapidamente no futuro conforme mais fabricantes de telefone recebem e instalam a verso 4.1 para seus novos dispositivos ou atualizam as verses de aparelhos j existentes. A ramo 2.3.x Gingerbread continua a ser a verso popular do Android com 57,5%, uma queda do valor 60,6% que mantinha antes. Conforme esperado, outras verses do Android ainda esto em declnio: o Android 2.2 Froyo agora responde por 14% de todos os dispositivos, comparado com 15,5% de um ms atrs, e o 2.1 Eclair est em 3,7%. O uso do Android 3.x Honeycomb, 1.6 (Donut) e 1.5 (Cupcake) respondem por 2,1%, 0,4% e 0,2% respectivamente.

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Opinio: corporate

Impactos do Big Data


O crescimento no volume e variedade de dados imenso e a velocidade de gerao de novos dados est acelerando rapidamente. Entenda mais sobre o assunto e saiba o que o aguarda na era da Big Data.
por Cezar Taurion

CORPORATE assunto Big Data est cada vez mais aquecido. Recentemente a Pew Internet publicou um documento interessante, que pode ser acessado na ntegra em [1]. O documento resume um estudo realizado com centenas de pesquisadores e especialistas sobre os impactos, positivos e/ou negativos que a Big Data poder ocasionar nas empresas, pessoas e sociedade nos prximos anos. O crescimento no volume e variedade de dados imenso e a velocidade de gerao de novos dados est acelerando rapidamente. Dados j comeam a ser parte to importante da economia como o trabalho e capital. Assim, sairemos de uma era onde capital e trabalho determinavam os valores econmicos, para uma outra era onde o valor ser a conjuno do capital, trabalho e dados. Talvez entremos em uma poca chamada de datanomics. O relatrio da Pew foi baseado nas respostas a duas questes, uma com vis positivo do efeito do Big Data e outra que apresentava seu lado negativo. O resultado foi 53% favorvel ao vis positivo e 39% concordando com os posicionamentos negativos. Este resultado mostra que estamos ainda no incio da curva de aprendizado do que Big Data e de seu impacto na sociedade. Pessoalmente, opto pelo vis positivo, mas com fortes alertas a questes como privacidade e uso indevido e no autorizado de informaes pessoais. Mas, olhando o vis positivo, j existem casos bem interessantes de uso de Big Data, onde identicam-se neste oceano de dados, padres de conexes e interdependncias que no conseguamos observar quando usando amostragens menores. Um deles o Flu Trends, do Google [2]. Baseado na imensa quantidade de dados que obtm a cada minuto em seu buscador e que esto relacionados com as necessidades das pessoas, o Google desenvolveu um projeto onde se extrapola a tendncia de buscas e conseguiu-se identicar tendncias de propagao de gripe antes dos nmeros ociais reetirem a si-

tuao. Este tipo de previso tambm pode ser feito para inao, taxa de desemprego etc. Existem diversos exemplos reais de uso de Big Data como os que a Amazon e NetFlix fazem com seus sosticados sistemas de recomendao de produtos. Recomendo a leitura de um interessante artigo que conta o case da Intuit, empresa americana de software nanceiro para pessoas fsicas e pequenas empresas, que inclusive criou uma vice-presidncia intitulada Big Data, Social Design and Marketing. Instigante, no? Enm, na minha opinio, creio que Big Data est hoje onde a Internet estava em 1995, ou seja, quando comeou a onda da Web e as primeiras iniciativas de comrcio eletrnico surgiram. Ningum conseguia prever, naquela poca, o nascimento de empresas bilionrias como a Amazon (criada justamente em 1995), do Google (que surgiu em 1998) e muito menos do Facebook (criado em 2004), bem como as grandes mudanas que a web provocou na sociedade. Portanto, acredito que apenas em torno de 2020 teremos uma ideia mais precisa do que as novas oportunidades de compreenso do mundo geradas pelo Big Data provocaro nas empresas e na prpria sociedade. Mas, os primeiros passos devem ser dados agora, sabendo-se dos riscos, mas tambm dos grandes prmios do pioneirismo para as empresas que comearem na frente. Teremos tempos excitantes pela frente!

Mais informaes
[1] Futuro da Big Data: http://pewinternet. org/~/media//Files/Reports/2012/PIP_ Future_of_Internet_2012_Big_Data.pdf [2] Flu Trends: http://www.google. org/utrends/about/how.html
Cezar Taurion (ctaurion@br.ibm.com) diretor de novas tecnologias aplicadas da IBM Brasil e editor do primeiro blog da Amrica Latina do Portal de Tecnologia da IBM developerWorks, em https://www.ibm.com/ developerworks/mydeveloperworks/blogs/ctaurion/.

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Consumidores de dados
Armazenar dados e informaes de forma conveniente e prtica para acesso posterior, com segurana e conabilidade, o tema desta edio.
por Flvia Jobstraibizer

ivemos em uma era onde consumimos grandes quantidades de dados e informaes geradas das mais diversas formas: atravs de logs de servidores, bancos de dados que armazenam informaes provenientes das mais variadas fontes, dados de geolocalizao, informaes geradas a partir de contedo social etc. Esta vastido de informaes geradas todos os dias acabam por tornar-se a curto prazo em uma grande e confusa massa de dados, uma vez que o tamanho fsico destas informaes beira os GB ou TB todos os dias, dependendo do segmento da empresa. A anlise e triagem desses dados para que possam ser armazenados de forma conveniente, um dos pontos-chave que os arquitetos da informao discutem no momento do armazenamento dos dados. Por conta do volume dos dados gerados, muito importante conhecer os principais mtodos e formas de armazenamento, de forma que os dados permaneam disponveis em eventuais consultas, sejam mantidos em bases histricas, estejam acessveis rapidamente para a gerao de relatrios ou anlises empresariais entre muitos outros usos. Nesta edio da Admin Magazine, vamos abordar de forma concisa o vasto assunto do armazenamento de dados, como por exemplo, o arquivamento de e-mails, preciosas informaes trocadas diariamente por empresas e usurios domsticos e que devem ser armazenados de forma segura para que possam ser utilizados para consultas, registro e comprovaes posteriores. Vamos conhecer tambm uma forma simplicada de construir seu prprio servidor NAS (servidor de arquivos em rede) com a ferramenta FreeNAS em conjunto com o sistema de arquivos ZFS. Conhea tambm algumas formas de criao e otimizao de discos rgidos virtuais com garantia de disponibilidade atravs de populares tecnologias de virtualizao como o KVM.

Uma outra alternativa interessante e escalonvel para armazenamento de dados em nuvem o RADOS, que utiliza o sistema de arquivos Ceph e uma das solues-chave para ambientes virtualizados. Seja na nuvem ou ambientes corporativos, importante permenecer atento s novidades que o mercado de armazenamento lhe proporciona. E para isso, conte sempre com a gente! Boa leitura!

Artigos de capa
Dupla perfeita Armazenamento de longa durao Armazenamento exvel Completo 10 16 20 26

Admin Magazine e #7 | Setembro Setembr mbro o de 2012 201 20 12 12 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

CAPA

Armazenamento RADOS e sistema de arquivos Ceph

Dupla perfeita
Armazenamento escalonvel um componente-chave em ambientes de nuvem. RADOS e Ceph entram em cena, e cumprem a tarefa sem nenhum remendo.
por Martin Loschwitz

computao em nuvem , sem dvida, o principal assunto de TI da atualidade. Nenhum item pressiona mais administradores de infraestrutura de ambientes larga escala do que a reexo sobre qual seria a melhor maneira de implementar uma nuvem. O princpio da infraestrutura-como-servio (da sigla IaaS, de Infrastructure as a Service) bem simples: o objetivo fornecer capacidade aos usurios sob a forma de poder de processamento e armazenamento, com exibilidade de plataforma e o menor esforo possvel por parte do usurio. De modo mais palpvel, isso signica que clientes podem requisitar ciclos de CPU e espao em disco conforme suas necessidades, enquanto continuam a usar ambos. Para fornecedores de servios de TI, isso signica montar o prprio sistema da forma mais escalonvel possvel. preciso acomodar cargas de pico sem diculdade, e se a plataforma crescer o objetivo de pra-

Figura 1 Existem dois tipos de escalonabilidade.

ticamente qualquer companhia uma expanso permanente deve ser realizada facilmente. Em termos prticos, implementar esse tipo de soluo tende a ser mais complexo. Ambientes virtualizados escalonveis so fceis de conseguir: o Xen e o KVM, combinados com as atuais geraes de ferramentas de administrao de ambientes virtualizados, facilitam o gerenciamento de hosts de virtualizao. Escalonar com a incluso de hardware no mais problema: se a plataforma precisar de mais desempenho de processamento, possvel acrescentar mais mquinas que se integram perfeitamente infraestrutura existente. As coisas comeam a car menos bvias quando olhamos para o armazenamento. O modo como ambientes de TI armazenam dados praticamente no mudou nos ltimos anos. No comeo dos anos 90, data centers abrigavam muitos servidores com armazenamento local, todos sofrendo com pontos nicos de falhas, devido a tecnologias obsoletas. No meio dos anos 90, a tecnologia de Fibre Channel e a correspondente rede de rea de armazenamento (da sigla SAN, de Storage Area Network) entram em cena, e com muito mais redundncia que seus predecessores, porm a um custo bastante elevado. Quem preferia solues mais econmicas voltava-se para os dispositivos de blocos replicados distribudos (da sigla DRBD, de Distributed Replicated Block Device) com hardware padro j h alguns anos, evitando assim as carssimas SANs. No entanto, todas essas tcnicas tm um problema: elas no escalonam perfeitamente.
www.admin-magazine.com.br

10

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Armazenamento RADOS e sistema de arquivos Ceph

Escalonar recursos
Administradores e gerentes de TI distinguem entre dois tipos bsicos de escalonabilidade. A vertical (scale up) baseia-se na ideia de aumentar os recursos dos dispositivos existentes, enquanto a horizonal (scale out) depende da incluso de dispositivos ao conjunto (gura 1). Bancos de dados so um exemplo clssico de uma soluo de escalonabilidade horizontal: normalmente, so adicionados servidores-escravos para aguentar a distribuio de carga. Mas a escalonabilidade horizonal um terreno virgem quando o assunto armazenamento. Servidores com armazenamento do tipo local, SAN ou DRBD geralmente s vo escalonar verticalmente (com mais discos!), mas no horizontalmente. Quando o gabinete estiver cheio, ser preciso um segundo dispositivo de armazenamento, que por sua vez no ir integrar-se ao dispositivo existente para fornecer uma nica unidade, tornando assim a manuteno bem mais difcil. Em termos de armazenamento SAN, duas SANs custam exatamente o dobro de uma. CAPA
Figura 2 Aps carregar o mdulo de kernel ceph, o sistema de arquivos est disponvel no Linux. O Ceph foi introduzido no kernel 2.6.34.

Armazenamento de objetos
Se o usurio planeja uma nuvem e pensa em armazenamento perfeitamente escalonvel, no deve se desesperar: os desenvolvedores dos aplicativos populares de nuvem esto totalmente conscientes deste problema e oferecem solues funcionais sob a forma de tecnologia de armazenamento de objetos (object store). O armazenamento de objetos segue um princpio simples: todos os servidores que se tornam parte de um armazenamento de objetos executam um software que gerencia e exporta o espao em disco local do servidor. Todas as instncias desse software colaboram no cluster, e desta forma fornecem a iluso de um nico armazenamento de dados (data store). Para fazer o gerenciamento interno do armazenamento, o software no grava dados no formato original nos ns de armazenamento individuais, mas sim como objetos binrios. O nmero de ns individuais reunindo foras para criar um grande armazenamento de obje-

tos arbitrrio, e o usurio pode adicion-los sem interromper o funcionamento do sistema. Como o software de armazenamento de objetos tem mecanismos internos para lidar com redundncia, e a coisa toda funciona com hardware padronizado, uma soluo deste tipo combina os benefcios do armazenamento SAN ou DRBD com a escalonabilidade horizontal perfeita. O RADOS posiciona-se como rei neste segmento, em combinao com o Ceph, seu sistema de arquivos correspondente.

Como o RADOS funciona


O RADOS (Reliable Autonomic Distributed Object Store) tem sido desenvolvido h alguns anos na DreamHost, sob a liderana de Sage A. Weil, sendo basicamente o resultado de uma tese de doutorado desenvolvida para a Universidade da Califrnia, em Santa Cruz, Estados Unidos. O RADOS implementa precisamente o recurso de armazenamento de objetos descrito anteriormente, sendo distinguido entre trs nveis diferentes: Object Storage Devices (OSDs). Um OSD sempre uma pasta dentro de um sistema

Figura 3 Para descobrir quais servios o Ceph est executando em um host, digite o comando ps. Neste exemplo, o host um OSD, MON e MDS.

Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

11

Armazenamento RADOS e sistema de arquivos Ceph

Figura 4 O Ceph tem suas prprias opes de estado de sade que dizem se o cluster RADOS Paxos est trabalhando adequadamente.

de arquivos existente. Todos os OSDs juntos formam o prprio armazenamento de objetos, e os objetos binrios que o RADOS gera a partir dos arquivos a serem armazenados residem no armazenamento. A hierarquia dentro dos OSDs simples: arquivos com nomes do tipo identicador nico universal (da sigla UUID, de Universally Unique Identier) e nenhuma subpasta. Monitoring Servers (MONs). MONs formam a interface para o armazenamento RADOS e permitem o acesso aos objetos dentro do armazenamento. Trabalham de forma descentralizada e cuidam da comunicao com aplicativos externos. No h restries em termos de nmero, e qualquer cliente pode comunicar-se com qualquer MON. MONs gerenciam a MONmap (uma lista de todos os MONs) e o OSDmap (uma lista de todos os OSDs). A informao destas duas listas permite que clientes calculem qual OSD precisam contatar para acessar um arquivo especco. No estilo de um cluster Paxo, MONs tambm garantem o recurso RADOS no que se refere a respeitar regras de qurum. Metadata Servers (MDSs): MDSs fornecem metadados de interface portvel entre sistemas operacionais (Posix, Portable Operating System Interface) para objetos armazenados no RADOS e para clientes Ceph.

uma certa confuso. Weil descreveu a relao entre o RADOS e o Ceph como duas partes de uma mesma soluo: o RADOS a parte "baixa" e o Ceph, a mais "alta". Uma coisa certa: a soluo de armazenamento de objetos mais bonita do mundo intil se no der opes para acessar os dados que o usurio armazena ali. No entanto, o Ceph oferece precisamente estas opes para o RADOS: trata-se de um sistema de arquivos que acessa o armazenamento de objetos nos bastidores e, assim, torna seus dados diretamente utilizveis para os aplicativos. Os servidores de metadados (MDS) ajudam nessa tarefa fornecendo os metadados requeridos para cada arquivo que o Ceph acessa em linha com o padro Posix quando um usurio requisita um arquivo via Ceph. Como a DreamHost no considerou at um estado mais avanado no desenvolvimento que o RADOS poderia ser usado como backend para outras ferramentas alm de sistemas de arquivos, acabou sendo gerada uma confuso com os nomes RADOS e Ceph. Por exemplo, os guias ociais da DreamHost fazem referncia simplesmente a "Ceph", quando na verdade referem-se ao "RADOS e Ceph".

Primeira congurao
Uma coisa a teoria, mas para ganhar alguma compreenso sobre o RADOS e o Ceph melhor experimentar com um objeto de fato. No preciso muito para um conjunto RADOS-Ceph completo. Trs servidores com armazenamento local sero sucientes. Por que trs? Lembre-se de que o RADOS fornece de maneira autnoma uma opo de alta disponibilidade. Os MONs usam a implementao Paxos, mencionada antes, para garantir que sempre haver mais de uma cpia de um objeto em um cluster RADOS. Embora seja possvel transformar um nico n em um armazenamento RADOS, isso no ajudaria muito no que se refere alta disponibilidade. Um cluster RADOS envolvendo dois ns at mais crtico. Em um caso normal, o cluster teria qurum, mas a falha de um nico n tornaria o outro n intil, j que o RADOS precisa de
www.admin-magazine.com.br

E o Ceph?
A maioria dos artigos sobre RADOS faz referncia ao Ceph s no ttulo, causando assim

Figura 5 O MONmap contm dados sobre os MONs do cluster RADOS. Novos OSDs dependem desses dados.

12

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Armazenamento RADOS e sistema de arquivos Ceph

qurum e, por denio, um n no qurum suciente. Em outras palavras, so necessrios trs ns para uma operao segura, assim a falha de um nico n no ser problema. No entanto, nada impede o uso de mquinas virtuais com o RADOS para suas experincias no h nenhuma funo que exija recursos especcos de hardware.

Instalao
Antes de experimentar, preciso instalar o RADOS e o Ceph. O Ceph, que um simples driver para um sistema de arquivos Linux comum (por exemplo, ext3 ou ext4), entrou no kernel na verso 2.6.34 do Linux, estando assim disponvel em qualquer distribuio com essa verso do kernel ou superior (gura 2). A situao no assim to simples com o RADOS; contudo, a documentao [1] aponta para pacotes pr-compilados, ou pelo menos oferece um guia de instalao, para todas as distribuies populares. Note que embora a documentao faa referncia ao "ceph", o pacote contm todos os componentes necessrios do RADOS. Aps instalar os pacotes, hora de preparar o RADOS.

dor MON; o host alice tambm est executando um MDS para garantir que quaisquer clientes Ceph encontrem os metadados Posix durante o acesso. A autenticao entre os ns criptografada. O keyring (chaveiro) para isso ca em /etc/ceph e tem o nome de $nome.keyring, sendo que o RADOS vai automaticamente substituir nome com o dado real mais tarde. O mais importante que os ns do cluster RADOS precisam alcanar uns aos outros diretamente usando os hostnames de seu arquivo ceph.conf. Isso pode implicar a incluso desses nomes ao seu arquivo /etc/hosts. Alm disso, o usurio precisa ser capaz de fazer login em todos os ns RADOS como root mais tarde, para executar o mkcephfs, e precisa ser capaz tambm de invocar o sudo sem nenhuma senha adicional em todos os ns. Aps preencher esses requisitos, o prximo passo criar o keyring para permitir autenticao mtua entre os ns RADOS:
mkcephfs -a -c /etc/ceph/ceph.conf -k /etc/ceph/admin.keyring

Agora necessrio garantir que o arquivo


ceph.conf exista em todos os hosts do cluster (gura 3). Se este o caso, o usurio s precisa

Preparao dos OSDs


O RADOS precisa de OSDs. Como mencionamos antes, qualquer pasta em um sistema de arquivos pode atuar como um OSD; contudo, o sistema de arquivos precisa aceitar atributos estendidos. Os autores do RADOS recomendam o sistema de arquivo B-tree (da sigla Btrfs, de B-tree le system) mas tambm mencionam o XFS como uma alternativa para quem ainda tem receio de usar o Btrfs. Por uma questo de simplicidade, vamos assumir que um usurio possua um diretrio chamado osd.ID no diretrio /srv em trs servidores, sendo que o ID o hostname de servidor em cada caso. Se seus trs servidores tm os nomes de alice, bob e charlie, haveria uma pasta /srv/ osd.alice no servidor alice, e assim por diante. Se for usar um sistema de arquivos local especialmente para isso, tenha certeza de mont-lo em /srv/osd.ID. Finalmente, cada um dos hosts em /srv tambm precisam de uma pasta mon.ID, em que ID novamente se refere ao hostname. Neste cenrio simples, a congurao RADOS central em /etc/ceph/ceph.conf seria como a da listagem 1. O arquivo de congurao dene os seguintes detalhes: cada um dos trs hosts fornece um OSD e um serviAdmin Magazine #7 | Setembro de 2012

iniciar o RADOS em todos os ns, digitando:


/etc/init.d/ceph start

Aps alguns segundos, os trs ns devem se juntar ao cluster; faa a vericao usando:

Figura 6 Digitar ceph auth list faz o Ceph revelar as chaves que uma instncia MON j conhece e o que essas credenciais permitem que o n faa.

13

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

CAPA

Armazenamento RADOS e sistema de arquivos Ceph

ceph -k /etc/ceph/admin.keyring -c /etc/ceph/ceph.conf health

Isso deve mostrar a sada como na gura 4.

de montagem neste exemplo /mnt/osd, que pode ser utilizado como um diretrio normal daqui em diante.

Montar o sistema de arquivos


Para montar o recm-criado sistema de arquivos em outro host em um dos ns RADOS, use o comando mount normalmente o host-alvo um dos servidores MON (alice, neste exemplo) com um endereo MON denido como 10.42.0.101:6789 no ceph.conf. Como a autenticao CephX est sendo usada, precisamos identicar as credenciais de login geradas automaticamente pelo Ceph antes de montar o sistema de arquivos. O seguinte comando em um dos ns RADOS retorna as credenciais:
ceph-authtool -l /etc/ceph/admin.keyring

Crush map
O RADOS e o Ceph usam uma boa dose de mgica nos bastidores para proteger a congurao contra qualquer tipo de falha, comeando com a montagem. Qualquer um dos servidores MON pode atuar como ponto de montagem; contudo, isso no signica que as comunicaes so canalizadas apenas entre o cliente e esse MON. Em vez disso, o Ceph no cliente recebe os mapas MON e OSD do servidor MON contatado e, ento, os referencia para calcular qual OSD a melhor opo para usar com um arquivo especco, antes de prosseguir lidando com a comunicao com esse OSD. O Crush map outro passo para melhorar a redundncia, que define quais hosts pertencem ao cluster RADOS, quantos OSDs existem no cluster e como distribuir da melhor maneira os arquivos nesses hosts. O Crush map torna o RADOS atento aos racks, permitindo que administradores manipulem a replicao interna do RADOS em termos de servidores individuais, racks ou zonas de segurana no data center. A configurao mostrada nesse exemplo tambm tem um Crush map padro e rudimentar. Se quiser experimentar com seu prprio Crush map, o wiki do Ceph [2] contempla as informaes mais importantes para isso.

Depois vem o procedimento para montar:


mount -t ceph 10.0.0.1:6789:/ /mnt/osd -vv -o name=admin,secret=minhasenha

em que minhasenha deve ser substitudo pela senha determinada pelo usurio. O ponto

Listagem 3: Exemplo de congurao do arquivo /etc/ceph/ceph.conf


01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 [global] auth supported = cephx keyring = /etc/ceph/$name.keyring [mon] mon data = /srv/mon.$id [mds] [osd] osd data = /srv/osd.$id osd journal = /srv/osd.$id.journal osd journal size = 1000 [mon.a] host = alice mon addr = 10.42.0.101:6789 [mon.b] host = bob mon addr = 10.42.0.102:6789 [mon.c] host = charlie mon addr = 10.42.0.103:6789 [osd.0] host = alice [osd.1] host = bob [osd.2] host = charlie [mds.a] host = alice

Expanso do sistema atual


Como fazer para expandir um cluster RADOS, acrescentando mais ns para aumentar o armazenamento disponvel? Se quiser acrescentar um n chamado daisy congurao atual, o primeiro passo seria denir um ID para esse n. Nesse exemplo, os IDs de 0 a 3 j esto designados, e o novo n teria um ID de 4, portanto digite:
ceph osd create 4

Depois, preciso completar os arquivos


ceph.conf dos ns existentes, e acrescentar uma entrada para daisy. No n daisy, tam-

bm necessrio criar a estrutura de diretrio para daisy atuar como um OSD (ou seja, os diretrios em /srv, como nos exemplos anteriores). Depois, copie o novo ceph.conf para a pasta /etc/ceph da mquina daisy.
www.admin-magazine.com.br

14

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Armazenamento RADOS e sistema de arquivos Ceph

A mquina daisy tambm precisa conhecer a atual estrutura MON; anal, ser preciso registr-la em um MON existente mais tarde. Isso signica que daisy necessita do MONmap atual do cluster RADOS. Leia o MONmap de um dos ns digitando (gura 5):
ceph mon getmap -o /tmp/monmap

Depois, use o comando scp para copi-lo para daisy (este exemplo assume que o usurio armazena o MONmap no /tmp/monmap, em daisy). Agora, inicialize o diretrio OSD de daisy:
ceph-osd -c /etc/ceph/ceph.conf -i 4 --mkfs --monmap /tmp/monmap --mkkey

Se o n adicional usar outro ID alm de 4, modique o valor numrico aps -i. Finalmente, apresente o cluster atual para daisy. Neste exemplo, o ltimo comando criou um arquivo /etc/ceph/osd.4.keyring em daisy, que o usurio poder copiar para um dos MONs atuais com scp. O seguinte comando
ceph auth add osd.ID osd 'allow *' mon 'allow rwx' -i /etc/ceph/osd.4.keyring

no mesmo n adiciona o novo OSD atual estrutura de autenticao (gura 6). Digitar /etc/init.d/ceph em daisy inicia o RADOS, e o novo OSD registra-se no cluster RADOS existente. O passo nal modicar o atual Crush map para que o novo ODS seja usado. Digite:
ceph osd crush add 4 osd.4 1.0 pool=default host=daisy

Alm disso, no examinamos outros frontends RADOS alm do Ceph; este apenas um entre muitos e, neste caso, permite o acesso aos arquivos no armazenamento de objetos atravs do sistema de arquivos Linux. Contudo, h mais opes para acessar os dados no RADOS. O rbd (RADOS block device) uma boa escolha se o usurio precisa de acesso aos arquivos em nvel de dispositivo de bloco. Por exemplo, no caso de mquinas virtuais que, geralmente, aceitam dispositivos de bloco como backend para discos virtuais, evitando assim solues mais lentas com imagens de disco. Desse modo, podemos explorar o potencial do RADOS como um sistema de armazenamento bem abrangente para solues de virtualizao de larga escala, ao mesmo tempo que resolve outro problema no contexto da nuvem. Falando em nuvem, alm do rbd, o librados fornece diversas interfaces para acesso HTTP por exemplo, verses compatveis com o Amazon S3 e o Swift. Uma interface REST genrica tambm est disponvel. Como podemos ver, o RADOS inclui uma boa seleo de interfaces para o mundo l fora. Durante a redao deste artigo, os componentes RADOS-Ceph ainda estavam em verses pr-lanamento, mas os desenvolvedores planejam lanar a verso 1.0, que ser ocialmente estvel e adequada para ambientes de produo.

Mais informaes
[1] Wiki com links para pacotes de diversas distribuies: http://ceph.com/docs/master/install/ [2] Crushmap no wiki do Ceph: http://ceph. newdream.net/wiki/Custom_data_placement_ with_CRUSH

O novo OSD agora parte do cluster RADOS/Ceph existente.

Concluso
No difcil preparar a combinao do RADOS com o Ceph. Mas esta simples congurao no se benecia dos muitos excitantes recursos que o RADOS oferece. Por exemplo, o recurso do Crush map d a opo de implementar conjuntos RADOS enormes sobre mltiplos racks no data center, enquanto oferece uma proteo inteligente contra falhas. Como o RADOS tambm oferece a opo de dividir seu armazenamento em conjuntos individuais e tamanhos variados, o usurio pode obter um controle mais granular em termos de tarefas e grupos diferentes.
Admin Magazine #7 | Setembro de 2012

O autor
Martin Gerhard Loschwitz trabalha como consultor senior para a hastexo, onde especializou-se em solues de alta-disponibilidade, ao mesmo tempo em que o mantenedor da pilha de cluster para o Debian GNU/Linux no seu tempo livre.

Gostou deste artigo?


Veja este artigo em nosso site: http://www.lnm.com.br/admin/article/7446 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

15

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

CAPA

Arquivamento de emails e documentos para pequenas empresas

Armazenamento de longa durao


Poupe sobrecarga e dinheiro ao arquivar emails e anexos. Conhea vrias abordagens que usam ferramentas embutidas no Linux e no FreeBSD.
por Harald Zisler

m muitos pases, donos de empresas so obrigados por lei a arquivar emails e documentos eletrnicos com contedo empresarial (quadro 1). Mas, mesmo sem restries legais, organizar o arquivamento de emails e documentos eletrnicos ajuda a reconstruir sem muita diculdade, nos anos seguintes, os fatos de um processo de negcio.

Requisitos de formato de arquivo


Os emails muitas vezes contm anexos criados com diversos aplicativos de escritrio, que podem causar problemas com o armazenamento de longo prazo. Os formatos de arquivo que esses programas usam mudam constantemente. A informao deve ser armazenada num formato que permanecer legvel por um longo perodo de tempo. Armazenar em formato de texto simples oferece os maiores benefcios. Arquivos de texto so fceis de pesquisar, armazenar em bancos de dados e converter para um conjunto de caracteres diferente. O uso de Rich Text Format (RTF) como formato de armazenamento para documentos de escritrio ajuda a manter (a maior parte) da formatao e oferece os benefcios de um arquivo de texto simples. No Open/Libre-Ofce, v at Ferramentas/ Opes/Carregar/Salvar/Geral e selecione Rich Text Format como o formato padro no campo Sempre salvar como (gura 1). Os arquivos PDF podem ser pesquisados com o uso de ferramentas padro, como pdfgrepor ou pdftotext, mas estas no funcionam para todos os documentos pois os usurios podem optar por impedir a busca no momento da criao. Arquivos criados com o recurso "imprimir" ou "impressora CUPS PDF" tambm no podem ser pesquisados usando essas ferramentas padro, pois o que parece ser texto , na verdade, material grco.

Quadro 1: Uso de email privado na empresa


Em alguns pases, as leis civis muitas vezes contradizem as leis sobre privacidade da correspondncia, que por sua vez se aplicam a emails privados dos funcionrios e representantes dos funcionrios. Uma abordagem que funciona para todas as partes envolvidas a introduo de uma poltica da empresa para evitar o uso de email privado no cliente de email local. Como alternativa, o empregador permite que funcionrios acessem emails privados atravs de um programa de correio online. Isto perfeitamente separa informao privada e coorporativa e os funcionrios encontram uma opo legtima para acessar correios pessoais no local de trabalho.

Listagem 1: split.sh
# ! /bin/sh for i in `ls -1 archive/cur` do # Dene nome do componente para ter diretrios de emails individuais 05 pref=`date +%Y-%m-%d-%H-%M-%S` 06 07 # Coloca mail para o armazenamento 08 mv archiv/cur/$i storage 09 10 # Cria o diretrio de armazenamento para email 11 mkdir storage/$pref.$i 12 13 # Extrai anexos do email 14 ripmime -i storage/$i -d storage/$pref.$i 15 16 # Coloca o email original no diretrio de armazenamento 17 mv storage/$i storage/$pref.$i 18 done 01 02 03 04

Ponto de captao de email


O principal software de arquivamento de email captura mensagens enviadas e recebidas diretamente no servidor de correio interno da empresa. Neste ponto, uma cpia de cada mensagem criada e arquivada. Em uma pequena empresa, normalmente no h infraestrutura para isso porque as contas de email so hospewww.admin-magazine.com.br

16

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Arquivamento de emails e documentos para pequenas empresas

dadas por um provedor externo. O cliente de email precisa usar o formato de armazenamento Maildir para garantir um nico arquivo para cada parte do email. Um dos mtodos a seguir podem ser usados para arquivar emails em pequenas empresas para um ou vrios usurios: O contedo da caixa de entrada e da caixa de sada regularmente copiado para o arquivamento no cliente de email local. Isso tambm funciona para vrios usurios. O email a ser arquivado transmitido pelo cliente de email local para uma conta de arquivamento. Este mtodo requer cooperao por parte dos usurios. Emails na caixa de entrada e na caixa de sada que no so mais necessrios para correspondncia ativa so copiados manualmente para um diretrio de arquivamento.

Figura 1 Congure o RTF como o tipo de arquivo padro.

Listagem 2: Archive.sh
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 #! /bin/sh cd /home/incominggoods/archive # Digitaliza gscan2pdf # Cria um texto em branco para o editor echo "Apague isto e digite as palavras-chave para buscar!" > searchkeys.tex # Edita as palavras-chave gedit searchkeys.tex # Cria o documento Latex echo "\documentclass[10pt,a4paper]{article} \usepackage[utf8]{inputenc} \usepackage{ngerman} \usepackage[ofcial,right]{eurosym} \\\begin{document}" > att1.tex echo "\end{document}" > att3.tex # Junta os componentes do arquivo Latex cat att1.tex searchkey.tex att3.tex > attach.tex pdatex attach.tex # Gera o nome do arquivo com a data e nmeros aleatrios

Armazenar emails e documentos


Os diretrios de arquivamento esto localizados na partio de dados do sistema ou disco, e do contedo destes diretrios feito o backup regularmente. Cpias adicionais do arquivo em uma mdia externa iro permitir a avaliao dos dados em um sistema diferente algum tempo mais tarde. Dois mtodos de armazenamento de dados incluem o seguinte: Armazenar todos os emails em um banco de dados SQL. A codicao MIME remove a necessidade de usar o campo do tipo BLOB, o que melhora a velocidade do banco de dados. Para fazer backup externamente, normalmente preciso realizar um dump (gerao e preparao de dados para exportao). importante manter-se atento tambm para alteraes de verso do sistema gerenciador de banco de dados relacional (da sigla RDBMS, de Relational Database Management System), que podem causar trabalho extra. Guardar todos os emails e documentos em um diretrio, que pode ser acessado com o uso de ferramentas de pesquisa adequadas. Novamente, h pouco risco de problemas durante a realizao de uma pesquisa, mesmo anos mais tarde. Para armazenar emails e documentos, necessrio criar uma pasta de arquivamento no cliente de email. Este um link para um diretrio que vrios usurios tm acesso (gura 2).

Exemplo de script split.sh


Para permitir a busca de email com anexos, os anexos codicados com Base64 mtodo
Admin Magazine #7 | Setembro de 2012

31 32 dn=$(date +%Y-%m-%d-%H-%M-%S.$$) 33 34 # Junta arquivos PDF 35 36 pdf tk A=copy.pdf B=attach.pdf CAT A B output archive$dn.pdf 37 38 39 # Verica os resultados exibindo o arquivo PDF 40 evince arquivo $ dn.pdf

17

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

CAPA

de codicao de dados para transferncia na Internet precisam ser decodicados e armazenados como arquivos individuais. A integrao do ripmime [1] automatiza este processo em um Shell script.

Arquivamento de emails e documentos para pequenas empresas

O nome do diretrio tambm contm a data de criao, que til se o usurio estiver pesquisando os dados manualmente e precisar de dados editados dentro de um determinado perodo. O script s mostra o princpio bsico da funo, que ainda precisa ser renada. Aplicamos o script de exemplo split.sh a trs emails, um dos quais continha um anexo. A gura 3 mostra a estrutura de diretrios no local de armazenamento aps a execuo do script.

Correio convencional em arquivo eletrnico


A correspondncia escrita e outros documentos tambm podem ser armazenados em arquivo eletrnico. O usurio precisa digitalizar os documentos, armazen-los em formato PDF, e marc-los com palavras-chave, que devero ser inseridas manualmente. possvel usar o reconhecimento ptico de caractere (OCR) automatizado, mas isso exigir uma reviso manual. Em um ambiente de produo, os termos de busca so adicionados em dilogos com termos xos (recebimento, identicao do cliente etc) e em texto livre. O script Archive.sh (listagem 2) mostra o uxo bsico. Para comear, o gscan2pdf [2] digitaliza o documento. O programa tambm permite a integrao do OCR; neste caso, o gocr [3]. Edite os resultados da anlise e armazene-os na rea de transferncia. Depois de salvar e sair do gscan2pdf, um editor de texto executado. Insira o contedo da rea de transferncia e adicione as palavras-chave (identicao do cliente, data, reclamao, nmero de devoluo etc.). O

Figura 2 Pasta de arquivamento no cliente de email.

O script split.sh (listagem 1) envia as mensagens de email do diretrio Arquivo para o diretrio storage. As mensagens de email no esto mais acessveis aos usurios agora. Para cada email atribudo um subdiretrio separado de armazenamento. Isso evita a substituio acidental dos anexos com o mesmo nome, e possvel ver qual anexo pertence a qual parte do email.

Listagem 3: search.sh
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 #! /bin/sh while true; do clear # Palavra-chave echo -n "Enter search key: ";read sube # Consulta namazu -f/etc/namazu/namazurc -n 500 -h \$sube\ > searchresults.html # Exibe iceweasel searchresults.html &

Figura 3 Estrutura de diretrios no armazenamento aps a execuo do script.

# Para ou continua echo -n " <<<<<<<<<< Press Ctrl C to stop >>>>>>>>>>>>>>>>"; read wn 17 done

18

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Arquivamento de emails e documentos para pequenas empresas

script Shell usa o pdatex [4] para converter o contedo em um documento PDF pesquisvel, e ento o pdftk [5] incorpora-o ao documento PDF digitalizado. Depois de ver os resultados, o usurio envia o PDF para o diretrio de transferncia de arquivo, de onde apanhado e movido para o diretrio de destino.

Acesso a dados arquivados


O acesso aos dados arquivados feito a partir de um servidor online, por uma rede local. O servio deve fornecer proteo contra acesso e leitura no autorizados. Abordagens potencializadoras incluem criptograa de comunicao e restrio de acesso ao localhost. Os usurios podem usar o console ou o SSH, o NoMachine, ou o RDP na rede local.

Quando novos documentos so adicionados, as informaes dos documentos so acrescentadas ao ndice existente. O ndice no normalmente reconstrudo. O script search.sh (listagem 3) mostra um recurso de consulta minimalista. A execuo do Namazu aponta para o arquivo de congurao (-f). A sada limitada a 500 buscas (-n), retornadas no formato HTML (-h). Veja os resultados na gura 4.

Alternativas
Em vez de usar o Namazu, o usurio pode pesquisar em arquivos de texto (formato RTF) com o grep, e arquivos PDF com o pdfgrep [7]. A ferramenta pdftotext extrai texto de arquivos PDF, e possvel usar o arquivo de texto resultante em um aplicativo de banco de dados.

Namazu
O Namazu [6] uma ferramenta de busca textual que permite pesquisar no ambiente de arquivamento. O programa colabora com servidores online, e o pacote inclui tambm o mknmz para a criao de um ndice, alm de exigir o namazu para encontrar os documentos desejados. No Debian, os arquivos de congurao esto localizados em /etc/namazu: mknmzrc: dene o tamanho mximo de arquivo e extenso de texto para que a indexao seja realizada:
$FILE_SIZE_MAX = 900000000; $TEXT_SIZE_MAX = 900000000;

Outras opes de congurao esto relacionadas com ponderao dos resultados, tipos de arquivos suportados e no suportados, locais de diretrio e opes de exibio. namazurc: informe pelo menos o ndice (Index), o modelo (Template), e detalhes de idioma (Lang) aqui. O site do projeto tem um guia exaustivo e bastante agradvel. O ndice construdo aps emitir o comando mknmz. O programa tambm pode manipular emails com a codicao MIME com a opo --decode-base64. O script Shell de exemplo indexbuilder.sh
#! /bin/sh mknmz -a storage/* -O namazu/index

Figura 4 Lista de resultados de uma consulta.

Mais informaes
[1] ripMIME: http://www.pldaniels.com/ripmime/ [2] gscan2pdf: http://gscan2pdf.sourceforge.net/ [3] GOCR: http://jocr.sourceforge.net/ [4] pdfTeX: http://www.tug.org/applications/ pdftex/ [5] pdftk: http://www.pdabs.com/tools/pdftk-thepdf-toolkit/ [6] Namazu: http://www.namazu.org/ [7] pdfgrep: http://pdfgrep.sourceforge.net/

use a opo -a, que permite pesquisar todos os arquivos. O local de armazenamento para o ndice especicado pela opo -O. Neste script Shell, o mknmz gera uma mensagem para cada documento. No nal da execuo, uma estatstica apresentada.
Admin Magazine #7 | Setembro de 2012

Gostou deste artigo?


Veja este artigo em nosso site: http://www.lnm.com.br/admin/article/7445 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

19

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

CAPA

Armazenamento com FreeNAS

Armazenamento flexvel
O FreeNAS ajuda a congurar um sistema NAS prprio com esforo mnimo. Graas ao sistema de arquivos ZFS, o armazenamento mais exvel, e pode ser fornecido tambm via iSCSI.
por Thomas Joos

ara quem precisa de mais espao de armazenamento para usurios ou para um servidor, montar um sistema de armazenamento anexado rede (da sigla NAS, de Network Attached Storage) uma soluo popular. Um NAS mais barato que uma rede de rea de armazenamento (da sigla SAN, de Storage Area Network) e particularmente adequado para ambientes menores ou para sistemas de backup. Dispositivos pr-montados e congurados inundam o mercado atualmente. Todos permitem que administradores integrem o armazenamento NAS s suas redes atravs da compra de hardware com software embarcado. No entanto, em muitos casos, as empresas j possuem hardware funcional e servidores menores que sero substitudos. Este tipo de equipamento perfeito para montar um NAS, j que a tecnologia em si no impe nenhum grande requerimento de hardware. Mesmo se o usurio no apreciar a ideia de usar um sistema assim para produo, ainda pode us-lo para, por exemplo, instalar um cluster para a realizao de testes, treinamento ou para criar a documentao sobre a instalao de clusters no data center. No mundo open source, a ferramenta escolhida para esses casos o FreeNAS, que permite aos administradores congurarem rapidamente um sistema NAS fcil de usar. Entre

outras coisas, o FreeNAS permite que o usurio congure o armazenamento como um alvo (target) iSCSI. Alvos podem ser compartilhados na rede e usados por servidores Windows, por exemplo. Pode-se tambm ligar o NAS a um servidor ESX ou vSphere, e a lista de sistemas compatveis inclui computadores Apple.

Convenincia
O FreeNAS usa seu prprio sistema operacional, que disponibiliza o computador e seus discos na rede. Em outras palavras, no preciso instalar o sistema operacional primeiro e depois, o FreeNAS; essa uma instalao nica. A administrao feita atravs de uma conveniente interface online, mas especialistas tambm podem entrar via SSH, se necessrio. Usurios podem acessar o armazenamento via SMB, NFS, CIFS, AFP, FTP & TFTP, RSYNC e SCP. Tambm possvel integrar o NAS como um alvo iSCSI. Os sistemas de arquivos que o FreeNAS oferece so: UFS, ZFS, ext2/3, FAT, NTFSm, e RAID-Z. O monitoramento do servidor pode ser feito com o SMART ou arquivos de logs, email e SNMP. Novamente, a administrao depende da interface online (gura 1). A autenticao pode ser feita com LDAP, com integrao de sistema no Active Directory. O usurio tambm pode criar usurios locais e, assim, compartilhar o sistema
www.admin-magazine.com.br

20

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Armazenamento com FreeNAS

com grupos de trabalho menores. Se usar o iSCSI, poder gerenciar privilgios de usurios nos servidores-alvos via Active Directory ou localmente, conforme a necessidade. Ao planejar o uso dos discos em seu futuro sistema FreeNAS, garanta a congurao correta deles: no possvel usar o disco a partir do qual o FreeNAS inicializa como um armazenamento NAS. Boas ideias so usar dois discos ou iniciar a partir de um pendrive. Alm disso, o servidor deve ter, pelo menos, 4 GB de RAM (no caso da ltima verso) para executar o FreeNAS como um alvo iSCSI para um cluster Hyper-V ou Exchange. Embora seja possvel usar menos memria, seria necessrio lanar mo do sistema de arquivos UFS mais antigo, em vez do ZFS.

Figura 1 Congurao do FreeNAS depois da instalao.

RAID embutido
Com o FreeNAS, possvel denir os nveis RAID de software 0, 1, 3 e mais elevados; mas, novamente, saiba que RAIDs de hardware so mais rpidos e seguros. O sistema tambm permite a denio de quotas, criao de snapshots e espao de armazenamento comprimido, mas preciso usar o ZFS para isso. O FreeNAS baseado no sistema operacional livre FreeBSD e na distribuio NanoBSD. Nmeros de verses futuras do FreeNAS estaro de acordo com a verso FreeBSD em que o sistema for baseado. Isso explica porque os desenvolvedores pularam de 0.7 para 8.0.2, aderindo a esse esquema. Aps integrar as mudanas do FreeBSD 8.2 no FreeNAS, os desenvolvedores vo subir o nmero da verso para 8.2.

Nova verso
A nova verso 8.0.2 oferece uma interface revisada e mais fcil de usar. Alm disso, a possibilidade de conectar-se a computadores Apple foi melhorada com o Apple Filing Protocol (AFP), e computadores Windows se beneciam do Common Internet File System (CIFS). Os desenvolvedores aceleraram o acesso iSCSI e o deixaram mais estvel. Infelizmente, no h nenhuma opo para atualizar o sistema diretamente a partir da verso anterior. A nova verso tambm corrige um erro que afetava a entrega de emails e melhorou o recurso de congurao de quotas. Com isso tudo, usar a nova verso vale a pena.

hardware utilizado, instale-o como um sistema 32-bit ou 64-bit. Embora possa optar pela verso atual em um Live CD, ser sempre necessrio instalar o arquivo. Alternativamente, tambm possvel usar um pendrive. Ao iniciar a mquina na qual ser instalado o FreeNAS a partir do CD, o programa de instalao surge imediatamente. Embora o processo no seja muito complicado, preciso, sim, prestar ateno. O assistente de instalao apaga todas as parties de dados no disco-alvo, e os dados nos outros discos do computador sero apagados depois. Isso significa que no se deve gravar qualquer dado em um servidor FreeNAS antes de instalar e configurar todo o sistema. O espao requerido bem pequeno; portanto, sinta-se livre para usar discos rgidos ou pendrives de 1 GB. O FreeNAS em si precisa de aproximadamente 64 MB.

Instalao
Baixe o FreeNAS no website do projeto [1] na forma de um arquivo ISO. Dependendo do
Admin Magazine #7 | Setembro de 2012

Figura 2 Administrao do FreeNAS atravs da interface online do navegador.

21

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

CAPA

Armazenamento com FreeNAS

Na mesma seo, pode-se alterar o fuso-horrio e o idioma; clique em Save para armazenar as alteraes concludas e reiniciea interface. Aps habilitar o SSL, o endereo muda para https:/endereo_ip:porta. Faa login com a conta congurada e digite a senha. O navegador ir mostrar um alerta sobre o certicado de segurana, j que o certicado que o FreeNAS usa auto-assinado. Obviamente, possvel alter-lo em System/Settings/SSL para uma melhor congurao, mas nada disso talvez seja necessrio em um ambiente de testes.
Figura 3 Criao de novos volumes.

Adicionar armazenamento
Para permitir que o FreeNAS compartilhe sua capacidade de armazenamento na rede, selecione os discos que ir administrar; clique em Storage/Active Volumes/Create Volume. Se for compartilhar o FreeNAS como um alvo iSCSI, no dena nenhum volume. Para este caso, descreverei o procedimento adiante. Ao congurar um alvo iSCSI, selecione um disco que no esteja em uso ou, alternativamente, crie todas as unidades ZFS em um disco rgido que j esteja montado e use-as como seus alvos iSCSI. Se o FreeNAS for compartilhado de modo tradicional, monte primeiro os discos e depois crie os compartilhamentos. Aps fazer isso, uma nova janela surge, onde preciso digitar o nome para o novo volume e selecionar o disco rgido que vai servir o volume; depois, selecione o sistema de arquivos: outras opes iniciais cam entre UFS e ZFS. O ZFS a melhor escolha para um sistema de arquivos, j que permite snapshots. Aps congurar o volume, dena quando o FreeNAS deve criar snapshots. possvel alterar a congurao a qualquer momento, assim como criar manualmente os snapshots. Se selecionar mltiplos discos rgidos simultaneamente, crie um RAID de software (gura 3). Aps fazer isso, escolha espelhar os discos (RAID 1) ou agrupar e melhorar a velocidade (RAID 0, striping). Aps fazer a escolha, clique em Add Volume, mas lembre-se de que todos os dados dos discos envolvidos sero apagados.

A instalao s leva alguns minutos. Aps reiniciar, o FreeNAS j estar acessvel; no entanto, recomendvel alterar algumas denies da seo Network no Shell. Para ajud-lo nisso, o FreeNAS mostra a janela de congurao (gura 2). Todas as outras denies da rede podem ser alteradas na interface online. Por padro, o FreeNAS usa DHCP para adquirir um endereo IP. Para mudar esse comportamento no console, selecione o item 1 e depois digite n. O assistente, ento, pergunta se o usurio deseja continuar usando o DHCP novamente, digite n. O prximo passo teclar y para congurar o endereo IP. O item 6 permite a congurao do servidor DNS para FreeNAS. Esse passo necessrio, se quiser conectar o servidor ao Active Directory.

Administrao e congurao inicial


Acesse a interface online no endereo http:/ endereo_ip. O acesso, por padro, no tem criptograa e, na verso 8.0.2, o usurio admin no tem uma senha. Em outras palavras, antes de continuar com o restante da congurao, preciso denir uma senha para o usurio admin e mudar o acesso para HTTPS. Comece clicando em Account/My Account/ Change Admin User e, ento, escolha a aba Account. Depois, clique em Change Password. Na janela que aparecer, digite uma senha para o usurio ou congure uma nova conta. Aps essas alteraes, faa login novamente e abra a mesma seo. V para a aba Settings e clique em General. Nela, habilite a opo HTTPS como protocolo e selecione o endereo IP que usar para acessar a interface online. Se necessrio, tambm possvel mudar a porta de acesso, mas ser preciso digitar essa porta quando entrar com o endereo.

Snapshots
Aps adicionar todos os discos que quer compartilhar na rede, monitore-os diretamente pela interface online, ou modique suas conguraes (gura 4), clicando na aba Storage. No caso de discos ZFS, o primeiro passo congurar quando sero criados os snapshots.
www.admin-magazine.com.br

22

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Armazenamento com FreeNAS

As denies esto localizadas em Storage/ Periodic Snapshot Tasks. A opo Add Periodic Snapshot cria uma nova tarefa. Para cada tarefa de snapshot, preciso denir o espao de armazenamento, a hora de extrair o snapshot, e por quanto tempo o FreeNAS deve guardar os dados. A seo Volumes mostra todos os discos rgidos congurados; View All Volumes mostra o status e permite a alterao de denies, execuo manual de snapshots e o estado do disco. Todas estas opes so bem intuitivas; o sistema sempre vai avisar antes de apagar dados.

Servios de acesso
Aps conectar os discos rgidos ao sistema, dena os protocolos que podem ser usados para acessar os compartilhamentos no FreeNAS. Por padro, todos os protocolos e servios que usurios poderiam usar para acessar os volumes so desabilitados aps a instalao. Clique em Services e habilite os servios que devem ser usados para acessar o servidor. Clicar no cone da chave de fenda permite a modicao de servios individuais. Os servios poderiam ser utilizados para, por exemplo, denir servidores FTP acessveis via DNS dinmico ou para fornecer compartilhamentos para uma variedade de sistemas operacionais. Os servios tambm possibilitam a conexo do FreeNAS com o Active Directory ou quais usurios locais tm permisso para usar o armazenamento, na seo Users (gura 5). Se usar os mesmos nomes de usurios e senhas nos grupos de trabalho, estes no precisaro autenticar para acessar os compartilhamentos. Depois que discos, servios e usurios forem criados, o prximo passo congurar os compartilhamentos onde sero armazenados seus discos NAS. As denies para essa tarefa esto localizadas em Sharing, onde se denem os

acessos para sistemas Apple, Linux e Windows. Compartilhamentos Windows podem ser criados com CIFS (Samba). No caso destes servios, preciso denir que tipo de acesso pode ocorrer por exemplo, se um acesso annimo ou no permitido. Outras opes aqui so a autenticao via Active Directory ou local, baseada nas contas de usurio denidas na seo Users. No caso de autenticao local com o FreeNAS, o primeiro passo criar as contas de usurios. Se forem designados os usurios para um grupo de trabalho, boa ideia cri-los com os mesmos nomes e senhas que eles usam nos computadores locais. Em Home Directory, digite o caminho do volume onde sero criados os diretrios home dos usurios. Se quiser denir permisses para grupos, utilize a seo Groups. Depois, em View All Groups, clique no grupo criado e em Members. Aqui onde podem ser adicionadas as contas de usurios criadas no FreeNAS. O prximo passo designar privilgios para esses usurios e grupos. Se compartilhar um alvo iSCSI, nada disso necessrio, j que privilgios de acesso so controlados pelo servidor, que usa o FreeNAS como alvo.

Acesso annimo
Se quiser permitir o acesso annimo para todos os usurios da sua rede, crie um novo usurio com o nome guest. possvel, ento, associar essa conta o acesso aos novos compartilhamentos. Ou, ainda, selecionar o compartilhamento que deseja fornecer ao usurio guest; por exemplo, \mns\nas. Em seguida, habilite a opo Disable Password Logins para garantir que o usurio no precise de uma senha. Aps completar estas etapas, siga para a seo Storage e acesse as permisses do sistema, clicando em Change Permissions

Figura 4 Administrao de discos e volumes.

Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

23

CAPA

Armazenamento com FreeNAS

para o volume em questo. Em Owner (user) e Owner (group), escolha guest em ambos os casos para permitir acesso annimo e habilite a opo Set Permission Recursively. Se forem trabalhados usurios e grupos, digite nobody em Owner (user) e o grupo de usurio para o qual for concedido o acesso em Owner (group). Garanta que as permisses que deseja designar sejam efetivadas. Por padro, usurios no podem gravar, e portanto ser preciso habilitar o Group para Write. Quando criar um novo compartilhamento, ou modicar compartilhamentos existentes, tenha certeza de que o usurio guest esteja selecionado em Guest Account. Alm disso, preciso habilitar a opo Allow Guest Access para permitir o acesso annimo. Em Services, habilite o modo de autenticao Anonymous para CIFS, selecione o usurio guest em Guest Account, e habilite as opes Allow Guest Access, Allow Empty Password e Enable Home Directories Browsing. Ento, selecione o volume para o qual ser habilitado o acesso annimo. Estas conguraes s so necessrias para acesso annimo ou para habilitar diretrios home para os usurios. Se quiser que os usurios se autentiquem, habilite a opo Local User em Services/CIFS. Aqui tambm possvel visualizar o nome de seu servidor FreeNAS. Certique-se de usar o mesmo grupo de trabalho que constar nas estaes; esta denio, por padro, WORKGROUP no Windows. Neste ponto, se desejar, altere todas as outras denies para o servidor FreeNAS.

Alvo iSCSI
Para usar um sistema FreeNAS como um alvo iSCSI, so necessrias denies similares s usadas em compartilhamentos antigos. Alm disso, preciso congurar o servio do sistema iSCSI e conectar os servidores envolvidos. Se o FreeNAS for executado como um alvo iSCSI, os servidores recebero acesso baseado em blocos. Isso costuma ser necessrio se quiser armazenar arquivos de bancos de dados ou dados do Exchange ou se o FreeNAS estiver conectado a um cluster. Para congurar o FreeNAS como um alvo iSCSI, comece sempre pela congurao do iSCSI. Para fazer isso, preciso um volume que ainda no tenha sido usado no FreeNAS ou um volume ZFS. Como regra geral, aconselhvel completar as denies iSCSI em Services/iSCSI antes de criar compartilhamentos e volumes para outras reas. Para comear, clique em

Portals/Add Portal para criar um novo portal para iSCSI. Mantenha a congurao-padro de 0.0.0.0:3260. Obviamente tambm permitido modicar o endereo IP e porta-padro neste ponto, mas isso no inicialmente necessrio. Depois, clique em Authorized Initiator/Add Authorized Initiator. Novamente, mantenha as denies-padro no ambiente de teste. Em ambiente de produo, restrinja o acesso e dena quais servidores podem usar o FreeNAS como um alvo. possvel utilizar uma conta de usurio para isso, criando-a na seo FreeNAS iSCSI Conguration/Authentication; adiante abordaremos mais sobre isso. O prximo passo selecionar Target/Add Target. Digite o nome que escolher para o alvo, por exemplo, "freenas", ou o nome de um drive de cluster, como cluster01 ou cluster02. A melhor opo para o tipo Disk, se for fornecido o volume correspondente como um disco no servidor-alvo. Escolha 1 em Portal Group ID e Initiator Group ID, depois conrme as mudanas clicando em OK. Em seguida, selecione Device Extents/Add Extents. Como Extent Name, digite o nome que escolher para o alvo (por exemplo, freenas, cluster01 ou cluster02), depois escolha um disco que ainda no tenha sido usado em seu sistema FreeNAS. Se no quiser usar todo o disco, mas apenas parte dele, primeiro necessrio criar um volume normal com o sistema de arquivos ZFS, depois um novo volume virtual ZFS. Vou mostrar como fazer isso na sequncia. Depois, clique em Associated Targets/Add Extent to Target e conecte os alvos extenso (extent) que criou. Finalmente, tenha certeza de que o servio iSCSI est em execuo. Isto completa a congurao do alvo, e possvel tambm conectar o FreeNAS a um servidor-alvo.

Segurana para o iSCSI


Para dar segurana a um alvo iSCSI no FreeNAS com uma conta de usurio, preciso modicar a congurao iSCSI em vrios pontos. O primeiro passo clicar em Authentication/ Add iSCSI User na congurao iSCSI do FreeNAS. Digite um nome de usurio e uma senha (secret) para o usurio no FreeNAS. Os outros campos podem continuar em branco. Depois, clique em Target Global Conguration e selecione a opo Chap em Discovery Auth Method e selecione 1 para Discovery Auth Group. Clique em Save para gravar todas as mudanas.
www.admin-magazine.com.br

24

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Armazenamento com FreeNAS

Em seguida, clique em Targets para acessar os alvos para os quais habilitar a autenticao. Novamente, selecione 1 em Authentication Group Number. Aps as mudanas, autentique as denies do iSCSI Initiator na aba Browse do servidor-alvo. Mas tambm possvel integrar o iSCSI sem autenticao. Depois de congurar o FreeNAS como um alvo iSCSI, conecte os servidores requeridos no sistema. O Windows Server 2008 R2 e o Windows 8 Server fornecem uma opo fcil para isso. Use o iSCSI Initiator, que fornecido como uma ferramenta embutida nessas verses. Acesse-a em Start/Management. Para o Windows 8 Server, procure por iSCSI em Start/Search. Na primeira vez que executar o software, ser preciso conrmar que quer iniciar o servio correspondente, que est atualmente bloqueado. Congure, enm, o servio em vrias abas. A conexo gerenciada de modo idntico no Windows Server 2008 R2 e Windows 8 Server. Siga esses passos: 1. Acesse a aba Browse. 2. Clique em Find Portal e digite o endereo IP ou nome do seu servidor FreeNAS. 3. Siga para a aba Targets. O Windows ir exibir os drives que encontrou no FreeNAS. 4. Clique em Connect. Isso faz o servidor abrir uma conexo com o dispositivo. O dispositivo estar disponvel mas ainda no conectado ao computador neste ponto. 5. Marque a opo Add this connection to the list of preferred targets; ser preciso marcar esta opo separadamente para todos os discos. 6. Conrme todas as janelas clicando em OK.

Aps conectar os drives ao servidor, mude-os para o status online, inicialize-os depois de particionar e formatar discos locais no gerenciador de discos rgidos. Para inici-lo digite diskmgmt.msc no campo de busca do menu Iniciar. O drive, ento, car acessvel como qualquer disco local do servidor.

Clusters Windows
Use tambm o FreeNAS como um alvo iSCSI em um cluster Windows para testes, em clusters Exchange e at para o Hyper-V em alguns casos. A melhor abordagem primeiro congurar um dos discos no FreeNAS como um volume ZFS normal. Aps criar o drive, clique em Create ZFS Volume em Volumes/Existing ZFS Disks. Este comando cria um disco virtual com o sistema de arquivos ZFS dentro de um volume ZFS criado no FreeNAS. Para fazer isso, selecione o volume criado e digite o tamanho do drive virtual ZFS (por exemplo, 10GB). Depois, clique em Add ZFS Volume. Crie mltiplos volumes ZFS em um disco que tenha sido denido como um volume no FreeNAS, e depois congure-os como alvos. Para isso, apenas selecione os volumes ZFS no assistente das etapas anteriores. Use o disco como a base para um cluster: a converso em um disco dinmico no recomendada em clusters. Para uso em cluster, proceda no segundo n da forma como descrita antes para o primeiro n. Como o disco j foi inicializado e formatado no primeiro n, no preciso repetir isso para o segundo n. No segundo n, apenas habilite e mude a letra do drive, que deve casar com a letra do primeiro drive. Se quiser testar o Hyper-V, ser necessrio um Cluster Shared Volume (CSV) para armazenar os dados para os computadores virtuais. Para isso funcionar, preciso conectar pelo menos dois alvos no FreeNAS e at-los aos ns do cluster antes de instalar o gerenciamento failover.

Mais informaes
[1] FreeNAS: http://www.freenas.org/

Gostou deste artigo?


Figura 5 Criao de compartilhamentos via AFP, CIFS (Samba) ou NFS. Veja este artigo em nosso site: http://www.lnm.com.br/admin/article/7426 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

25

CAPA

KVM com disco otimizado

Completo
O KVM tem muitas maneiras de mapear discos virtuais no host. A escolha apropriada do formato de disco tem efeito no s sobre a velocidade das operaes de entrada e sada de dados, como tambm em snapshots e backups.
por Michael Kofler

maior parte dos sistemas de virtualizao apresenta discos rgidos virtuais para o convidado como IDE, SCSI ou SATA comum. Para o convidado, como se houvesse acesso a um disco rgido normal. Mas, na verdade, o sistema de virtualizao deve emular o barramento IDE, SCSI ou SATA sempre que o acesso a dados ocorre. Na mquina virtual, um driver apropriado cuida deste acesso. Por padro, a mquina virtual baseada em ncleo (da sigla KVM, de Kernel-based Virtual Machine) ou os componentes subjacentes ao QEMU (Quick EMUlator) emulam um barramento IDE. Isto soa antiquado, mas a vantagem que praticamente todos os convidados cam confortveis desta forma quer a mquina virtual execute Linux, Windows, BSD ou outro sistema operacional. Se a mquina virtual executa Linux, que o caso frequente na rotina diria do servidor KVM, o driver de blocos VirtIO uma maneira muito mais eciente de acessar o disco. O dispositivo VirtIO um driver embutido no kernel Linux que existe desde a verso 6.2.25 e projetado especicamente para virtualizao (KVM, Xen, e assim por diante). Graas ao driver VirtIO, o KVM evita a preocupao de emular um sistema de barramento de disco rgido (por exemplo, IDE). E, evitar um emulador neste bar-

ramento tambm simplica o acesso ao disco no lado do convidado. Note, no entanto, que o driver VirtIO s pode ser usado se o convidado for compatvel. Por isso crucial indicar corretamente o sistema operacional convidado na segunda etapa do assistente de instalao, quando a mquina virtual for congurada no Virtual Machine Manager. O driver VirtIO tambm conhecido como dispositivo paravirtualizado. Paravirtualizao signica que o convidado ajuda com a virtualizao. O kernel Linux nos clientes atuais automaticamente reconhece que o mecanismo de virtualizao usa o VirtIO. Portanto, nenhuma congurao especial necessria no convidado. A singularidade que os nomes dos dispositivos dos discos virtuais so /dev/vda, /dev/vdb, e assim por diante (em vez dos habituais nomes de dispositivos /dev/sda, /dev/sdb etc.).

Formatos de imagem
Quando o usurio congura um novo convidado no Virtual Machine Manager, por padro, o disco rgido armazenado em um arquivo de imagem raw (bruto) no diretrio /var/lib/libvirt/images (gura 1). Raw o formato de imagem mais fcil e eciente de entender. O contedo do disco rgido virtual , ento, mapeado sem alteraes no arquivo de imagem. Para os experimentos
www.admin-magazine.com.br

26

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

KVM com disco otimizado

iniciais, essa congurao bsica excelente. Um pouco de conhecimento prvio sobre as opes disponveis para seleo ajudar a identicar os parmetros para otimizar o aplicativo manualmente. Os arquivos raw so inicialmente compostos de 0 bytes. Todos os sistemas de arquivos mais populares do Linux os reconhecem e o tratam como um arquivo esparso [2], razo pela qual o requisito de espao no sistema de arquivos do host muito baixo no momento. Somente quando comeamos a armazenar os dados no disco virtual que o arquivo de imagem no sistema host passa a ocupar mais espao, at que, nalmente, o tamanho mximo denido na congurao atingido. Note, no entanto, que nem todos os sistemas ou ferramentas de backup so compatveis com arquivos esparsos. Se salvarmos os arquivos nos diretrios de rede ou em uma conexo de rede, poderemos estimar o tamanho total do arquivo raw a ser transferido (ou seja, independentemente do grau de utilizao efetiva). A alternativa mais popular ao formato raw o formato QCOW2 (Qemu Copy on Write, verso 2). Comparado ao formato raw, o QCOW2 oferece alguns recursos adicionais. Por exemplo, os arquivos de imagem podem ser criptografados ou compactados. Os arquivos QCOW2 crescem somente quando necessrio, e independentemente da funo esparsa do sistema de arquivos. A maior vantagem de imagens QCOW2, no entanto, que os snapshots podem ser criados em tempo real, o que ajuda principalmente na criao de backups. O formato QCOW2 tinha uma reputao ruim no passado, incluindo problemas de compatibilidade na interao com as ferramentas libvirt e imagens QCOW2, que eram muito mais lentas do que imagens raw. Estes problemas esto resolvidos agora. Embora ainda haja certa desvantagem na velocidade, de acordo com nossas medies, apenas de 5% a 10% em comparao com o formato raw. Para aplicativos que no tm um trfego de I/O intenso, a diferena de velocidade apenas mensurvel. O Qemu/KVM apoia um terceiro formato de imagem desde meados de 2011: o Qemu Disk Enhanced (QED). O QED oferece uma velocidade ligeiramente mais elevada que o QCOW2, porm com menos recurAdmin Magazine #7 | Setembro de 2012

Figura 1 Conguraes padro para um disco no Virtual Machine Manager.

sos (entre outras coisas, no h snapshots). A longo prazo, o QCOW2 ir substituir o QED. Uma razo para no usar o formato QED que o formato ainda no foi adequadamente testado. Novos formatos de imagem so semelhantes aos novos sistemas de arquivos: quem ama seus dados provavelmente desejar aguardar um ou dois anos. Nas janelas de dilogo de disco do Virtual Machine Manager, o usurio tambm pode selecionar os formatos da VMware ou do VirtualBox, VMDK e VDI. Esses formatos no so suportados diretamente pelo KVM (alguns formatos aparecem no Virtual Machine Manager pelo fato do gerenciador ser capaz de controlar outros sistemas de virtualizao). Se quiser executar uma mquina virtual com um disco VMDK ou VDI no KVM, ser necessrio converter o

Listagem 1: Exemplos virsh


root# virsh virsh# pool-list Name Status Automatic Start ----------------------------------------default Active yes my-pool Active yes vg2 Active yes virsh# vol-list meu-conj Name Path ----------------------------------------centos-test1.img /data/meu-conj /vm-centos/centos-test1.img 12 centos-test2.img /data/meu-conj /vm-centos/centos-test2.img 13 ... 01 02 03 04 05 06 07 08 09 10 11

27

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

CAPA

KVM com disco otimizado

Quadro 1: VirtIO com clientes Windows


Felizmente, o uso do driver VirtIO tambm est aberto aos clientes Windows, embora a abordagem seja um pouco complicada. Durante a instalao inicial, o KVM usa os drivers IDE. Assim que o Windows entra em execuo na mquina virtual, preciso instalar os drivers virtIO no Windows. Para fazer isso, monte um arquivo ISO com os drivers como uma unidade de CD na mquina virtual. Uma imagem ISO com drivers do Windows assinados pela Red Hat est disponvel no site FTP do Projeto Fedora [1]. Depois de instalar os drivers, desligue o Windows e mude o sistema de barramento de disco de IDE para VirtIO no Virtual Machine Manager. A partir da prxima reinicializao, o Windows tambm usar os drivers virtIO.

arquivo de imagem em um formato compatvel com o KVM. Em casos simples, o comando do KVM qemu-img convert vai cuidar da converso. Infelizmente, o qemu-img ca sobrecarregado quando se trata de arquivos de imagem com vrias partes. O remdio aqui o vmware-vdiskmanager. Este comando fornecido com vrios produtos da VMware, incluindo o livremente disponvel Linux VMware Server.

rios de rede. Cada disco em um conjunto de armazenamento referido na nomenclatura do Libvirt como um "volume". Por padro, aps a instalao das ferramentas Libvirt, um conjunto de armazenamento com o nome default congurado. Este o diretrio /var/lib/libvirt/images. Se desejar salvar arquivos de imagem em outro diretrio, selecione Edit/Connection Details no Virtual Machine Manager e, em seguida, a guia Storage (gura 2). Pressione o boto de adio para criar conjuntos de armazenamento adicionais. Mais tarde, quando congurar novas mquinas virtuais, especique o conjunto de armazenamento no qual deseja salvar o novo disco (opo Select managed or other storage). O Virtual Machine Manager congura o novo disco como um arquivo de imagem, volume lgico, e assim por diante, a depender do tipo de conjunto de armazenamento.

LVM
Se o usurio utiliza o LVM no sistema de host, poder usar um volume lgico (LV) como o disco virtual, em vez de uma imagem de disco. A principal vantagem que o acesso aos LVs um pouco mais eciente do que em arquivos de imagem, mas no espere ver milagres: em nossos benchmarks, os ganhos de velocidade em comparao com uma imagem raw eram de apenas alguns pontos percentuais. Um conjunto de armazenamento para os volumes lgicos apenas um grupo de volumes (VG), que primeiro precisa ser congurado com o comando vgcreate. Em seguida, no Virtual Machine Manager, execute Edit/Connection Details e clique no boto de adio na guia Storage. No assistente Add a New Storage Pool, selecione o LVM Volume Group como o primeiro passo. Na segunda etapa, escolha os arquivos de dispositivos a partir dos grupos de volumes disponveis no computador host em Destination Path. O campo Source Path permanecer em branco. A opo Pool generate no tem de ser marcada (o grupo de volume j existe). O grupo de volume selecionado aparecer na lista de conjuntos. Os volumes lgicos existentes so listados e podem agir como armazenamento para mquinas virtuais. A opo New Media permite congurar LVs novos diretamente no Virtual Machine
www.admin-magazine.com.br

Conjuntos de armazenamento
As ferramentas libvirt, que incluem o Virtual Machine Manager, usam conjuntos de armazenamento para gerenciar discos. No caso mais simples, um conjunto de armazenamento apenas um diretrio no disco rgido local. No entanto, esses conjuntos tambm podem ser grupos virtuais (LVM), discos inteiros, dispositivos iSCSI e diret-

Figura 2 Criao de um novo conjunto de armazenamento no Virtual Machine Manager.

28

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

KVM com disco otimizado

Manager, sem ter que executar o comando lvcreate do LVM. Certique-se de utilizar somente LVs para mquinas virtuais que no estiverem em uso pelo host do KVM tambm. Acessos paralelos a volumes lgicos por uma mquina virtual levar a dados defeituosos no KVM host. No difcil converter um arquivo de imagem raw em um volume lgico. (Arquivos de imagem em outros formatos devem ser convertidos para o formato raw primeiro). Para fazer isso, execute ls -l e descubra o tamanho exato do arquivo e, em seguida, use lvcreate para gerar um LV do mesmo tamanho. Ao fazer isso, certique-se de usar o suxo b no lvcreate para interpretar o tamanho em bytes. Em seguida, transra o contedo do arquivo de imagem diretamente para o dispositivo LV
ls -l disk.raw ... 10485760000 ... disk.raw lvcreate -L 10485760000b -n kvmdisk vg1 cat disk.raw >/dev/vg1/kvmdisk

Em suma, aconselhamos a utilizar volumes lgicos como discos virtuais, mas no parties de disco. Se quiser ir um passo mais adiante e atribuir um disco rgido inteiro ou SSD exclusivamente a uma mquina virtual, ter atingido os limites do KVM. O comando do KVM (mas no as ferramentas Libvirt) oferece esta possibilidade, a princpio; no entanto, a documentao do KVM/ Qemu recomenda acesso somente a leitura. A utilizao prtica limitada. O problema subjacente que o acesso a um disco rgido tanto pelo sistema host como pelas mquinas virtuais causam conitos. Com o Linux, o usurio no tem a capacidade de restringir o acesso a uma unidade de disco rgido ou SSD a um processo especco.

Como gerenciar discos com o virsh


Em vez de usar o Virtual Machine Manager para gerenciar discos virtuais, podemos gerenci-los no Virtual Shell (virsh) com vrios comandos pool e vol (listagem 1). O comando pool dene-as congura um novo conjunto. O primeiro parmetro especica o nome e, o segundo, o tipo por exemplo, dir para um diretrio local de arquivos de imagem, Logical para um grupo de volume (LVM), ou disk para um disco rgido inteiro. Como segundo parmetro, especique o nome do novo conjunto de armazenamento. Note que o diretrio --target para conjuntos do tipo dir j deve existir. O comando pool-start habilita o novo conjunto. E pool-autostart signica que o

usando os comandos dd ou cat.

Parties de disco
As parties em um disco rgido podem ser utilizadas como armazenamento para mquinas virtuais assim como volumes lgicos. Para fazer isso, use as ferramentas Libvirt para denir um disco rgido como um conjunto de armazenamento (tipo Physical Disk Device no Virtual Machine Manager); o usurio poder ceder uma partio como armazenamento para uma mquina virtual. Ao faz-lo, deve naturalmente ter cuidado para que nunca acesse uma partio de vrios convidados ao mesmo tempo (ou a partir do sistema host e um convidado). No entanto, esta abordagem no muito recomendada: em comparao com os volumes lgicos, no h nenhum benefcio em termos de aumento da ecincia. O motivo? Mesmo no acesso aparentemente direto em parties de disco, cada operao de I/O encaminhada atravs do KVM. S no espere alcanar o mesmo desempenho de I/O em uma mquina virtual como no host do KVM. Ao mesmo tempo, a exibilidade do LVM perdida no gerenciamento, com um risco de que as parties e sistemas LVM criados no convidado sejam confundidos com a partio LVM e gerenciamento no host.
Admin Magazine #7 | Setembro de 2012

Figura 3 Congurao do cache de I/O no Virtual Machine Manager.

29

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

CAPA

KVM com disco otimizado

novo conjunto iniciado automaticamente quando o daemon libvirt for ativado no futuro.
virsh# pool-dene-as novo-conj dir --target /data/novo-conj Pool new-pool dened. virsh# pool-start novo-conj Pool new-pool started virsh# pool-autostart novo-conj Pool new-pool marked as autostarted

Como fazer o cache


Na viso detalhada do Virtual Machine Manager, podemos escolher entre os modos diferentes de cache de disco na janela de dilogo (gura 3). Para fazer isto, devemos revelar as reas normalmente ocultas em Advanced options e Performance options. O campo Modo de Cache tem quatro conguraes que podemos escolher: none: nenhum cache usado. Esta denio aplica-se por padro para mquinas virtuais criadas no Virtual Disk Manager. default: o hypervisor vai decidir se usa um procedimento de cache e, em caso afirmativo, qual. Para o KVM este atualmente o write-through caching (veja o prximo item). Ateno: o comportamento padro pode mudar em futuras verses KVM. writethrough: esta congurao usa o cache do sistema host para acelerar a leitura e escrita. As operaes de gravao no convidado no so concludas at o sistema reconhecer a operao de salvamen-

O comando vol-create-as (no virsh e outras ferramentas Libvirt, discos so conhecidos como volumes, razo pela qual todos os comandos para processamento de discos comeam com vol) cria imagens raw em um diretrio de conjunto por padro; todo o espao alocado imediatamente. Podemos evitar isto com a opo --allocate 0G:
virsh# vol-create-as new-pool test1.img 10G --allocation 0G

A tabela 1 fornece uma viso geral dos comandos mais importantes.


Comando pool-dene pool-dene-as pool-start pool-auto-start pool-destroy pool-delete pool-list pool-info vol-create vol-create-as vol-delete vol-list vol-inf snapshot-create snapshot-create-as snapshot-revert snapshot-delete snapshot-list Tabela 1 Comandos virsh. Funo

Cria um novo conjunto de armazenamento, suas propriedades so descritas em um arquivo XML. Cria um conjunto de armazenamento, suas propriedades so especicadas em parmetros. Inicia (habilita) um conjunto de armazenamento. Faz com que o conjunto de armazenamento inicie automaticamente no futuro. Desativa um conjunto de armazenamento. O conjunto pode ser ativado novamente depois atravs do comando pool-start. Exclui um conjunto, desde que no contenha quaisquer volumes. Lista todos os conjuntos de armazenamento conhecidas. Fornece informaes detalhadas sobre um conjunto de armazenamento. Cria um novo disco virtual cujas propriedades so descritas em um arquivo XML. Cria uma nova mdia cujas propriedades so especicadas nos parmetros. Apaga um disco. Fornece uma lista de todos os discos em um conjunto de armazenamento. Fornece informaes detalhadas sobre um disco. Cria um snapshot de um arquivo de imagem QCOW2 com os parmetros de snapshot descritos em um arquivo XML. Cria um snapshot de um arquivo de imagem QCOW2, onde o nome do snapshot passado como um parmetro Ativa um snapshot criado anteriormente de um arquivo de imagem QCOW2. Exclui um snapshot de um arquivo de imagem QCOW2. Lista todos os snapshots de um arquivo de imagem QCOW2.

30

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

KVM com disco otimizado

to. Cada operao de sincronizao (sync, fsync) deve ser concluda sicamente no host antes de o processo em questo poder continuar no sistema convidado. Verses atuais do Qemu/KVM levam barreiras de I/O em conta. writeback: neste caso, o sistema convidado tambm faz buffer de escrita (como acontece com todos os programas que gravam em um arquivo). Aes de sincronizao no so repassadas diretamente, mas realizadas a critrio do sistema host. Isto leva a aumentos de velocidade signicativos em operaes de gravao. Claro, este tipo de cache tem uma sria desvantagem: se o sistema host falhar, o sistema de arquivos no convidado pode tornar-se inconsistente e, na pior das hipteses, inutilizvel. Este risco especialmente grande com arquivos de imagem QCOW2. No entanto, falhas do convidado no causam mais nenhum problema, como aconteceria de outro modo. Qual a melhor congurao? A documentao do KVM frequentemente recomenda a congurao none, mas nossos prprios benchmarks tm mostrado que write-through caching oferece um aumento signicativo na velocidade (tambm para discos LVM) no caso de mquinas virtuais com muitas operaes de I/O; fornece tambm um desempenho ainda maior, mas desaconselhamos o uso por razes de segurana.

que o tamanho mximo denido na hora da congurao. Para criar um snapshot em tempo real para uma mquina virtual, use o comando virsh snapshot-create. As ferramentas de gerenciamento de snapshots tambm usam linhas de comando (snapshot-revert, snapshot-delete, snapshot-list). O Virtual Machine Manager, infelizmente, ainda no suporta snapshots. Ao criar um snapshot, salvamos tambm o estado da mquina virtual (incluindo todos os registradores da CPU, uma imagem da RAM etc.) Estes dados so armazenados em um segmento separado dentro do arquivo QCOW2. A documentao do Libvirt refere-se a snapshots de mquinas virtuais neste contexto. Quando executa snapshot-create, a mquina virtual para temporariamente, e o Libvirt continua a funcionar. Quando um snapshot antigo reativado pelo comando do virsh snapshot-revert, ele no s retrocede o arquivo de imagem para o estado anterior, como tambm a mquina virtual. A mquina virtual, assim, assume exatamente o status que tinha quando o snapshot foi criado. Infelizmente, leva um tempo relativamente longo para criar snapshots QCOW2 se o cache estiver ativo. Se no deseja fazer

Listagem 2: Backup de uma imagem QCOW2


Backup: 01 02 03 04 virsh snapshot-create-as vmname snapname cp /var/lib/libvirt/images/nomevm.img /backup cp /etc/libvirt/qemu/nomevm.xml /backup cp /var/lib/libvirt/qemu/snapshot/vmname/ nomesnap.xml /backup

Snapshots
Snapshots ajudam a armazenar o estado ou sistema de arquivos de uma mquina virtual em um determinado ponto no tempo. A escolha de mtodos depende de qual mdia virtual utilizar no processo. O melhor suporte de snapshot est disponvel para imagens QCOW2. O arquivo de imagem composto por blocos relativamente pequenos. Um snapshot uma imagem somente de leitura de toda a imagem. Mudanas aps a criao do snapshot so armazenadas em novos blocos para que a imagem continue a ser utilizvel. possvel criar vrios snapshots; no entanto, as alteraes armazenadas aps o snapshot ser feito ocupam espao adicional em disco; portanto, agora existem duas ou mais verses das imagens, o que explica por que o arquivo de imagem pode ser maior
Admin Magazine #7 | Setembro de 2012

Restaurao: 01 cp /backup/nomevm.img /var/lib/libvirt/images 02 virsh dene /backup/nomevm.xml 03 virsh snapshot-create nomevm /backup/nomesnap.xml --redene 04 virsh snapshot-revert vm backsnap --running

Listagem 3: Backup de um disco LV


Backup: 01 lvcreate -s -L 2G -n nomevm_snap /dev/vg1/vmname 02 cat /dev/vg1/nomevm_snap > /backup/nomevm.img 03 lvremove -f /dev/vg1/nomevm_snap Restaurao: 01 cat /backup/nomevm.img > /dev/vg1/nomevm_snap

31

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

CAPA

KVM com disco otimizado

sem cache, pode criar snapshots QCOW2 com o comando:


snapshot-create --disk-only

(ou seja, sem armazenar a imagem RAM). Embora este seja muito mais rpido, a mquina virtual no pode continuar com o status que tinha quando o snapshot foi criado; precisar ser reiniciada. A mquina virtual comporta-se como uma mquina que repentinamente foi desligada. Snapshots LVM so uma alternativa a snapshots QCOW2. Claro, esta verso apenas uma opo se o usurio armazenar o arquivo de imagem em um volume lgico ou usar um volume lgico diretamente como um disco virtual. O gerenciamento de backup LVM totalmente independente do KVM ou as ferramentas libvirt, usando o comando do LVM lvcreate. Ao contrrio dos snapshots QCOW2, no h como fazer o backup do despejo de RAM da mquina virtual. Snapshots LVM de mquinas virtuais ativas, desta forma, comportam-se como snapshots QCOW2 com o uso da opo --disk-only.

Backups
Em teoria, fcil realizar um backup da mquina virtual: basta desligar a mquina virtual, copiar o arquivo de imagem ou ler o volume lgico, e reiniciar. No entanto, esse tipo de backup no adequado para uso em servidor, uma vez que as mquinas virtuais devem continuar em funcionamento durante um backup. Por outro lado, intil simplesmente ler um volume lgico ou um arquivo de imagem durante as operaes em curso:

o volume ou arquivo mudaria ao criar o backup, e o arquivo de backup resultante seria inconsistente e, portanto, inutilizvel. No entanto, os snapshots fornecem uma maneira de sair deste dilema. As trs variantes so: Snapshots QCOW2, Snapshots LVM para um volume lgico usado diretamente como um disco KVM, ou Snapshots do LVM para um volume lgico que contm um sistema de arquivos com arquivos de imagem KVM. As listagens 2, 3 e 4 resumem os comandos utilizados para executar um backup para cada uma destas variantes (ou para restaurar uma mquina virtual a partir do backup). Nas listagens 3 e 4, o nome do grupo de volume vg1. Na listagem 4, assumimos que o diretrio /var/lib/libvirt/images est localizado diretamente sobre o volume lgico lv-images. A variante QCOW2 a mais segura; no executa apenas o backup do disco em si, como tambm o estado da mquina virtual no momento do backup. Em contrapartida, isso torna a restaurao mais complexa porque a imagem da RAM tambm precisa ser importada corretamente no sistema Libvirt.

Concluso
Ao selecionar o tipo de imagem na virtualizao KVM, vale a pena afastar as conguraes padro. Especialmente para backups e snapshots, o formato inuencia as ferramentas utilizadas e o uxo de trabalho. As corretas conguraes de cache podem afetar substancialmente o desempenho de I/O do sistema virtualizado.

Mais informaes Listagem 4: Backup de um sistema de arquivos


Backup: 01 mkdir /snap 02 lvcreate -s -L 2G --name images-snap /dev/vg1/lv-images 03 mount /dev/vg1/images-snap /snap 04 cp /snap/nomevm.img /backup 05 umount /snap 06 lvremove /dev/vg1/images-snap 07 rmdir /snap Restaurao: 01 cp /backup/nomevm.img /var/lib/libvirt/images/ [1] Driver VirtIO para Windows: http://alt. fedoraproject.org/pub/alt/virtiowin/latest/images/bin/ [2] Arquivo esparso: http://en.wikipedia. org/wiki/Sparse_le

Gostou deste artigo?


Veja este artigo em nosso site: http://www.lnm.com.br/admin/article/7514 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

32

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Opinio: segurana

Como estabelecer um programa de gesto com ferramentas automatizadas em conformidade com a norma ANSI/ISA-99.
por Marcelo Branquinho

cada vez mais frequente a ocorrncia de ataques contra infraestruturas crticas. Esse tipo de ataque pode afetar a centenas de milhares de pessoas em todo mundo pois est relacionado diretamente a servios essenciais e de sobrevivncia tais como abastecimento, energia e telecomunicaes. Casos recentemente divulgados mostram que os ciberataques esto cada vez mais sosticados e utilizam ciberarmas poderosas e direcionadas para sistemas de controle especcos. Notcias de ataques bem sucedidos com worms como o Stuxnet, Duqu e Flame tornam urgente e evidente a necessidade de programas de segurana em redes industriais e sistemas SCADA (Supervisory Control and Data Acquisition). Vulnervel a vrios tipos de ataques, o sistema SCADA gerencia a maior parte das infraestruturas no mundo. Pouca ateno foi dada a segurana ciberntica contra estes sistemas, uma vez que se acreditava que estas redes eram praticamente imunes a ciberataques. Em 2004 a ISA (International Society of Automation) lanou a primeira verso da norma ANSI/ISA 99 (Integrating Electronic Security into the Manufacturing and Control Systems Environment) e desde ento a adequao a esta norma tem se tornado item mandatrio para infraestruturas crticas em todo o mundo. Manter o controle sob os riscos e fornecer respostas rpidas a ataques de quaisquer naturezas que possam afetar suas infraestruturas fundamental para a manuteno e continuidade dos servios prestados. Durante a fase de anlise de riscos so inventariados os ativos de uma determinada planta de automao e avaliados os riscos aos quais estes ativos esto expostos. De acordo com a severidade do risco, a probabilidade dele ocorrer,

e a importncia do ativo que est sendo avaliado, atribudo um fator de risco que ser levado em considerao para a elaborao do plano de segurana. O plano de segurana o documento nal da etapa da anlise de riscos. Nele so listados os riscos em ordem decrescente de gravidade e so propostas as contramedidas de segurana a serem implantadas. De acordo com o oramento da empresa e a severidade dos riscos, um cronograma ser estabelecido para a implantao das contramedidas aprovadas pela alta gerncia. Para anlises de riscos pequenas (at 20 ativos, no mximo) possvel realizar a anlise usando planilhas em Microsoft Excel e gerar relatrios baseados em modelos que podem ser baixados da Internet. Quando precisamos realizar anlises maiores e em vrias plantas de automao de uma mesma empresa, recomendo o uso de ferramentas automatizadas. Atualmente utilizo a ferramenta Mdulo Risk Manager, da empresa Mdulo Security, como apoio nas anlises realizadas em nossos clientes. Esta ferramenta possui um mdulo (base de conhecimento) especco para realizar anlises de riscos de acordo com o que manda a norma ANSI/ISA-99 e gera completos relatrios de anlises de riscos em diversos modelos customizveis. A ferramenta tambm possui um gerenciador de uxo de trabalho que bastante til para controlar a implantao das contramedidas relacionadas no planejamento de segurana.
Marcelo Branquinho (marcelo.branquinho@tisafe.com) Diretor Executivo da TI Safe Segurana da Informao, engenheiro de sistemas da computao formado pela UERJ com MBA em gesto de negcios. Especialista em segurana da automao, membro da ISA e integrante do comit internacional da norma ANSI/ISA-99 que estabelece as melhores prticas de segurana para redes de automao e SCADA.

Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

33

SEGURANA

Gesto de riscos e conformidade

Verificao de senhas complexas

Protegido
Saiba como vericar se sua senha segura com uma ferramenta que os hackers de rede usam todos os dias.
por Ken Hess

Listagem 1: John the Ripper no modo de teste


01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 $ john -test Benchmarking: Traditional DES 64/64... DONE Many salts: 1300K c/s real, 1300K c/s virtual Only one salt: 1169K c/s real, 1169K c/s virtual Benchmarking: BSDI DES (x725) 64/64... DONE Many salts: 45898 c/s real, 45898 c/s virtual Only one salt: 45108 c/s real, 45186 c/s virtual Benchmarking: FreeBSD MD5 32/64... DONE Raw: 10995 c/s real, 10995 c/s virtual Benchmarking: OpenBSD Blowsh (x32) 32/64... DONE Raw: 723 c/s real, 723 c/s virtual Benchmarking: Kerberos AFS DES 48/64... DONE Short: 378501 c/s real, 378501 c/s virtual Long: 1063K c/s real, 1063K c/s virtual Benchmarking: LM DES 64/64... DONE Raw: 8214K c/s real, 8214K c/s virtual Benchmarking: NT MD4 Generic... DONE Raw: 10635K c/s real, 10635K c/s virtual Benchmarking: Eggdrop [blowsh]... DONE Raw: 23744 c/s real, 23744 c/s virtual Benchmarking: M$ Cache Hash Generic... DONE Many salts: 16035K c/s real, 16035K c/s virtual Only one salt: 6089K c/s real, 6089K c/s virtual Benchmarking: LM C/R DES [netlm]... DONE Many salts: 480447 c/s real, 480998 c/s virtual Only one salt: 470213 c/s real, 470213 c/s virtual

s polticas de senha projetadas por administradores de sistema bem intencionados ditam o nmero de caracteres e a complexidade necessrias, mas seria isto suciente para proteger contas de usurio de hackers maliciosos? Os usurios so orientados a criar senhas que so "fceis de lembrar, mas difceis de adivinhar". Devem escolher senhas que contenham letras maisculas e minsculas e a incluir nmeros e caracteres especiais. Tambm so desencorajados a usar a mesma senha em todas as contas. A questo : "ser que toda essa complexidade suciente para proteger usurios de um ataque hacker?" A resposta, para complicar ainda mais, "sim e no". "Sim" porque senhas complexas impedem que um hacker as adivinhe, quer atravs da rede ou localmente em um sistema. Suposies de senha aleatrias resultam em bloqueio de conta aps um nmero limitado de tentativas mal-sucedidas. Este bloqueio dispara um alerta de deteco de intrusos e comunica aos administradores que algo suspeito aconteceu. E "no" porque um intruso que obteve acesso administrativo pode usar algumas ferramentas poderosas para quebrar as senhas em seu sistema. O hacker ir salvar a senha de um sistema e arquivos de sombra em um local remoto. Este procedimento permite que o invasor quebre as senhas na segurana e tranquilidade de seu prprio computador de testes. Uma vez que o hacker recebe arquivos com as senhas de um
www.admin-magazine.com.br

34

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Verificao de senhas complexas

sistema, poder aproveitar as opes sua disposio. Para encurtar o tempo necessrio para quebrar senhas, tentaro primeiro correspondncias de palavras de dicionrio. A maioria dos usurios opta por um simples dicionrio de senhas, o que torna a vida de um hacker fcil, e o retorno sobre o investimento na vericao de um arquivo hash de senha com um dicionrio de senhas muito elevado. Um hacker pode recuperar senhas baseadas em dicionrio em questo de minutos, enquanto que um ataque de fora bruta pode levar dias. A fora bruta um ataque de nico caractere por vez em um arquivo de senhas. Com um poderoso computador e tempo suciente, nenhuma senha pode escapar do ataque implacvel do hacker. O tempo importante ao quebrar senhas porque o hacker sabe que uma vez que a vtima descobre a transigncia, novas medidas de segurana e alteraes de senha rapidamente entram em vigor.

Como usar o John the Ripper


Para comear, o usurio pode baixar e instalar o John atravs de seu repositrio Linux, compilar e instalar via cdigo fonte ou, para Windows, baixar e instalar a partir do site da Openwall. O John the Ripper um utilitrio de linha de comando que no exige privilgios administrativos ou usurio root para ser executado contra um arquivo de hash da senha. No entanto, so necessrios privilgios administrativos para obter arquivos de hash de senha a partir de seus sistemas. Antes de comear a tentar quebrar senhas, verique a ecincia do John em seu sistema executando-o em modo de testes (listagem 1). O relatrio informa quantas combinaes de

Listagem 1: John the Ripper no modo de teste (continuao)


36 37 38 39 40 41 Benchmarking: NTLMv1 C/R MD4 DES [netntlm]... DONE Many salts: 680893 c/s real, 680893 c/s virtual Only one salt: 638402 c/s real, 638402 c/s virtual

Forte x fraco
Os administradores de sistema precisam auditar senhas periodicamente, no s para se certicar de que cumpram com as polticas de uso, mas para garantir que no sejam to simples o suciente para serem adivinhadas por um estranho. Por exemplo, se um usurio optar por usar a senha MarklarCo2563, poderemos concluir que esta uma senha forte para quem no empregado da companhia Marklar, na Snarkish Way, nmero 2563. Esta uma senha fraca, porque isso fcil de adivinhar por um hacker que tentar invadir a Companhia Marklar. Da mesma forma, os usurios tambm no gostariam de selecionar uma senha simplesmente ao inverter o nome da empresa para RalKram2563. Hackers so espertos demais para truques de baixo nvel como o uso de permutaes de nomes de empresas como senhas. Como um dos seus primeiros passos na quebra de um hash de senha, certamente iro usar um ataque de expresso regular com o nome da empresa. Uma ferramenta que os hackers usam para quebrar arquivos hash de recuperao de senha de sistemas transgredidos o John the Ripper. O John uma ferramenta gratuita da Openwall [1]. Os administradores de sistema devem usar o John para realizar auditorias internas de senha. um utilitAdmin Magazine #7 | Setembro de 2012

Benchmarking: More Secure Internet Password RSA MD dened by BSAFE 1.x - Lotus... DONE 42 Many salts: 64806 c/s real, 64806 c/s virtual 43 Only one salt: 38381 c/s real, 38381 c/s virtual 44 45 Benchmarking: Lotus5 Lotus v5... DONE 46 Raw: 130745 c/s real, 130745 c/s virtual 47 48 Benchmarking: Raw MD5 [raw-md5]... DONE 49 Raw: 5455K c/s real, 5455K c/s virtual 50 51 Benchmarking: Raw SHA-1 [raw-sha1]... DONE 52 Raw: 3749K c/s real, 3753K c/s virtual 53 54 Benchmarking: IPB2 MD5 Invision Power Board 2.x salted... DONE 55 Many salts: 2933K c/s real, 2933K c/s virtual 56 Only one salt: 1733K c/s real, 1733K c/s virtual 57 58 Benchmarking: Netscape LDAP SHA [SHA-1]... DONE 59 Raw: 3667K c/s real, 3667K c/s virtual 60 61 Benchmarking: OpenLDAP SSHA [salted SHA-1]... DONE 62 Many salts: 3720K c/s real, 3720K c/s virtual 63 Only one salt: 3416K c/s real, 3416K c/s virtual 64 65 Benchmarking: HTTP Digest access authentication [HDAA-MD5]... DONE 66 Many salts: 1419K c/s real, 1419K c/s virtual 67 Only one salt: 1377K c/s real, 1377K c/s virtual

35

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

SEGURANA

rio para quebra de senhas pequeno (possui menos de 1MB) e simples de usar.

Verificao de senhas complexas

nomes de usurio/senha por segundo (c/s) seu sistema teoricamente executa para cada tipo de criptograa de hash de senha. Em sistemas Linux que usam senhas ocultas, para criar um arquivo hash de senha ao combinar os arquivos passwd e shadow do seu sistema, entre com:
$ sudo john unshadow /etc/passwd /etc/shadow > passle.txt

O arquivo passle.txt contm os pares no medeusurio:senhacriptografada:


root:$1$gb9R8hhhcES983e khess:$50anHnciUcp02u82

Depois de ter criado o arquivo hash de senha, podemos ento direcionar o John para executar uma das vrias "modalidades" contra seus hashes de senha. O primeiro modo uma tentativa de quebra rpida com base no arquivo de lista de senha fornecido, password.lst. Esta lista contm mais de 3.000 senhas comumente usadas (listagem 2). Este ataque baseado em dicionrio levou menos de um segundo para extrair a senha do root (admin) e minha senha de usurio (t-bone) do arquivo hash de senhas. O arquivo de dicionrio de senhas utilizado o arquivo password.lst padro que fornecido com o John, mas muitos outros existem. Um hacker habilidoso ir usar um arquivo de dicionrio de senhas enorme contendo milhares de senhas possveis ou usar mais de um arquivo de dicionrio de senhas para tentar um roubo fcil antes de recorrer a um ataque de fora bruta.

O prximo modo mais rpido a utilizao do modo single-crack. Este modo usa um algoritmo baseado em regras simples e uma lista pequena de palavras (listagem 3). Finalmente, o ataque de fora bruta pode ser seu nico refgio se as senhas forem mais complexas. Os submodos permitem especicar que tipo de algoritmos usar para o ataque. Suas opes so: alpha apenas letras. digits apenas nmeros. lanman letras, nmeros e alguns caracteres especiais. all todos os caracteres possveis. Verique o progresso do John durante uma tentativa de quebra ao pressionar a barra de espao para ver o tempo decorrido, as combinaes por segundo, e as combinaes mais recentes. A listagem 4 um ataque de fora bruta incremental que mostra trs vericaes durante uma sesso de quebra em curso. Quando estas vericaes foram feitas, a sesso de quebra tinha funcionado por mais de um dia inteiro. As duas senhas que o sistema tenta quebrar so:
root:Hoobastank khess:R@scal

H mais de 10.000 c/s, e estas senhas no so facilmente quebradas por fora bruta.

Concluso
Eventualmente, qualquer senha pode ser quebrada. O trabalho do usurio criar uma to difcil de forma que o hacker desista da

Listagem 2: Arquivo de lista de senha


01 02 03 04 05 $ john -wordlist:password.lst passle.txt Loaded 2 passwords with 2 different salts (FreeBSD MD5 [32/64]) admin(root) t-bone(khess) guesses: 2 time: 0:00:00:00 100% c/s: 4408 trying: t-bone

Listagem 3: Modo single-crack


01 $ john -single passle.txt 02 Loaded 2 password hashes with 2 different salts (FreeBSD MD5 32/64) 03 guesses: 0 time: 0:00:00:01 100% c/s: 9433 trying: hken1900

Listagem 4: Modo de fora bruta


01 02 03 04 05 $ john -incremental:lanman passle.txt Loaded 2 passwords with 2 different salts (FreeBSD guesses: 0 time: 1:04:04:08 (3) c/s: 10927 trying: guesses: 0 time: 1:09:25:10 (3) c/s: 10929 trying: guesses: 0 time: 1:10:21:23 (3) c/s: 10930 trying: MD5 [32/64]) gmugoky - gmugok2 SAgof2 - SAgofs topoua b - topoua f

36

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Verificao de senhas complexas

tentativa e procure uma vtima mais fcil. O invasor no gosta de amarrar recursos por mais do que algumas horas. Usar senhas fortes fornecer ao usurio o tempo necessrio para proteger seus sistemas, fechar as falhas de segurana exploradas pelo hacker, e forar uma alterao de senha em seu ambiente. O administrador de sistema deve educar os usurios sobre como criar boas senhas, bem como gerentes e funcionrios no estabelecimento e cumprimento de polticas de senhas. As seguintes diretrizes sero bastante teis: Conter pelo menos 10 caracteres, Usar letras maisculas e minsculas, Usar nmeros, Usar caracteres especiais, e No usar dicionrios de palavras a menos que sejam parte de uma senha. Um bom exemplo para uma senha :
Pausa.n0s.b0sques.num@.no1te.de.neve

fortes so um mtodo para este m. Embora no seja possvel fazer com que senhas deixem de ser quebradas, podemos tornar o processo muito lento e desagradvel para quando o hacker voltar a tentar tirar mais proveito do seu sistema transgredido. Senhas fortes podem ser um sofrimento para os usurios, mas sero ainda mais dolorosas para hackers que querem roubar dados e causar estragos em seus sistemas.

Mais informaes
[1] Openwall: http://www.openwall.com/john/

O autor
Ken Hess escritor e jornalista freelancer especializado em tecnologia. Ele cobre uma variedade de temas, incluindo Linux, bases de dados e virtualizao. Voc pode entrar em contato com ele atravs do site www.kenhess.com.

Senhas que so sucientemente longas e que incluem caracteres especiais e nmeros so muito difceis de quebrar. Sua primeira poltica como um administrador de sistema proteger seus sistemas. Senhas muito

Gostou deste artigo?


Veja este artigo em nosso site: http://www.lnm.com.br/admin/article/7498 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

VOC PEDIU, NS ATENDEMOS!


Assinatura de um ano da Linux Magazine em verso digital (PDF) por um preo imperdvel! Apenas

R$

50

,00

Garanta j a sua, por tempo limitado!


Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

37

SEGURANA

Continuidade de negcios para empresas

Primeiros socorros
O ShadowProtect da StorageCraft uma alternativa de baixo custo para administradores Windows de SAN e clusters, com fcil restaurao de servidor quando h falha de hardware.
por Thomas Zeller

or razes de custo, pequenas e mdias empresas muitas vezes dependem de um servidor Windows nico como infraestrutura de servidor. O servidor normalmente executado na plataforma Windows Server 2008 R2, no Small Business Server 2011 ou Windows Server 2008 R2 Foundation. Alm do Active Directory, o servidor geralmente suporta tambm servios de arquivos, email/groupware, SQL, ou servios de terminal. Alm disso, oferece suporte a um aplicativo de negcios, como um sistema de ERP ou outro programa especco. Normalmente, os dados so copiados para ta ou discos USB conectados diretamente ao servidor. As bases de dados tm a cpia de segurana feita com a utilizao de uma ferramenta de backup prossional. Outros consoles para tarefas de gesto por exemplo, para um software antivrus tambm esto geralmente hospedados no servidor.

Dependncias crescentes
O servidor e os aplicativos so, portanto, o sangue nas veias da infraestrutura de TI de uma empresa. A falha do servidor levar inevitavelmente perda de produtividade. Dependendo do negcio, as consequncias de uma falha no servidor podem ser ainda mais desagradveis por exemplo, se um mdico no tem acesso informao relevante em caso de emergncia ou se outros dados urgentes forem armazenados apenas em formato eletrnico e, portanto, no encontram-se disponveis. claro que os fabricantes de hardware oferecem acordos de garantia correspondentes ou pacotes de servios adicionais para proteger contra o risco de uma falha de hardware. Mas, em termos prticos, provvel que o usurio perca um ou dois dias at que um sistema substituto seja congurado, os reparos sejam feitos, e o sistema operacional e aplicativos sejam restaurados. Na maioria dos casos, uma falha de sistema desta durao no surportvel. Em outras palavras, as empresas precisam realizar um planejamento de desastre cuidadoso para restaurar rapidamente o acesso a aplicativos e dados.

Instalado e com funcionamento rpido


Os empresrios referem-se a estratgias de preveno de desastres ou perdas como a "gesto de continuidade de negcios". Segundo a Wikipdia [1], o objetivo da gesto de continuidade de negcios estabelecer "um roteiro
www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Figura 1 O servidor ShadowProtect fornece um assistente conveniente para ajudar a congurar os backups.

38

Continuidade de negcios para empresas

Continuidade de negcios
Um servidor completamente redundante seria o projeto perfeito para gesto de continuidade, mas isto algo raramente observado em um ambiente de produo por conta do custo. Graas ao programa de imagem de disco ShadowProtect da produtora de sofware StorageCraft [2], os administradores podem regularmente criar uma imagem completa de servidores Windows e guard-la no armazenamento anexado rede. Quando necessrio, a imagem do servidor pode ser carregada em substituies de hardware (disponvel em curto prazo por meio de um processo de restaurao independente do hardware [HIR]) ou at mesmo ser inicializada em um ambiente virtual. Este recurso de inicializao virtual perfeito para pequenas empresas e permite que os administradores inicializem uma imagem ShadowProtect diretamente no ambiente VirtualBox [3], sem necessidade de converso do formato. Para o cenrio de teste, escolhemos um cliente Windows poderoso, no qual tambm instalamos o VirtualBox. Para mais detalhes sobre a congurao de teste, consulte o quadro 1.

Como preparar o servidor


Para criar uma imagem de backup do servidor Windows, preciso usar o Shadow Protect Server Edition V.4 da StorageCraft (quadro 2). O fabricante oferece todos seus produtos por um perodo experimental gratuito de 30 dias [4]. Se assumirmos que seu hardware do servidor seja relativamente recente, a instalao levar alguns segundos, embora seja necessrio reinici-lo quando nalizar a tarefa. Para continuar a trabalhar com a cpia mais recente dos dados, denimos um backup dirio completo com vrios backups incrementais a cada dia. O intervalo mais curto admissvel entre dois backups incrementais de 15 minutos. Em um caso ideal, iramos perder no mximo um quarto de hora de trabalho antes de o servidor ser religado no ambiente virtual.

Denio de tarefa
Para criar a tarefa de backup, primeiro preciso executar o Shadow Protect Server Edition
Admin Magazine #7 | Setembro de 2012

Figura 2 O recurso VirtualBoot do ShadowProtect Desktop ca no menu do boto direito do mouse no Windows Explorer durante a instalao. Em caso de colapso, o usurio pode clicar com o boto direito do mouse para criar um servidor virtual a partir de uma imagem.

39

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

SEGURANA

para operaes contnuas em condies adversas", qual seja, a interrupo por riscos naturais ou provocados pelo homem. Em falhas de um nico servidor para pequenas e mdias empresas, essa gesto uma questo de restaurar os servios de emergncia para dados e aplicativos dentro do menor tempo possvel.

no servidor e, em seguida, seguir para a aba Destinations. O nico diretrio-alvo em potencial nesta janela um compartilhamento do tipo Network por exemplo, sob a forma de uma unidade de rede em um servidor NAS. Para ser capaz de inicializar o servidor em ambiente virtual em um momento posterior, o host de virtualizao dever acessar o arquivo de imagem em toda a rede. Alm disso, a tarefa de backup precisa continuar a trabalhar quando o servidor for executado no ambiente virtual em uma situao de emergncia. O prximo passo clicar na aba Backup Jobs e selecionar o boto New para iniciar o assistente (gura 1). Selecione as unidades e parties para backup, e no agendamento de backup dena os dias e horrios em que ser criado um backup completo; de preferncia, este dever ser realizado fora do horrio comercial para a convenincia dos usurios do sistema. Alm disso, dependendo da velocidade da rede disponvel e do volume de dados necessrios para o backup, ser preciso denir uma janela de tempo sucientemente grande para o backup completo. No cenrio de teste, denimos um agendamento de backup com as seguintes conguraes:

Continuidade de negcios para empresas

Figura 3 Aps o ShadowProtect criar a mquina virtual, o usurio precisa modicar a quantidade de RAM disponvel para a mquina virtual e o sistema operacional instalado. O servidor ir, ento, iniciar no ambiente virtual sem nenhum problema.

.spf do arquivo; backups incrementais so identicados pela extenso .spi. Alm disso, o ShadowProtect armazena um MD5 no mesmo diretrio para cada arquivo de backup. Armado com essas conguraes, o servidor diligentemente grava dados de backup no compartilhamento de rede NAS. So raros os casos em que o ShadowProtect incapaz de escrever em compartilhamentos de rede. Quando este problema ocorre, o suporte da StorageCraft recomenda parar o servio ShadowProtect no gerenciador de servios do Windows e alterar a conta com a qual o servio executado para uma conta com privilgios de administrador local e permisses de gravao no compartilhamento. Na denio de tarefas de backup, preciso vericar a opo Open connection with ShadowProtect service login credentials em Destination.

Agendamento: semanal Backup completo dirio: de segunda a sexta-feira s 20h Backup incremental dirio: de segunda a sexta-feira das 8h s 18h com 30 minutos entre backups Estas conguraes criam 22 imagens por dia (um backup completo e 21 backups incrementais) no NAS. Os backups completos so facilmente identicveis pela extenso

Desktop PC como um host de virtualizao


No caso de uma falha de hardware, obviamente desejamos que o servidor esteja online novamente o mais rpido possvel. O ShadowProtect baseia-se na tecnologia de boot virtual para atender a este requisito, e graas ao VirtualBox os backups completos e incrementais criados pelo servidor ShadowProtect so carregados diretamente em um ambiente virtual. No cenrio de teste, vamos usar uma estao de trabalho PC mais potente com o Windows 7 Professional. Alm do VirtualBox da Oracle, o computador tambm precisa da Edio Desktop do ShadowProtect. Este requisito uma armadilha potencial, j que as verses do ShadowProtect e do VirtualBox devem ser compatveis. A ltima verso do VirtualBox geralmente no suportada pelo ShadowProtect. A StorageCraft publica regularmente uma lista das verses com suporte [5]. Para mais informaes, veja o quadro 3 e o quadro 4. Tambm precisamos instalar o pacote de extenso para coincidir com a verso do VirtualBox. O pacote de extenso permite que o VirtualBox tenha a capacidade de acessar dispositivos USB 2.0 conectados ao host e, assim, executar o backup em discos USB no ambiente virtual.

Quadro 1: Cenrio de teste


O cenrio de teste compreende uma pequena rede com um nico servidor Windows 2008 R2 e 10 estaes de trabalho PC. O servidor tem uma nica CPU e 4GB de RAM e atua como o controlador de domnio do Active Directory, servidor de arquivos e de impresso. O groupware o SmarterMail [8], e a alternativa livre o Exchange para pequenas empresas. Para oferecer suporte a acesso mvel (atravs de um rewall dedicado com um servidor VPN), o servidor fornece servios de terminal. Para backups regulares dos dados no servidor em discos USB, conguramos uma tarefa de backup com a ferramenta de backup embutida no servidor Windows. Nosso candidato para a operao de emergncia do servidor no VirtualBox um Windows 7 Professional Workstation na rede com desempenho mdio do hardware.

Quadro 2: Edies e preos


O ShadowProtect distribudo principalmente por integradores de sistemas. Os consumidores podem comprar os trs produtos ShadowProtect mais importantes pela loja online da StorageCraft: StorageCraft ShadowProtect Desktop Edition: US$ 89,95 StorageCraft ShadowProtect SBS Edition: US$ 495 StorageCraft ShadowProtect Server Edition: US$ 995

Como criar uma mquina virtual com o VirtualBoot


Ao assumir que os requisitos do sistema foram preenchidos, agora poderemos utilizar a estao de trabalho como um servidor proviwww.admin-magazine.com.br

40

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Continuidade de negcios para empresas

srio caso falhe o hardware do servidor principal. A StorageCraft fornece as instrues para iniciar a mquina virtual com o VirtualBoot [6]. As descries seguintes so, portanto, especcas para o nosso cenrio de teste, ao invs de uma situao genrica. Para iniciar a imagem ShadowProtect no VirtualBox como uma mquina virtual, siga estes passos: no Windows Explorer, conecte-se ao compartilhamento NAS com os backups do servidor ShadowProtect. Em seguida, clique com o boto direito no ltimo backup incremental (arquivo SPI), e selecione VirtualBoot no menu suspenso para iniciar o assistente VirtualBoot (gura 2). O ShadowProtect funciona de uma forma orientada a setor e, assim, automaticamente usa todos os backups incrementais e completos anteriores que forem necessrios para executar o servidor no ambiente virtual. Se o usurio possuir, por exemplo, um backup completo e cinco backups incrementais, poder selecionar o ltimo backup incremental; o ShadowProtect automaticamente usa os quatro backups incrementais criados anteriormente, bem como o backup original completo. Na prxima etapa, verique se o sistema operacional correto est denido no assistente e, em seguida, atribua a mesma quantidade de memria para a mquina virtual da mesma forma como estava presente na mquina fsica. Agora desmarque a opo Automatically start the new virtual machine after creating it; este passo permite que o usurio verique todas as novas conguraes da mquina virtual antes de tentar inicializar (gura 3). O adaptador de rede est congurado para NAT como padro por razes de segurana. O VirtualBoot cria agora a mquina virtual no VirtualBox. O prximo passo iniciar o gerenciador do VirtualBox e editar as conguraes da mquina virtual em Change. Em General, altere o sistema operacional instalado novamente, se necessrio, e desabilite o drive de disquetes em System a menos que seu servidor fsico realmente tenha uma unidade de disquete. Em Network, altere a congurao do adaptador de rede de NAT para Network Bridge para permitir aos clientes efetuarem login no controlador de domnio virtual do servidor substituto. Um passo importante a ser tomado permitir apenas a bridge de rede em caso de desastre ou seja, se o controlador de domnio fsico realmente falhar. Para ns de teste, mantenha a congurao padro NAT. Em
Admin Magazine #7 | Setembro de 2012

System/Processor, desmarque a opo Enable PAE/X para o funcionamento de um host virtual do Windows 2008. A opo hardware de virtualizao VT-x/AMD-V precisa estar habilitada em acelerao. Se o usurio possui um processador Intel, poder tambm desmarcar a opo Nested Paging, que s relevante para os processadores da AMD.

Quadro 3: Caos de verses


O desenvolvimento do VirtualBox prossegue rapidamente, com novas verses publicadas quase todas as semanas. As verses mais recentes no so compatveis com o ShadowProtect. Assim, preciso ter certeza de que se opera com a verso correta do VirtualBox para obter suporte verso ShadowProtect Desktop utilizada pelo usurio. A StorageCraft publica as verses aprovadas regularmente no repositrio online [5]. L, o usurio tambm ir encontrar links para baixar as verses corretas do VirtualBox. Alis, a verso popular 4.0.0 do VirtualBox no compatvel com o ShadowProtect. Em janeiro de 2012, as seguintes combinaes eram ento suportadas: ShadowProtect 4.0.1: Oracle VirtualBox 3.1.03.2. 6 ShadowProtect 4.0.5: Oracle VirtualBox 3.1.03.2.12 ShadowProtect 4.1: Oracle VirtualBox 3.1.04.0.4 ShadowProtect 4.1.5.10129: Oracle Virtual-Box 3.1.04.0.6 ShadowProtect 4.2.0.13499: Oracle Virtual-Box 3.1.04.1.6

Quadro 4: Requisitos de sistema para o host


No se pode usar qualquer hardware antigo para operaes provisrias com a tecnologia VirtualBoot. O host no qual o VirtualBox est instalado deve ser uma mquina fsica e no um servidor Microsoft Hyper-V, Citrix Xen, ou VMware, todos ao mesmo tempo. Se o usurio deseja executar convidados de 64-bit no VirtualBoot, o prprio host precisa executar uma verso de 64 bits do Windows. Se o sistema operacional hospedeiro um servidor Windows, e no for permitido utilizar a funo Hyper-V instalada, neste caso no ser possvel lanar mquinas virtuais no VirtualBox. O computador precisa de, pelo menos, 4GB de RAM e um CPU dual-core (por exemplo, um Xeon Intel ou um AMD CPU comparvel) e deve suportar extenses VT-x ou AMD-V, que ser o caso dos PCs mais recentes. Note que a extenso VT-x ou AMD-V em muitos casos precisa ser habilitada na BIOS. necessrio tambm um controlador de disco rgido rpido porque o VirtualBoot cria um arquivo de backup incremental (SPI) que grava em um disco rgido virtual em formato VDI, criando assim uma boa quantidade de carga de entrada e sada de dados nos discos. A StorageCraft recomenda o uso de um controlador de disco rgido diferente para o destino do backup de arquivos do ShadowProtect. O requisito mnimo para o host, de acordo com a StorageCraft, o Windows 7 Professional de 64 bits. No entanto, esta plataforma s til para testes ou redes muito pequenas porque a Microsoft s permite 10 conexes simultneas de rede para sistemas operacionais Windows. O ideal que o sistema operacional do host seja o Windows 2008 R2 64 bits Server.

41

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

SEGURANA

Continuidade de negcios para empresas

Rufem os tambores, por favor


Em seguida, inicie a mquina virtual. Clique na janela do console e pressione [F8] para inicializar o sistema operacional. Abra a central de rede e compartilhamento e certique-se de que o local de rede esteja denido para Work network e que a Network identication e o File and printer sharing estejam ativados. Finalmente, no gerenciador de servios, desative todos os servios OEM existentes, tais como Symantec Backup Exec ou HP Networking. Se estes servios no conseguem encontrar os dispositivos relacionados no ambiente virtual, experimente uma carga da CPU muito alta em alguns casos. Na pior das hipteses, chega a demorar uma hora para fazer logon no controlador de domnio.

Agora aplique as conguraes modicadas e reinicie o servidor; aps a reinicializao, os clientes podem agora fazer logon no servidor virtual e utilizar imediatamente seus servios.

O caminho de volta
Com o VirtualBoot, possvel manter a interrupo aps uma falha de hardware a um mnimo. O ShadowProtect continua a produzir backups completos e incrementais no servidor virtual, dando permisses de gravao para o compartilhamento de rede NAS, com a garantia de operaes consistentes. Para migrar de volta depois de reparar o sistema que falhou ou substitu-lo com algum hardware novo, o ShadowProtect oferece o recurso Headstart Restore, outro mecanismo inteligente que ajuda a restaurar ou migrar um sistema. Quatro cenrios bsicos so suportados: Fsico para fsico (Physical to Physical [P2P]) Fsico para virtual (Physical to Virtual [P2V]) Virtual para virtual (Virtual to Virtual [V2V]) Virtual para fsico (Virtual to Physical [V2P]) Para migrar de volta para o hardware fsico em um cenrio VirtualBoot, o usurio precisa do modo V2P. O servidor virtual no est disponvel durante a migrao inversa. Este poderia ser um problema se o usurio armazenar grandes quantidades de dados no servidor, pois migrar de voltar/restaurar levaria um bom tempo para copiar os dados. Restaurar um servidor com 1TB de dados pode levar vrias horas, ou mesmo um dia inteiro. Assim, o Headstart Restore fornece ao usurio a opo adicional de comear uma restaurao, mas no naliz-la. possvel continuar a executar o servidor virtual durante a restaurao e continuar a criar backups diferenciais. No desligue o servidor virtual at que a maior parte dos dados seja restaurado. Restaure, ento, os backups incrementais faltantes, nalize o disco e inicialize o host fsico. Para a instruo completa de como faz-lo, consulte o site do StorageCraft [7]. (Para mais dicas, consulte o quadro 5).

Quadro 5: S excluiu um arquivo?


O ShadowProtect Desktop pode montar o arquivo de imagem criado com a verso do servidor atravs do menu direito no Windows Explorer. Este passo fornece ao usurio uma opo para restaurar objetos individuais de uma imagem sem passar por um processo de restaurao completo. Para fazer isso, clique com o boto direito do mouse em um arquivo de imagem e selecione Mount (isso inicia um assistente que permite atribuir uma letra de unidade para a imagem), ou Quickmount (que atribui automaticamente uma letra de unidade e abre o arquivo diretamente no Windows Explorer).

Mais informaes
[1] Denio de BCM: http://en.wikipedia. org/wiki/Business_continuity_planning [2] StorageCraft: http://www.storagecraft.com.br/ [3] VirtualBox: http://www.virtualbox.org/ [4] ShadowProtect downloads: http://www. storagecraft.com.br/shadowprotectbackup-software-downloads [5] Verses do VirtualBox com suporte: http://support.storagecraft.eu/ kb_details.aspx?id=KB10152 [6] VirtualBoot: http://www.storagecraft. eu/leadmin/Website.eu/Documents/ EN/Support_and_Downloads/Best_ Practices/ShadowProtect%20 VirtualBoot%20Technology%20EN.pdf [7] Documentao da StorageCraft: http:// support.storagecraft.com/book/ storagecraft-documentation [8] SmarterMail: http://www.smartertools.com/ smartermail/mail-server-software.aspx

Concluso
A tecnologia VirtualBoot da StorageCraft e o VirtualBox oferecem a pequenas e mdias empresas a capacidade de cumprir com requisitos de alta disponibilidade, apesar de um oramento de hardware restrito. As imagens virtuais so perfeitas para uma abordagem descomplicada de como restaurar arquivos individuais ou ainda para congurar um servidor virtual substituto completo dentro de alguns minutos.
www.admin-magazine.com.br

Gostou deste artigo?


Veja este artigo em nosso site: http://www.lnm.com.br/admin/article/7469 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

42

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Bloqueio de aplicativos na rede

Bloqueio inteligente
Aprenda como utilizar o AppLocker em redes com Windows Server 2008 R2 e Windows 7 e crie polticas para bloquear aplicativos individualmente, impedindo que usurios utilizem programas no permitidos contrabandeados atravs de pendrives ou emails.
por Thomas Joos

esmo quando usurios no possuem privilgios administrativos, ainda podem utilizar uma innidade de programas que no constam das polticas de segurana de uma empresa sem problemas, pois estes programas possuem os mesmos privilgios que os usurios. O problema que alguns destes programas podem transferir dados empresariais para a Internet. Devido a isso, faz sentido restringir o grau de liberdade desfrutado por estes usurios. Para esta nalidade, uma boa sugesto de produto para eliminar este problema o AppLocker (gura 1). Para execut-lo, o usurio deve possuir o Windows 7 Enterprise e o Ultimate Edition no computador cliente. O AppLocker est disponvel tambm nas edies Standard, Enterprise e Datacenter do Windows Server 2008 R2. A abordagem envolve a criao de polticas que so aplicadas automaticamente aos clientes do Windows 7. Sistemas operacionais que so incompatveis com o AppLocker simplesmente ignoram as polticas. No h perigo de desativar mquinas s porque o sistema operacional no entende as polticas do AppLocker. O programa tambm suporta listas brancas, listas negras e combinaes de regras. Pode bloquear aplicativos e mesmo arquivos DLL individuais em casos especiais, incluindo a capacidade de distinguir entre programa e verses DLL. O AppLocker tambm pode criar polticas automticas e monitorar diretrios especcos para novos programas. Alm de polticas de grupo, possvel ltrar por grupos de segurana e tambm controlar o AppLocker com o PowerShell (gura 2).

Para isso, execute o comando:


import-module applocker

Se deseja obter uma lista dos comandos disponveis, digite:


get-command *applocker*

A Microsoft oferece vrios documentos que ajudam a planejar e implementar polticas do AppLocker [1]. A Microsoft TechNet oferece tutoriais sobre o assunto [2], E o WindowsSecurity.com [3] tambm fornece um vdeo explicativo sobre como congurar seu ambiente.

Criar polticas de grupo


Congurar a criao de polticas de grupo um processo feito em duas etapas: primeiro necessrio criar uma poltica e em seguida orden-la s regras do AppLocker. Uma poltica criada como outra qualquer: para criar um novo objeto de diretiva de grupo (GPO), inicie o Group Policy Management Console (GPMC), clique com o boto direito sobre o Group Policy Object no GPMC, e selecione o item New no menu de contexto. Aps criar a poltica, vincule-a unidade organizacional (OU) ou de domnio para aplicar as conguraes. Para ltr-las de acordo com as regras do AppLocker, utilize os grupos de segurana em Computer Conguration/ Policies/Windows Settings/Security Settings/ Application Control Policies; em seguida clique em AppLocker e crie as regras. A ferramenta Executable Rules onde o usurio cria regras para programas com extenses .exe e .com. O instalador controla o modo sobre como os arquivos de instalao (.msi and .msp) so

Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

43

NETWORK

Bloqueio de aplicativos na rede

Criar regras no AppLocker


Um bom lugar para comear com o AppLocker com as regras executveis, que permitem que programas especcos sejam bloqueados, ou ento, verses especcas do programa. Para fazer isso, v at Computer Conguration/Policies/ Windows Settings/Security Settings/Application Control Policies, clique em AppLocker, e ento clique com o boto direito em Executable Rules. No menu drop-down, selecione Create New Rule e ento v para o item Permissions para denir se a regra vai permitir ou negar aplicativos. No menu drop-down, selecione o grupo para o qual a regra est sendo aplicada. Na prxima pgina, especique as condies para bloquear os programas, tais como: Publisher: esta seleo permite bloquear aplicativos com base em seus certicados, o que signica que estes devem estar assinados digitalmente. Este , frequentemente, o caso de empresas que no possuem determinado software autorizado como padro em suas polticas, embora esta opo no seja til para aplicativos programados pelo prprio usurio e no assinados digitalmente (gura 3). Path: a seleo Path faz referncia aos programas presentes em um determinado diretrio. Os usurios ainda podem mover programas para fora do diretrio, desta forma, a regra no se aplicar mais. File hash: esta seleo est associada impresso digital do arquivo, que muda a cada nova verso e atualizao. O usurio precisa modicar a regra para cada alterao do programa. As outras janelas dependem das opes de ltros. Comece por utilizar um programa de referncia do fabricante escolhido para ltrar os demais programas. Em seguida, use os controles deslizantes para denir as conguraes da verso do programa que deseja gerenciar. Tambm existe a opo de bloqueios de verses individuais, ou quem sabe indesejveis (como uma verso com problemas de segurana, por exemplo). Para isso, habilite a opo Use custom values para denir at ou a partir de quais regras os programas sero afetados. As outras telas do assistente permitem escolher ou no excees para uma determinada regra. Claro que, a qualquer momento, o usurio pode modicar as regras retroativamente em caso de necessidade. Depois, poder criar todas as outras regras que desejar adicionar ao GPO. Depois de concluir o preenchimento das regras no GPO, vincule-o a uma unidade organizacional (OU) ou domnio. Os computadores
www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Figura 1 O AppLocker permite restringir a capacidade de executar programas em redes corporativas.

executados. Regras de script so teis para arquivos com extenses .js, .ps1, .vbs, .cmd, e .bat. Podemos combinar regras e determinar se ela permitir ou bloquear um ou vrios programas. Para cada regra, possvel ainda denir excees para programas especcos. Regras de negao tm prioridade sobre regras permitidas. Se for negada a execuo do programa, no ser possvel criar uma regra que oferea a um grupo especco a capacidade de execut-lo. Neste caso, preciso congurar o ltro relacionado para evitar restries a todos os usurios. O AppLocker suporta grupos do Active Directory para permitir que o usurio possa fazer isso. Quando criar uma regra nova no AppLocker, poder atribu-la a um grupo de usurios. Depois, ser possvel tambm controlar a execuo do programa com a ajuda de membros do grupo sem a necessidade de criar uma nova regra ou modicar uma regra j existente.

Figura 2 Gerenciamento do AppLocker com o PowerShell.

44

Bloqueio de aplicativos na rede

em seguida aplicaro a poltica e implementaro as regras denidas. A melhor maneira de testar se as polticas do AppLocker esto corretamente implementadas reiniciar a mquina ou digitar o comando gpupdate /force em um prompt de comando executado como administrador. Para uma anlise mais avanada do uso de uma poltica AppLocker, baixe a ferramenta Group Policy Help do site da SDMSoftware [4]. Depois de instal-la, digite:
Get-SDMGPHealth -computer Computername

para vericar se as polticas de grupo funcionam. Esta ferramenta oferece uma abordagem para evitar problemas com regras do AppLocker por conta de polticas de grupo aplicadas de maneira incorreta. Depois de instalar a ferramenta, registre um comando DLL. Para isso, abra uma janela de texto e navegue por C:\Windows\Microsoft.NET\ Framework64\v2.0.50727. Se usar um sistema 32-bit, altere o diretrio para C:\Windows\ Microsoft.NET\Framework e digite o comando:
installutil "c:\Program Files (x86)\SDM Software\Group Policy Health CMDlet\GetSdmGPHealth.dll"

Figura 3 Os programas podem ser ltrados por fabricante.

Note que o usurio deve ser o administrador para executar o comando com sucesso no prompt. Em seguida, execute o Launch PowerShell with GP Health Snap-In localizado sobre o grupo de programas SDM Software, no menu Iniciar. O diretrio C:\Program Files(x86)\SDM Software\Group Policy Health Cmdlet contm um arquivo de ajuda para o CMDlet. O comando Get-SDMGP-Health usado anteriormente retorna o status do computador e as polticas que implementa. Certique-se de que a poltica do AppLocker seja aplicada. Se uma regra no funcionar, no se trata de um problema com a poltica, mas sim da regra associada quando o computador de destino a aplica (gura 4).

Regras automatizadas
O AppLocker tambm pode ser habilitado para gerar regras automaticamente. Para fazer isso, especique um diretrio onde sero procurados novos programas e adicionadas essas regras. Para criar uma regra automtica, clique com o boto direito do mouse em Executable Rules e selecione Automatically Generate Rules. Dena no assistente o diretrio no qual deseja que o AppLocker integre a regra e o grupo de usurio para o qual a regra se aplica.
Admin Magazine #7 | Setembro de 2012

Em seguida, selecione a base sobre a qual o AppLocker criar as regras. Aqui, novamente, o usurio pode escolher entre Publisher, File hash e Path. Arquivos semelhantes tambm podem ser agrupados em regras compartilhadas. O assistente, ento, cria regras de permisso para o programa que encontra. E o usurio pode editar estas regras retroativamente, se necessrio. Clique no AppLocker no lado esquerdo do painel do console, e no lado direito decida como o programa deve tratar os computadores clientes. Para fazer isso, selecione Congure Rule Enforcement; e habilite as opes Enforce rules ou Audit only. No modo Audit, o AppLocker no aplica as regras, mas simplesmente monitora os aplicativos afetados por elas. Encontre as entradas no log de eventos abaixo de Applications and Services Logs/Microsoft/AppLocker. A aba Advanced permite ativar as regras de DLL. Aps ativ-las, o painel do lado esquerdo no console oferece a opo DLL Rules. Aqui, possvel criar regras do AppLocker com base em arquivos DLL; no entanto, recomenda-se evitar o uso desta opo at que tenha sido criada uma infraestrutura AppLocker na empresa. Regras DLL so criadas da mesma maneira que as regras executveis. A diferena que no selecionamos arquivos com extenses .com ou .exe, mas arquivos DLL aos quais a regra se aplica. O usurio, se desejar, pode bloquear verses especcas, permiti-las ou ltr-las, assim como acontece com as regras executveis. Filtrar arquivos DLL pode desacelerar de forma considervel um computa-

45

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

NETWORK

Bloqueio de aplicativos na rede

refa que requer privilgios de administrador, uma janela de conrmar/autorizar exibida caso o usurio esteja logado como usurio padro em uma estao de trabalho. Novamente, este recurso oferece uma abordagem potencial para bloqueio de aplicativos.

BitLocker
Figura 4 Vericao de um computador para as polticas de grupo aplicadas.

dor cliente e, inadvertidamente, bloquear um grande nmero de aplicativos.

Pendrives
Alm do AppLocker, as polticas de grupo oferecem outras abordagens para impedir que os usurios executem programas, melhorando a segurana. Aqui, novamente, so necessrias as polticas de grupo. No Windows Server 2008 R2, Windows Vista e Windows 7, podemos usar polticas de grupo para impedir o acesso a mdias removveis, como pendrives. A poltica para o gerenciamento de mdia removvel est disponvel tanto na congurao do computador como na congurao do usurio. As conguraes para acesso mdia removvel esto localizadas em Computer Conguration/Policies/Administrative Templates System/Removable Storage Access. As conguraes para esta poltica so autoexplicativas. Quando o usurio acessa uma poltica, depara-se com a opo Explanation, que por sua vez fornece uma exaustiva explicao de seus efeitos. Algumas ferramentas de gravao de mdias podem no levar em conta as denies de polticas para acesso de escrita em CDs ou DVDs. Se quiser evitar gravao de CDs e DVDs, basta impedir a instalao de dispositivos de gravao de DVD ou CD na poltica correspondente. As conguraes gerais para instalao do dispositivo esto localizadas em Computer Conguration/Administrative Templates/System/Device Installation/Device Installation Restrictions. Isso garante uma abordagem de preveno a acesso de pendrives no autorizados por parte do usurio.

No Windows 7, podemos criptografar discos rgidos e pendrives com o BitLocker. Para que isto funcione, precisamos instalar o mdulo de segurana TPM no PC. Para sermos capazes de usar a criptograa de disco rgido, podemos modicar tambm a denio de poltica de grupo. Neste caso, precisaremos conectar um dispositivo USB ao computador. Na rvore do Group Policy Editor siga para Computer Conguration/(Policies)/Administrative Templates/Windows Components/BitLocker Drive Encryption/Operating System Drives. Clique duas vezes em Require additional authentication at startup. Clientes do Windows Vista ou Windows Server 2008 possuem uma poltica separada que precisa ser habilitada para isso. Na caixa de dilogo, selecione a opo Enabled, certique-se de que o Allow BitLocker without compatibles TPM esteja ativado e pressione OK. A poltica, ento, assume um status de ativada.

Monitoramento de acesso do sistema de arquivos


O usurio tambm poder utilizar polticas para monitorar o acesso a arquivos ou programas em computadores ou servidores de arquivos. Basta abrir a poltica local ou de grupo do computador e navegar at Computer Conguration/Windows Settings/Security Settings/Local Policies/Audit Policy. Para ativar o monitoramento de acesso do sistema de arquivos, selecione a opo Audit object access. Depois de habilit-lo, podemos escolher se desejamos registrar tentativas de acesso com sucesso ou falha. Aps ativar a auditoria, necessrio habilitar o monitoramento dos arquivos e diretrios individuais. Para isso, acesse as propriedades do objeto (ou seja, o diretrio onde esto localizados os dados) e pressione o boto Advanced na guia Security. Na guia Auditing, podemos visualizar quais operaes j esto logadas. Para um uso signicativo dos arquivos de log de auditoria, uma boa ideia restringir o que se deseja auditar a um mnimo possvel.
www.admin-magazine.com.br

Gesto de conta de usurios


Podemos usar polticas de grupo para gerenciar contas de usurio em uma rede corporativa. As conguraes esto localizadas em Computer Conguration/Policies/Windows Settings/Security Settings/Local Policies/Security Options. Quando um usurio executa uma ta-

46

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Bloqueio de aplicativos na rede

Selecionar Add permite especicar os detalhes de auditoria. Assim como com as permisses NTFS, o princpio de herana se aplica aqui, mas possvel desativ-lo se necessrio. Depois de pressionar Add, selecione Edit para escolher os usurios ou grupos de auditoria. E, assim como na atribuio de privilgios especiais NTFS, podemos especicar em que medida estas conguraes se aplicam a objetos subordinados e diretrios. Em seguida, no campo Access, selecione qual acesso est logado e o registro a tentativas de acesso com sucesso ou falha. Logs de auditoria esto disponveis no log de eventos. Digite eventvwr.msc e inicie o console de gerenciamento. O log de eventos mostra as tentativas de acesso registrados no log de segurana. As entradas com um cone de chave inglesa representam tentativas de acesso bem sucedidas, enquanto as entradas com um cadeado denotam tentativas de acesso fracassadas. Para informaes mais detalhadas, o usurio deve abrir cada item. Uma tentativa de acesso nico cria uma srie de entradas no log de segurana.

Figura 5 possvel usar o prprio programa de congurao do iPhone para congurar o BitLocker.

Congurao do iPhone
Aplicativos em smartphones, como o iPhone, tambm podem ser bloqueados via AppLocker. Esta abordagem permite que as empresas impeam de forma convel a instalao de aplicativos em suas dependncias. Em combinao com as polticas do ActiveSync no Exchange Server 2007/2010, os administradores podem usar o programa de congurao do iPhone para congurar dispositivos iOS. A Apple explica o uso desta ferramenta e oferece dicas de implementao em uma pgina especca, que pode ser acessada atravs do programa de congurao do iPhone [5]. Os administradores podem usar o programa de congurao para criar vrios pers com denies predeterminadas. Os pers assumem a forma de arquivos XML que denem as conguraes do iPhone e contemplam conguraes de usurios normalmente denidos diretamente no aparelho. Uma interface grca est disponvel para a congurao geral. Conguraes denidas pelos administradores atravs de um perl de congurao no podem ser editadas manualmente no iPhone/iPad. A ferramenta tambm permite ocultar ou desativar vrias sees do iPhone e dos aplicativos instalados. Para fazer isso, os administradores podem ocultar os cones de programas no
Admin Magazine #7 | Setembro de 2012

dispositivo mvel e prevenir que o usurio instale aplicativos atravs da App Store. A rea Restrictions contm todas as restries que permitem desabilitar sees individuais do dispositivo mvel. Restries e conguraes podem ser armazenadas em pers separados ou em um perl compartilhado e so implementadas como um perl de congurao como em qualquer outra denio. Os pers so criados atravs da aba Conguration proles (gura 5). Pressione New para orientar o programa de congurao a criar um perl. Na rea superior General, atribua um nome para o perl e siga o caminho atravs das vrias conguraes. A capacidade de denir as conguraes Exchange, de certicados e de acesso WLAN, particularmente interessante para grandes corporaes.

Mais informaes
[1] Polticas do AppLocker: http://www.microsoft. com/en-US/Download/details.aspx?id=13431 [2] Manuais TechNet: http://technet.microsoft. com/pt-br/library/dd723686(v=ws.10).aspx [3] Video do AppLocker: http://www. windowsecurity.com/articles/VideoAppLocker-Tips-Tricks.html [4] SDMSoftware: http://www.sdmsoftware. com/products/freeware/ [5] Programa de congurao para iPhone: https:// www.apple.com/support/iphone/enterprise/

Gostou deste artigo?


Veja este artigo em nosso site: http://www.lnm.com.br/admin/article/7557 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

47

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

NETWORK

Benefcios do Cygwin

Ateno com a distncia


Administradores Windows: expanda seus horizontes com comandos Unix atravs do Cygwin. Vamos mostrar como usar a extensa lista de utilitrios Unix da ferramenta para criar scripts, realizar manuteno, gerar compatibilidade e automao.
por Ken Hess

e voc trabalha em um grande parque computacional, provavelmente ter de lidar com sistemas Windows, e Unix, e alguns desses sistemas heterogneos podem estar sob a sua jurisdio administrativa direta. Se voc estiver usando a tecnologia de virtualizao como um administrador do Windows, provavelmente est usando Linux quer voc saiba ou no. A exceo seria o Hyper-V: possvel, embora no provvel, que voc trabalhe em um escritrio somente com mquinas

Figura 1 A pgina inicial do assistente do Cygwin.

Windows. Se, como 99% das pessoas, voc trabalha em um ambiente heterogneo, em algum ponto voc provavelmente vai querer expandir suas habilidades incluindo o Linux ou o Unix em sua rede. O Cygwin a resposta para preencher essa lacuna de uma forma indolor. O Cygwin um poderoso conjunto de ferramentas Linux e Unix (*nix), mas o seu poder real vem da capacidade de transformar seu ambiente heterogneo em algo mais homogneo. Mesmo que as ferramentas estejam disponveis de modo que voc possa adicionar sistemas *nix para torn-los compatveis com o Windows, o Cygwin cria um verdadeiro sistema hbrido Windows/*nix. Para solues usando scripts, o Cygwin inclui um conjunto rico de ferramentas de linha de comando, mas tambm tem a capacidade de usar interface grca atravs de seus utilitrios para o X Window. Neste artigo, vou orient-lo atravs da instalao e apresent-lo ao uso do Cygwin, para que voc possa aprimorar suas habilidades em Linux e Unix e expandir a sua capacidade e conhecimento no mundo *nix. Vou mostrar a seguir uma viso geral do Cygwin e suas caractersticas principais.
www.admin-magazine.com.br

48

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Benefcios do Cygwin

Preparando-se para Cygwin


Antes de baixar e instalar o Cygwin, sugiro que voc verique o espao disponvel em seu drive C: (ou unidade do sistema), pois uma instalao completa do Cygwin consome 1 GB ou mais de espao. O local de instalao padro C:, mas voc pode mudar isso durante o processo de instalao. Se decidir instalar em um local alternativo, tambm ter que vericar o espao disponvel l. Alm disso, voc vai precisar de algum espao temporrio para baixar os arquivos do Cygwin e executar a instalao. Para a instalao que ser feita para este artigo, o espao necessrio foi de aproximadamente 300MB e pouco menos de 100MB para o espao na rea temporria. Mantenha o diretrio de rea temporria intacto para futuras instalaes e personalizaes. O consumo de disco para esses arquivos mnimo comparado com o tamanho da instalao nal.

Figura 2 As opes para o local da instalao.

Instalao do Cygwin
No sistema em que voc deseja instalar o Cygwin, abra o navegador e v para a pgina inicial do Cygwin [1]. Role a pgina at ver um atalho para o arquivo setup.exe e clique no link para iniciar o assistente de instalao. O assistente comea com uma tela informativa (gura 1). Observe a ltima frase na tela que diz: Voc sempre pode executar este programa a qualquer momento no futuro, para adicionar, remover ou atualizar pacotes quando necessrio.(You can always run this program at any time in the future to add, remove or upgrade packages as necessary.). Clicar em Next para continuar abre a tela da gura 2, que lhe d trs opes de instalao: Install from Internet, Download Without Installing, e Install from Local Directory. Se voc selecionar instalar a partir da Internet (recomendado), no deixe de ler a nota sobre os arquivos baixados que devem ser mantidos para uma futura reutilizao. Este o diretrio intermedirio a que me referi na sesso anterior. Clique em Next. Depois, voc pode selecionar o local em seu computador Windows para instalar o Cygwin. O local padro C:\Cygwin. AlAdmin Magazine #7 | Setembro de 2012

tere o local aqui, se voc deseja que os arquivos do Cygwin usem uma unidade ou pasta diferente. Alm disso, voc pode escolher se deseja permitir que todos os usurios do sistema usem o Cygwin ou se vai mant-lo privado. Aps clicar em Next, escolha o local do disco em que os arquivos compactados do Cygwin sero baixados e instalados. Eu uso sempre um diretrio temporrio, como E:\ Temp. Para continuar, clique em Next. Na prxima tela, voc deve selecionar a conexo com Internet atravs da qual voc vai baixar o Cygwin. Selees possveis so Direct Connection, Use Internet Explorer Proxy Settings, ou Use HTTP/FTP Proxy. Se voc selecionar proxy HTTP/FTP, tem que preencher as informaes de seu proxy e o nmero da porta. Em seguida, voc precisa selecionar um site de download da lista exibida na tela. Na gura 3, escolhi mirrors.xmission.com. Tente escolher um que est sicamente perto de voc ou que voc saiba que tem largura de banda de sobra, por conta da velocidade de down-

Figura 3 Escolha um site disponvel para download do Cygwin.

49

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

SOLUES

Embora no seja possvel ensinar comandos do Linux em um nico artigo, a inteno dar acesso a esta poderosa ferramenta como um ponto de partida para um estudo mais aprofundado.

Benefcios do Cygwin

Figura 4 Reveja os pacotes do Cygwin e edite a lista de

aplicativos que sero instalados.

load. Alm disso, possvel adicionar uma URL prpria, se possui um repositrio particular que gostaria de usar. Agora hora de selecionar os pacotes do Cygwin para a instalao. Conforme mostrado na gura 4, existe uma lista de categorias para escolher. Cada categoria tem uma lista padro de aplicativos prontos para instalar. Para expandir a lista e ver quais os pacotes instalado por padro, clique no (+) esquerda de cada categoria. Por exemplo, expandi a categoria Shells e selecionei bash e xterm na lista. Para tor-

nar um pacote disponvel para a instalao, clique no link Skip assim ele muda para mostrar um nmero de verso e uma caixa de seleo. Clicar na caixa de seleo seleciona o pacote. Estes dois pacotes so teis em uma instalao bsica. O Bash quase obrigatrio se voc quiser criar qualquer script. Alm disso, necessrio selecionar o pacote xinit da categoria X11 e o pacote openssh da categoria Net para uma instalao bsica funcional. Posteriormente, vou explicar como uma instalao completa do Cygwin pode funcionar melhor para determinadas tarefas. Depois de selecionar todos os pacotes adicionais que sero instalados, clique em Next para continuar. As dependncias do pacote sero selecionadas para voc por padro. A prxima tela solicita que voc verique se quer instalar as dependncias. Clique em Next para continuar e sua instalao do Cygwin comear. Dependendo de qual site selecionado e quantos pacotes adicionais foram marcadas para a instalao, o processo pode levar de 10 minutos a uma hora ou mais. Seja paciente e permita que o processo continue. Quando concludo, o assistente ir solicitar a criao de um cone do Cygwin na rea de Trabalho e no Menu Iniciar, clique em Finish. Voc instalou com sucesso o Cygwin ao seu sistema e no ser necessrio reiniciar a mquina.

Figura 5 Procurar por um pacote especco (SSH).

50

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Benefcios do Cygwin

Personalizao
Note que talvez seja preciso instalar um ou mais pacotes aps a instalao inicial. Se assim for, execute o setup.exe novamente do local onde este foi salvo ou diretamente do site. Percorra o assistente, aceitando os valores padro (os padres devem reetir as suas selees anteriores). Quando o assistente exibir a lista de pacotes do Cygwin, selecione a categoria e o pacote que voc precisa. Se no souber a categoria em que o seu pacote est, procure-o com o campo de busca (canto superior esquerdo da janela Select Packages ) (figura 5). Uma vez que selecionado o pacote ou pacotes desejados, avance pelo assistente de instalao de pacotes normalmente at que este seja concludo. Voc pode selecionar mais do que um nico pacote de uma categoria ou de vrias categorias durante uma reexecuo do assistente de congurao. Se voc deseja desinstalar um pacote, clique no link Keep at que seja exibido o Uninstall e prossiga com o assistente. Ao selecionar um pacote para a instalao, voc ver duas caixas de seleo. Selecionar a caixa de seleo da esquerda instala o pacote binrio (executvel e bibliotecas de suporte e dependncias) e selecionar a caixa de seleo da direita instala o cdigo fonte do pacote. Embora voc no precise do cdigo fonte, neste caso, pode optar por instal-lo para outro uso. SOLUES
Figura 6 Edite a varivel PATH do sistema.

path. Feche e volte a abrir qualquer terminal para usar a nova varivel do ambiente.

Linha de comando
Como um administrador Windows, so grandes as chances de que voc no gaste muito tempo na linha de comando. Apesar do ocasional ipcong ou iisreset, voc provavelmente no abre um prompt de comando e trabalha vrias horas por dia. Se faz isso, voc uma pessoa rara e no ter problemas para fazer a transio para o mundo *nix. A maioria dos administradores *nix usam exclusivamente a linha de comando para o seu trabalho. Na verdade, poucos sistemas servidores *nix tm uma interface desktop instalada neles. Veremos a seguir como interagir com aplicativos grcos, se eles existirem em seus sistemas *nix. Uma das duas formas de desfrutar do Cygwin na linha de comando usar o cone

Denio do caminho padro


Para adicionar o Cygwin ao seu PATH (caminho padro do sistema), abra um prompt de comando em seu sistema Windows, digite PATH, e pressione Enter. Sua resposta deve ser algo parecido com a listagem 1. Para usar o Cygwin efetivamente, preciso adicionar o caminho E:\Cygwin\bin em minha varivel de ambiente PATH. Claro, voc usar a localizao da pasta bin de sua instalao. Para isso, clique com o boto direito do mouse e escolha Meu Computador/Propriedades/Conguraes Avanadas do Sistema/Variveis de Ambiente/Variveis do Sistema, siga para baixo at ver Path (gura 6), e clique no boto Editar. Digite um ponto e vrgula aps a ltima entrada e o caminho completo para o diretrio bin do Cygwin (gura 7). Agora, quando o Terminal Cygwin for iniciado, os binrios do Cygwin estaro em seu
Admin Magazine #7 | Setembro de 2012

Figura 7 Adicione a pasta Cygwin\bin varivel PATH.

51

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Benefcios do Cygwin

Terminal Cygwin localizado em sua rea de Trabalho. Este cone um atalho para uma janela de terminal usando o Shell interativo Bash. A janela mostrada na gura 8 o seu ambiente de linha de comando. A partir deste prompt, possvel executar quase todos os programas de linha de comando do Windows e todos os comandos do Cygwin. Como um teste, tente digitar alguns comandos do Windows. Por exemplo, ipcong retorna informaes de IP do seu sistema. Agora, digite alguns comandos *nix, como ls ou pwd para ver os resultados. No prompt de comando, possvel criar scripts, editar arquivos, conectar-se a sistemas remotos ou navegar no seu sistema de arquivos. Note que, quando aplicativos do Terminal Cygwin forem utilizados, voc deve se referir a suas unidades com seus equivalentes *nix, deste modo sua unidade C: agora /cygdrive/c e a unidade E: /cygdrive/e. Se tentar executar um ls no E:, receber um erro:
$ ls E: ls: cannot access E:: No such le or directory.

No entanto, se voc usar a verso *nix do ls com /cygdrive/e, ver uma lista de arquivos. Provavelmente voc no tem arquivos para ver. Para criar alguns, use o seguinte comando:
$ touch le1.txt le2.txt le3.txt $ ls le1.txt le2.txt le3.txt

tado uma visualizao das pginas man (manual) do *nix. Para navegar pelas pginas do manual, utilize as teclas [Espao], [Enter], e [Q]. Pginas de manual so uma parte essencial de qualquer sistema *nix. Use-as vontade. A segunda maneira de usar o Cygwin usando os aplicativos individualmente na janela de comando do seu Windows. Nem todos os comandos localizados em E:\Cygwin\bin vo funcionar desta maneira. Alguns aplicativos s funcionam dentro do Shell interativo do Cygwin. A maneira mais fcil de saber quais so os que funcionam vericar a extenso do programa. Embora as extenses no tenham signicado em sistemas *nix, no Windows eles so teis. Um arquivo chamado teste.txt muito diferente do text.exe. Se voc olhar na pasta bin do Cygwin e listar o seu contedo, observe os aplicativos com a extenso .exe: estes comandos esto disponveis para voc no terminal, o que signica que possvel aproveitar esses novos comandos em seus scripts, passar variveis do ambiente Windows para eles, e us-los com o seu conhecimento habitual da sintaxe de linha de comando do Windows.

Usando a interface grca X


Os administradores do Windows muitas vezes preferem um ambiente grco para a linha de comando. Ao instalar o pacote xinit e suas dependncias, voc instala tambm o suporte para o ambiente de interface de usurio X Window (mais conhecido como X). Para usar o X, voc deve efetuar login em um sistema remoto *nix via SSH (Shell seguro). O SSH a verso segura equivalente ao antigo aplicativo Telnet, que prev uma sesso interativa do Shell no sistema remoto a partir do qual voc pode trabalhar na linha de comando.

O comando touch cria um arquivo vazio com um timestamp (data e hora), por isso esta uma ferramenta muito til para a criao de scripts. O comando touch tem outros usos tambm. Para saber mais sobre o touch (e, da mesma forma, sobre outros comandos tambm), digite man touch no prompt para ler a documentao. O resul-

Figura 8 A janela padro do terminal Cygwin e do Shell interativo.

52

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Benefcios do Cygwin

Alm disso, voc pode direcionar aplicativos para o seu sistema Windows a partir do computador remoto *nix. Vou acompanh-lo atravs das etapas para testar o X em seu sistema remoto usando o clssico aplicativo "xeyes". O Xeyes um aplicativo divertido que, quando executado, exibe um par de olhos grcos que seguem o mouse pela tela. um aplicativo bobo e intil, mas timo para testar o X por ser pequeno e estar instalado em praticamente todos os sistemas *nix. Para comear, congure o ambiente X Window em seu sistema Windows. Isto conhecido como inicializar o servidor X. Este processo tambm lana uma janela de terminal X. Digite o seguinte comando na janela Terminal Cygwin:
$ startxwin

Diversas informaes sero exibidas, e em poucos segundos, uma janela Xterm surge. Esta janela do Xterm a nova janela do Shell interativo para uso com aplicativos grcos. Digite os seguintes comandos como mostrado. Substitua <system> pelo nome de seu sistema *nix ou o endereo IP e substitua <username> por seu nome de usurio (login) no sistema *nix remoto .
$ ssh -X <system> -l <username> $ ssh -X 192.168.1.250 -l <username>

Esse prompt quer estabelecer uma chave segura permanente entre os dois hosts para referncia futura para que assim seu sistema reconhea o sistema remoto como legtimo. Digite yes no prompt e pressione [Enter]. Depois de inserir a senha da conta do sistema remoto, voc estar logado quando o smbolo $ aparecer. A opo -X nos comandos SSH dos exemplos signica transmitir a sada X para o seu sistema. Em outras palavras, voc est redirecionando programas grcos para o seu sistema Windows. O -l no comando ssh signica que voc quer usar esse ID de conta (username) para a conexo. Se voc no usa -l, o SSH tenta se conectar ao sistema remoto usando o seu ID de conta do Windows. Uma vez conectado ao sistema *nix remoto , digite o seguinte comando:
$ xeyes &

Se voc receber a mensagem:


Error: Can't open display:

A primeira vez que voc executar esta ao, receber a seguinte resposta:

precisa sair de sua sesso *nix remota, digitando exit para retornar ao seu Windows Xterm e digitar novamente o comando ssh

Figura 9 Execuo do programa Xeyes atravs de um sistema *nix remoto.

Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

53

SOLUES

The authenticity of host '192.168.1.250' can't be established. RSA key ngerprint is 87:17:c3:92:44:ba:1a:df:d7:9c:44:b2:5b:73:52:09. Are you sure you want to continue connecting (yes/no)?

Benefcios do Cygwin

com a opo -X. O aplicativo Xeyes deve abrir em seu sistema Windows (gura 9). Todas os aplicativos grcos funcionam da mesma maneira. Esteja ciente de que alguns aplicativos so muito grandes e podem levar algum tempo para serem carregados no seu computador Windows. Seja paciente. Lembre-se de que as interaes por meio dos aplicativos grcos acontecem no sistema *nix remoto. Voc est basicamente desfrutando de uma visualizao remota do aplicativo em seu sistema Windows.

Instalao em rede
Um ponto de instalao multissistemas, como eu a chamo, uma instalao do Cygwin feita em uma unidade de rede para que vrios sistemas Windows possam mapear a unidade e usar os aplicativos e utilitrios a partir desse local. O Cygwin no precisa ser instalado localmente para trabalhar bem, porque a instalao no faz alteraes nas pastas de sistema, nem adiciona arquivos nessas pastas. Todos os arquivos do Cygwin residem sob a rvore de diretrios Cygwin. Para instalar em uma unidade de rede, crie um novo compartilhamento de rede em seu servidor de armazenamento ou de arquivos e mapeie uma unidade para esse local vou

cham-la de unidade X:. Direcione o assistente de instalao do Cygwin para instalar o Cygwin na pasta X:\Cygwin e use X:\Temp para a pasta de origem da instalao. Executar uma instalao completa conveniente pois assim voc tem todas os possveis aplicativos e executveis disponveis para o seu trabalho. Quando o assistente exibe a lista de categorias, clique em All (no topo da janela) at que aparea Install. Isso vai mudar cada uma das categorias para Install tambm. Uma instalao completa pode levar uma hora ou mais para ser executada. Uma vez instalado neste local de rede, ser possvel mapear uma unidade de qualquer sistema com acesso a ele. Voc pode adicionar X:\Cygwin\bin permanentemente para a varivel de ambiente PATH, editando o path do sistema. Voc pode adicionar um acesso temporrio, digitando o seguinte comando:
PATH=%PATH%;X\Cygwin\bin

como um administrador no terminal de comando. Embora seja um pouco incmodo fazer isso, voc tambm pode usar um caminho no estilo NetBIOS, como \\system\\ compartilhamento\cygwin\bin\ para cada comando digitado. Por exemplo:
\\system\share\cygwin\bin\ls.exe

Listagem 1: Adicionar o Cygwin ao PATH.


01 C:\Users\Administrator>PATH 02 PATH=C:\Windows\system32;C:\Windows; C:\Windows\System32\Wbem;C:\Windows\System32 03 \WindowsPowerShell\v1.0\;C:\Program Files(x86)\ Common Files\Citrix\System32\

Qualquer sistema no qual voc possa usar o Cygwin regularmente deve ter um mapeamento de unidade permanente (persistente) criado para o compartilhamento de rede e ter a sua varivel PATH alterada.

Concluso
O que o Cygwin faz para voc, como administrador Windows, fornecer um conjunto consistente de ferramentas de script como aquelas encontradas em sistemas *nix. Ele tambm lhe apresenta um nvel bsico de compatibilidade entre duas plataformas muito diferentes. O Cygwin transforma seus servidores e estaes de trabalho do Windows em sistemas operacionais hbridos avanados e d aos administradores do Windows as ferramentas e utilitrios necessrios para interagir efetivamente com outros sistemas de dados do data center. Para mais informaes, leia a FAQ do Cygwin e sua documentao. Tambm consulte as pginas de manual *nix para as questes relacionadas comandos.
www.admin-magazine.com.br

Mais informaes
[1] Cygwin: http://www.cygwin.com

O autor
Ken Hess escritor e jornalista freelancer especializado em tecnologia. Ele cobre uma variedade de temas, incluindo Linux, bases de dados e virtualizao. Voc pode entrar em contato com ele atravs do site [www.kenhess.com]

Gostou deste artigo?


Veja este artigo em nosso tsite: http://www.lnm.com.br/admin/article/6978 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

54

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Ferramenta anti-spam para ambientes Exchange

Filtrado
O SMTP Proxy antispam oferece s empresas uma soluo livre e extremamente poderosa para implementao de um servidor de email prprio.
por Thomas Joos

antispam SMTP Proxy [1] (ASSP) atua como servidor proxy conectando a Internet e servidores de email locais, onde ltra todos os spams. A soluo de servidor ASSP de cdigo aberto tambm adequada para ambientes Exchange por ser inteiramente baseada no protocolo SMTP. Esta soluo suporta todas as atuais verses do Exchange incluindo o Exchange Server 2010 e conta ainda com ltros Bayesian, escaneamento de SPF, honeypot prprio e listas negras em tempo real, entre outras caractersticas. A gesto se d atravs de uma interface online. Alm disso, possvel identicar vrus por email com o ClamAV. As caractersticas de escopo esto tambm em p de igualdade com outras solues comerciais similares. Se sua empresa estiver em busca de uma soluo antispam, o ASSP , denitivamente, uma alternativa que vale a pena considerar. Aps a instalao, o ltro estar pronto para funcionar em alguns minutos. A gesto diretamente pela interface do aplicativo tambm torna o processo de congurao bastante conveniente (figura 1). Pequenas empresas podem tambm estar interessadas no conector POP3 do ASSP. Esse recurso permite que o usurio receba um email de vrios servidores POP3, verique as mensagens em busca de spam e vrus, e em seguida encaminhe os resultados para endereos de email internos. Uma aplicao concebvel para um cenrio como

este seriam ambientes que implementam o Small Business Server, da Microsoft. Como esse tambm um recurso livre, os administradores poderiam congurar uma soluo antispam prossional para empresas menores, com baixa carga de mensagens.

Fundamentos do antispam SMTP Proxy


O ASSP precisa ser executado em um servidor prprio, especialmente para pequenas e mdias empresas com grande volume de emails. A melhor opo usar um servidor Linux por exemplo, Ubuntu ou Debian. Contudo, administradores de redes Windows tm a opo de execut-lo neste ambiente. Se o administrador preferir no operar em um servidor dedicado, tambm poder executar o ASSP na mesma mquina como servidor de email. E tambm uma escolha simples, se o usurio preferir instal-lo em um servidor virtual. A soluo antispam construda em Perl e pode ser implementada em uma nica mquina sem entrar em conito com o Exchange. Neste caso, o ASSP colhe o email da Internet e o examina em busca de spam e vrus antes de utilizar o SMTP para encaminh-lo aos servidores de email internos. No entanto, recomendvel no escolher esta abordagem se o servidor precisar processar mais de 5.000 emails por dia; a vericao de vrus e spam consome

Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

55

SOLUES

Ferramenta anti-spam para ambientes Exchange

Figura 1 Interface de gerenciamento do Antispam

SMTP Proxy.

uma quantidade razovel de desempenho do servidor. Neste artigo, veremos como instalar o ASSP diretamente em um servidor Exchange, j que a congurao neste caso um pouco mais complicada. O antispam no precisa ser a porta de entrada (gateway) direta para a Internet. Por exemplo, se for executado o Exchange Server 2010 e tambm implementado um servidor de transporte de banda, o servidor poder permanecer conectado Internet. O servidor de transporte de banda ir se encarregar de enviar as mensagens para o ASSP. Aps a vericao, o servidor com o ASSP encaminha o e-mail para o servidor dos usurios do Exchange. O e-mail destinado a contas externas faz o caminho inverso. Servidores internos do Exchange enviam as mensagens para o ASSP, que as encaminham para o servidor de transporte de banda, que por sua vez os envia para a Internet. Se for instalado o ASSP no mesmo servidor que o Exchange, ser preciso modicar a porta padro aps completar a instalao; caso contrrio, o ASSP ir usar a porta 25 para o SMTP. Alternativamente, pode-se

usar um adaptador de rede separado para o antispam e um endereo IP para o adaptador e a porta 25. Neste caso, os conectores do Exchange no so, obviamente, autorizados a usar o endereo IP ASSP. Esta abordagem oferece uma instalao mais estvel que as operaes sob mesmo endereo IP, mas portas diferentes. Novamente, como regra geral, o ASSP ter mais chances de sucesso se executado em um servidor separado, j que a soluo exige uma srie de produtos adicionais que poderiam desativar um servidor Exchange. Executar o ASSP como servidor virtual no Ubuntu e Debian no problemtico, mas exige um mnimo de conhecimento em Linux. Se o ASSP for instalado em um servidor Exchange, o software ser executado em uma janela de comando. possvel tambm congur-lo como um servio. O wiki do projeto [2] e o frum [3] fornecem muitas dicas teis sobre como congurar o ASSP para os melhores resultados em um ambiente prprio.

ASSP para Exchange 2010


Para determinar se o ASSP a escolha certa para um determinado ambiente, recomendado test-lo inicialmente em um mockup. Como o antispam escrito em Perl, primeiro ser necessrio instalar a verso 32-bit do ActivePerl [4] em seu servidor Windows no diretrio padro, C:\Perl. Se decidir usar um diretrio diferente, modique as partes apropriadas nos scripts ASSP. Em seguida, baixe a atual verso do ASSP, descompacte o arquivo e copie o diretrio assp completo para o diretrio raiz do seu servidor. O prximo passo baixar o arquivo assp.mod.zip na pgina de download anterior. Encontre-o na lista de links ASSP V2 multithreading disponvel na rea de downloads. Descompacte o arquivo e copie o diretrio assp.mod\assp.mod no diretrio raiz C:\assp como um diretrio adicional (figura 2). Em seguida, instale o Microsoft Visual C+ 2008 Redistributable Package (x86) [5] no seu servidor. No necessria uma verso mais recente, ainda que o usurio j possua o Windows Server 2008 R2 e o Exchange Server 2010 instalados. Antes de prosseguir com a instalao ASSP, preciso instalar no servidor o OpenSSL verso 0.9.x. Certique-se de no
www.admin-magazine.com.br

Figura 2 Copie os arquivos de instalao necessrios

para o servidor Exchange.

56

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Ferramenta anti-spam para ambientes Exchange

usar uma verso mais recente. Os arquivos de instalao necessrios esto disponveis online [6], e o administrador pode, simplesmente, instalar o software com as conguraes padro. Certique-se de que os diretrios c:\ perl, c:\perl\bin, C:\assp, e c:\openssl\bin estejam inseridos no caminho do servidor como variveis do sistema. Se o caminho for alterado, necessrio reiniciar a janela de comando aberta para ter a certeza de que est usando o caminho correto. Em seguida, altere a linha de comando no servidor para o diretrio C:\assp\assp. mod\install. Durante a instalao, o ASSP precisa baixar vrios mdulos diretamente da Internet. Em outras palavras, o servidor no qual o ASSP for instalado deve possuir uma conexo de Internet ativa. O assistente de instalao tambm pode contar com um servidor proxy para isso. Se no for congurado um servidor proxy para acesso Internet, o prximo passo digitar o comando perl mod_inst.pl. Se o administrador entrar com seus prprios diretrios e conguraes, ou um servidor proxy, dever modicar os arquivos de congurao ASSP antes da instalao. Para fazer isso, abra o arquivo install.cmd. Se for utilizado um diretrio denido pelo usurio para ASSP, preencha a linha em branco usando o formato ASSPDIR=//directory//. Tambm preciso acessar o servidor proxy no arquivo. Quando estiver pronto, salve o arquivo e inicie a instalao digitando install.cmd (figura 3). Ao instalar alguns mdulos, podem aparecer algumas mensagens de erro, mas isso no importante em um ambiente de teste, pois o ASSP ir funcionar sem esses mdulos. Se o administrador decidir ir em frente com o uso em produo do proxy antispam, poder adicionar retrospectivamente os mdulos em falta a qualquer momento. Para adicionar esses pacotes, digite ppm para abrir o gerenciador de pacotes ou acesse o site CPAN [7]. Um tutorial para este processo encontra-se disponvel online [8].

Figura 3 Instalando o ASSP na linha de comando no

Windows Server 2008 R2.

Como instalar e congurar o ASSP


O ASSP congurado via Internet, portanto, antes de comear, preciso primeiraAdmin Magazine #7 | Setembro de 2012

mente denir uma senha e um login para acesso. Para isso, acesse o diretrio c:/assp e abra o arquivo assp.cfg. Em seguida, procure a linha que contm webAdminPassword e dena sua prpria senha. Na sequncia inicie o ASSP para ns de teste, digitando o comando perl assp.pl. Se no houver uma mensagem de erro aqui, aponte seu navegador para http:/127.0.0.1:55555. No Windows Server 2008 R2, boa ideia desativar primeiro a segurana reforada para o Internet Explorer no Server Manager. Claro, tambm possvel gerenciar o ASSP atravs do navegador, mas para isso necessrio habilitar a porta 55555 para acesso remoto no rewall. Depois, digite wf.msc na caixa de pesquisa do menu iniciar do Windows e crie uma nova regra de entrada no console que d permisso para a porta 55555. Com isso, pode-se acessar o servidor atravs da rede. Para modicar a porta na interface online ASSP, digite o nome do usurio (root) e a senha denida no arquivo de congurao assp.cfg. Para nalizar o antispam, no basta fechar a janela de linha de comando: pressione [Ctrl]+[C]. Para operar o ASSP como servio de sistema, abra a janela da linha de comando, mude para o diretrio ASSP, e digite perl assp.pl c:\assp -i. Certique-se que o antispam no est sendo executado quando zer isso. Depois de digitar o comando, o ASSP no deve iniciar; em vez disso, ir emitir a seguinte mensagem: servio ASSP adicionado com sucesso. Alm disso, aparecer um novo servio com o nome de Anti-spam SMTP Proxy no servidor. Certique-se de que o servio esteja congurado no modo Automatic e, em seguida, inicie-o. Se isso no funcionar, digite o seguinte comando para criar um servio:

57

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

SOLUES

Ferramenta anti-spam para ambientes Exchange

sc create Anti-Spam binpath="c:\perl\bin\perl c:\assp\assp.pl"

Depois de reiniciar os servidores, verique se o acesso online ainda funciona (figura 4). Aps fazer o login na interface, modique a porta na rea de congurao do servidor (Server Setup) e habilite o SSL para acesso interface. Para permitir que o ASSP baixe arquivos de atualizao para o ClamAV, por exemplo, ou listas de denio para proteo antispam, o servidor precisa de acesso Internet; neste caso, no apenas para enviar e-mail SMTP. A funo de download do ASSP compatvel com o proxy e ainda suporta autenticao. Para que isso acontea, basta digitar os proxies e as credenciais de autenticao na seo de congurao da interface online do servidor. Esta seo tambm aonde se restringe o acesso interface online para endereos IP especcos. Se for denido o acesso ao portal para 0, o acesso Internet ser desativado. Para reativar o acesso, modique as conguraes correspondentes no arquivo de congurao do ASSP.

Colaborao com o Exchange


Se for executado o ASSP em um servidor separado ou em conjunto com o Exchange, mas usando um adaptador de rede e endereo IP separados, certique-se de criar um registro DNS para o antispam que aponte para o endereo IP de sua placa de rede. Este tipo de instalao usa a mesma abordagem de uma instalao padro. Modique a congurao retrospectivamente na interface online. As conguraes de rede esto localizadas em Congurao/Congurao de Rede/listenport. Procure pelo campo

SMTP Listen Port e especique o endereo IP e a porta. Depois de fazer mudanas na interface online, pressione Apply Changes para armazen-las (figura 5). No campo SMTP Destination, digite o endereo IP e a porta do servidor Exchange para que o ASSP encaminhe as mensagens digitalizadas. Na seo de congurao do servidor, dena o nome do seu servidor ASSP na rede. Se for utilizado um endereo IP separado, nomeie os servidores separadamente no domnio interno do Active Directory. Em ambientes que usam o Exchange, note que pode ser necessrio permitir a retransmisso para o endereo IP ASSP para assegurar-se de que o Exchange aceite as mensagens. Informaes sobre uma colaborao mais complexa com o Exchange podem ser acessadas online [9]. Outra coisa que pode ser importante para o uxo de email em ambientes mais complexos a retransmisso no ASSP. As conguraes correspondentes encontram-se na seo Relaying da interface online. L, devem ser digitados os endereos IP e domnios de email a partir dos quais o ASSP aceitar as mensagens gerencie os domnios locais da sua organizao em Recipients/Local Domains. Para visualizar as conexes atuais no servidor, clique em SMTP Connections no topo da interface online.

Como congurar ltros de spam


A maioria das conguraes do ASSP pode ser deixada com os valores padro, com exceo do endereo IP, trfego de email e nome. No entanto, caso o usurio deseje passar por todas as opes e modic-las para reetir suas exigncias aps a instalao, dever congurar primeiro seus uxos de trfego de email e test-los cuidadosamente. Se quiser ter a certeza de que o ASSP excluiu endereos IP especcos durante a vericao, atualize manualmente a lista branca de endereos IP. Esta congurao est localizada no menu Whitelisting, abaixo da seo Whitelisted IPs, onde preciso selecionar a opo "editar arquivo" (Edit le). Um pouco mais abaixo na interface online encontram-se tambm as conguraes correspondentes para domnios. Quando executar a vericao de spam, o ASSP tambm ir checar os emails de entrawww.admin-magazine.com.br

Figura 4 Inicie o proxy antispam.

58

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Ferramenta anti-spam para ambientes Exchange

da originados nos domnios dos servidores onde encontram-se listas negras em tempo real. Alguns fornecedores de listas negras em tempo real sero inseridos por padro, e o ltro funcionar imediatamente. O usurio tambm poder adicionar ou remover fornecedores nesta lista. As conguraes para isso esto localizadas em DNSBL. Se desejar encaminhar mensagens identificadas como spam para um nico endereo de email, use a opo Copy Spam&Ham/ Copy Spam and Send to this Address. Use esta seo tambm para configurar diferentes endereos de email a partir de diferentes domnios. Esta funo permite alterar o destino SMTP padro para o ASSP e encaminhar o email a um servidor SMTP especfico. Em grandes ambientes, h tambm a opo de configurar o ASSP para alta disponibilidade. Com esta configurao, sero instalados servidores ASSP mltiplos, mas s preciso definir a configurao uma vez. Na seo de sincronizao e compartilhamento (Configuration Synchronization

Figura 5 Salve a porta e o endereo IP para o trfego de

e-mails recebidos.

and Sharing), deve-se ativar a opo Enable Configuration Sharing. Isto permitir distribuir as configuraes de um servidor para servidores ASSP mltiplos. Ento, o site poder ser usado para definir se o servidor atual um Share Master ou Share Slave. A opo de Test Mode for Config Sync permite que a sincronizao seja simulada sem que seja necessrio modificar as configuraes no servidor.

Mais informaes
[1] Antispam SMTP Proxy: http:// sourceforge.net/projects/assp/ [2] ASSP wiki: http://sourceforge. net/apps/mediawiki/assp/ index.php?title=Main_Page [3] ASSP forum: http://sourceforge. net/apps/phpbb/assp/ [4] ActiveState Perl: http:// www.activestate.com/ [5] Visual C++ Redistributable: http:// www.microsoft.com/en-us/ download/details.aspx?id=11895 [6] OpenSSL: http://slproweb.com/ products/Win32OpenSSL.html [7] CPAN: http://search.cpan.org/ [8] Installing Perl modules: http:// startperl.blogspot.com. br/2007/11/perl-module-howto-install-perl-module.html [9] ASSP Advanced Workow: http:// sourceforge.net/apps/mediawiki/ assp/index.php?title=ASSP_ Advanced_Workow

Filtros Bayesianos e o ASSP


O ASSP tambm possui um filtro Bayesiano inteligente que verifica todas as mensagens de entrada e sada e consegue, ao longo do tempo, distinguir spams de emails legtimos. Este tipo de filtro muito eficiente, mas tambm pode produzir falsas evidncias. Por esta razo, o filtro inicialmente desativado logo aps a instalao. Se preferir, o usurio poder executar o ASSP por algumas semanas ou mesmo meses antes de ativar o filtro Bayesiano atravs da Bayesian Hidden Markov Model (HMM) Options na interface online. O filtro vem com um banco de dados interno, que precisa ser esvaziado periodicamente se for realmente utilizado. O caminho para faz-lo encontra-se em Rebuild Spamdb. tambm aqui onde se digitam os intervalos para que o servidor esvazie a base de dados.

Gostou deste artigo?


Veja este artigo em nosso tsite: http://www.lnm.com.br/admin/article/7440 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

59

SOLUES

Monitoramento em tempo real

Monitoramento mvel

Conhea o melhor amigo do administrador de sistemas para monitorar o ambiente interno de servidores.
por Ken Hess

Figura 1 A janela principal de congurao do Windows

PC Monitor.

Figura 2 Instalao do PC Monitor no Linux, primeira fase.

onitorar servidores requer vigilncia e muito tempo. preciso verificar painis de controle, ler relatrios e pesquisar para ver o que h de errado com um sistema. Estes atrasos podem significar a diferena entre atender ou perder um contrato de servio (SLA) com um cliente. E no h nada mais constrangedor do que confessar a um cliente o desconhecimento de que seu servio ficou indisponvel. Afinal, ningum deseja que um cliente lhe substitua por um aplicativo de monitoramento. Em vez disso, tome uma atitude ativa de acompanhamento com o Mobile PC Monitor da MMSOFT Design [1]. A soluo da MMSOFT consiste de um agente, um cliente e um painel. Parece um cenrio padro de monitoramento, e , mas com um detalhe: mvel. Mvel significa que o usurio pode monitorar seus sistemas a partir de um telefone, um tablet, um computador porttil (notebook, ultrabook, netbook), no PC, ou ainda atravs de uma pgina na Internet. Contanto que possua acesso a qualquer tipo de computador ou smartphone, poder manter contato imediato com o que se passa com seus sistemas Windows e Linux enquanto as coisas acontecem.
www.admin-magazine.com.br

60

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Monitoramento em tempo real

O Mobile PC Monitor uma soluo de monitoramento em tempo real para sistemas operacionais Windows e Linux de 32 e 64 bits. A maioria dos recursos funciona tanto nos sistemas Windows como no Linux. A tabela 1 apresenta um subconjunto dos eventos que o usurio pode monitorar em seus sistemas e receber noticaes de status relacionados. No entanto, o monitoramento no o nico aspecto da ferramenta Mobile PC Monitor. Se o monitoramento seu nico recurso, ento seria uma obra formidvel de software para esse nico propsito; mas os desenvolvedores da MMSOFT oferecem poderes para que a ferramenta realize muito mais do que isso. O agente do PC Monitor tambm permite que o usurio execute as funes de no monitoramento mostradas na tabela 2 em seus sistemas. H vrias opes de servio com o PC Monitor gratuitamente, da instalao de um sistema triplo at uma implementao em nvel empresarial ilimitada. Tambm possvel optar por congurar um servidor dedicado para uso ou implementao e trabalhar a partir do servio online. A MMSOFT oferece uma variedade de cenrios de implementao que tentam servir redes de qualquer tamanho.

Log On / logoff Incio / Reincio / Desligamento / Suspenso / Resumo do sistema Estado de bateria baixa Mudana de endereo IP Instalao / desinstalao de aplicativo Disco removvel inserido / removido Atualizaes crticas ou importantes disponveis Status do servio Uso de memria Uso da CPU Portas monitoradas Condies de processo Pouco espao em disco Eventos do log de eventos Condies de hardware Temperatura da CPU Condies de desempenho personalizadas Site IIS e eventos de pool de aplicativos
Tabela 1 Principais eventos monitorados.

Logoff / Reiniciar / Encerrar / Desligar / Suspender / Hibernar / Acordar Colocar sistemas em modo de manuteno Gerenciar/ instalar atualizaes do Windows Gerenciar o IIS Gerenciar o Active Directory Monitorar e gerenciar servidores Exchange Monitorar e gerenciar o Hyper-V Monitorar e gerenciar o VMware Ver informaes sobre a verso do SO Ver sistemas de arquivos e arquivos armazenados Lista de aplicativos instalados Ver os logs de eventos Ver todos os processos em execuo Gerenciar impressoras e trabalhos de impresso Ver usurios logados Enviar comandos remotos atravs de um terminal Ver dados de desempenho Ver detalhes de hardware
Tabela 2 Outros recursos do aplicativo.

Instalao e congurao
Em sistemas Windows, ser preciso instalar o .NET 4.x Framework antes de instalar o agente. Se seu sistema no tem o .NET 4.x, o instalador detecta esta dependncia e direciona para o download do pacote .NET. A instalao do .NET 4.x. no requer uma reinicializao, assim possvel instalar um aps o outro sem atrasos. Se implementar o PC Monitor em diversos sistemas, baixe os agentes [2] e salve em um local de acesso comum na sua rede. Faa o download e salve o arquivo do instalador do .NET framework tambm no mesmo local. Antes de instalar seu primeiro agente, conecte-se ao site da MMSOFT [3] e congure uma conta gratuita. Cada instalao do agente exige um nome de usurio e senha a partir deste registro. O instalador orienta atravs de um pequeno assistente e, em seguida, inicia o monitoramento e o aplicativo de gesto de personalizao tanto no Windows como no
Admin Magazine #7 | Setembro de 2012

61

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

SOLUES

Monitoramento em tempo real

Figura 3 Concluindo a instalao do PC Monitor no

Linux.

interface do PC Monitor idntica nos dois sistemas operacionais, por se tratar de um aplicativo Java multiplataforma. A figura 1 mostra uma imagem do PC Monitor no Windows. A figura 2 mostra a instalao do PC Monitor executada no Linux (responda "No" (n) para a pergunta Iniciar o PC Monitor Manager), e a figura 3 mostra o resultado do uso da instalao em linha de comando do PC Monitor no Linux. Note que a senha aparece em texto puro na tela. Recomendamos retir-la com o GIMP para proteger a privacidade do usurio; tenha cuidado ao digitar a senha da conta na linha de comando. A verso grca esconde a sua senha. Tentamos tanto a instalao em linha de comando quanto a instalao grca no Linux. Se a congurao grca no funcionar, use o mtodo de linha de comando e, em seguida, abra o aplicativo grco PC Monitor Manager para personalizar a instalao como descrito na prxima seo.

Servios monitorados e noticaes


Devemos executar esta parte da instalao em cada um dos sistemas monitorados. Vamos cobrir as principais reas de servio neste artigo, mas o usurio deve clicar em cada uma das abas no PC Monitor Manager (PCMM) para personalizar seus monitores e notificaes. Uma instalao padro s permite o monitoramento online/offline mnimo. Navegue por todas as opes do PCMM e congure o nvel desejado de alerta para cada evento do sistema e servio. Para comear, selecione a guia System. A figura 4 uma imagem do nvel padro de monitoramento geral do sistema. Como desejamos uma viso muito detalhada sobre o que acontece com nossos sistemas crticos, selecionamos todas as notificaes possveis na guia Notifications , na lista de abas primria ( figura 5). Em seguida, clicamos na guia Performance na lista de abas secundria. Aceitamos as configuraes padro para as notificaes que queramos para este sistema em particular (figura 6). Deixamos a caixa de seleo ... processor usage is below desmarcada porque no estamos preocupados se este sistema permawww.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Figura 4 A aba General do PC Monitor Manager

monitora a disponibilidade do sistema.

Figura 5 Noticaes de status do sistema.

Linux. Podemos personalizar a instalao do Linux sem usar o aplicativo grco. A

62

Monitoramento em tempo real

nece inativo durante qualquer perodo de tempo. O administrador pode desejar saber se um sistema est ocioso para que possa reimplement-lo, adicionar carga de trabalho ou encerrar o sistema. As demais guias contidas em Notication neste nvel so de noticaes personalizadas se forem respeitadas determinadas condies. Clique na guia Available Features na lista da guia principal para selecionar os parmetros do sistema que desejar visualizar no detalhamento do aplicativo de monitoramento (cobriremos os detalhes das selees feitas aqui na prxima seo). Os administradores que se preocupam com a segurana podem se interessar em clicar na guia Devices e autorizar uma pequena lista de dispositivos capazes de interagir com seus sistemas monitorados. Apenas os dispositivos que foram pareados com os agentes iro aparecer na lista. Clique no boto Authorize New Device para procurar dispositivos pareados. Por exemplo, na nossa lista na figura 7, o usurio ver um "iPad Ken". Discorreremos mais sobre o iPad no quadro 1. Selecione todos os dispositivos na lista e clique no boto Authorize Selected Device(s). Para remover todos os dispositivos autorizados na lista, selecione o dispositivo e clique no boto Revoke Device Authorization. Esse dispositivo no ter mais acesso aos seus sistemas monitorados. Quando terminar de fazer alteraes na congurao do agente, clique no boto OK. possvel voltar a qualquer momento para a congurao e fazer mudanas; as alteraes so aplicadas imediatamente no agente.

Figura 6 Denio de preferncias de noticao para

os limites de desempenho do sistema.

Figura 7 Autorizar um dispositivo permitido para

gerenciar um agente.

Figura 8 O aplicativo PC Dashboard, sistema de

inventrio, e rastreamento de alerta.

Uso avanado e administrao


Depois de instalar e configurar o software do agente para monitorar os eventos do sistema e enviar notificaes, hora de ver o console para seus sistemas. Baixe e instale o aplicativo PC Dashboard (encontrado na pgina de downloads da MMSOFT [4]) para seu computador Windows. Este aplicativo um console de eventos dedicado para todos os sistemas registrados em sua conta. Cada vez que instalar e validar as credenciais de login em um agente, seu novo sistema aparece no inventrio do console.
Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Figura 9 Limpeza das noticaes de eventos de um

sistema monitorado.

O PC Dashboard uma ferramenta apropriada para os tcnicos que observam consoles de eventos em sua organizao ou para aqueles que desejam conferir a "sade" do sistema. No entanto, podemos observar que, alm de limpar os eventos, suas habilidades so limitadas. Uma das

63

SOLUES

Monitoramento em tempo real

Figura 10 Inventrio do PC Monitor no acesso via

Internet e detalhes do sistema.

Figura 11 Tela de login do aplicativo PC Monitor em um

dispositivo mvel.

melhores caractersticas do Dashboard a rolagem do rastreador de alerta (figura 8). Eventos importantes do sistema s na parte inferior da tela do console para garantir que sejam vistos. Podemos apagar eventos ao clicar em um dos seus sistemas e, em seguida, em Delete All Notifications, como mostra a figura 9. Confirme a excluso para continuar. Apagar um evento de um computador monitorado tambm remove seu rastreador. Tambm possvel excluir seletivamente notificaes ao apontar o que se deseja limpar e clicar em Delete Selected Notification . Note que no necessrio conrmar a excluso para noticaes de alerta individuais. O PC Dashboard um excelente aplicativo para observar seus sistemas em uma base contnua, mas se o administrador utilizar mais dispositivos mveis que um observador tpico de console, ir precisar de um aplicativo mvel. A MMSOFT fornece um servio online [5]; necessrio fazer o login para vericar o inventrio. possvel acessar esta pgina a partir de qualquer navegador que d suporte ao Adobe Flash Player (figura 10). O aplicativo online, como o aplicativo de console, permite a visualizao de eventos, mas muito mais poderoso em termos de recursos. Apenas administradores do sistema devem ter acesso de login para o console online. Este permite visualizar e conrmar os eventos, mas tambm oferece capacidade administrativa. O usurio pode executar comandos em sistemas remotos, reiniciar, encerrar, desligar, hibernar, matar processos e muito mais.

Concluso
O administrador de sistema vai apreciar a ateno que os desenvolvedores da MMSOFT tm dado a este conjunto de ferramentas de monitoramento e noticao. Embora esta no seja uma reviso formal do produto, daremos a seu empenho um 9 consistente de um total de 10 possveis, pelas seguintes razes: Os agentes so fceis de instalar e acessveis nos recursos do sistema. A interface baseada online um aplicativo completo. O PC Dashboard o console visual perfeito. Os aplicativos mveis so divertidos e poderosos.
www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Figura 12 Visualizo dos detalhes de um sistema Linux.

64

Monitoramento em tempo real

Experimente o pacote de ferramentas do Mobile PC Monitor e tire suas prprias concluses. Trata-se de um software de monitoramento muito divertido, e temos encontrado um monte deles ao longo dos anos. O software do sistema no o grupo mais inspirador ou emocionante de bits e bytes que o usurio possa interagir, mas fcil ficar animado de encontrar um novo "melhor amigo".

Quadro 1: Existe um aplicativo para isso


Como o leitor deve ter notado na pgina de downloads, os dispositivos iPhone/iPad/iPod, Android e Windows Phone 7 tm aplicativos. Eu tenho um iPad, mas os aplicativos funcionam da mesma maneira em todos os dispositivos. Devido quantidade de controle disponvel para estes aplicativos, apenas os administradores devem ter acesso s informaes da conta associada. Para comear, baixe e instale o aplicativo que compatvel com seu celular, faa o login com seu nome de usurio e senha, e depois toque no boto Validate (gura 11). Uma vez logado no aplicativo, ir visualizar seu inventrio de computadores monitorados na lista do painel esquerdo. Toque em um dos sistemas para exibir seus detalhes e ter uma viso geral, (gura 12). Na gura 13, veremos uma exibio dos comandos disponveis pr-programados que podem ser executados em um sistema. A janela de terminal no funciona para mim no meu Ubuntu Linux 11.10, e eu reportei isso como um bug. A janela de terminal funciona no Windows Server 2003, Windows 7 e Windows Server 2008. O usurio tambm pode instalar as atualizaes disponveis do Windows dentro do aplicativo, como mostrado na gura 14. O aplicativo para dispositivo mvel e a interface online tm capacidades equivalentes, ento no importa como o ambiente acessado: o usurio ter total visibilidade e controle de seus sistemas.
Figura 13 Vizualizao da lista de comandos do sistema.

Figura 14 Vericao de atualizaes do Windows.

Mais informaes
[1] Mobile PC Monitor: http://www. mobilepcmonitor.com/ [2] Agentes para PC Monitor: http:// mobilepcmonitor.com/downloads.php [3] Site da MMSOFT: http://www. mobilepcmonitor.com/ [4] Downloads da MMSOFT: http://www. mobilepcmonitor.com/downloads.php [5] Servios online da MMSOFT: https:// my.mobilepcmonitor.com/

O autor
Ken Hess escritor e jornalista freelancer especializado em tecnologia. Ele cobre uma variedade de temas, incluindo Linux, bases de dados e virtualizao. Voc pode entrar em contato com ele atravs do site www.kenhess.com.

Gostou deste artigo?


Veja este artigo em nosso tsite: http://www.lnm.com.br/admin/article/7519 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

65

SOLUES

Microsoft Office na nuvem

Guerra de servios
O Ofce 365 a nova soluo corporativa da Microsoft em ambiente de nuvem para gerenciamento de email, tarefas e contatos, bem como de colaborao em tempo real entre usurios.
por Bjrn Brstinghaus

novo Ofce 365 [1] da Microsoft est disponvel sob diversos planos e com um leque variado de servios em nuvem que abrangem o Exchange Online e o SharePoint Online, incluindo o Ofce Web Apps e o Lync Online. Particularmente para empresas de menor porte, o Ofce 365 fornece uma alternativa interessante, j que a administrao do sistema bem simples e os servios em nuvem so apresentados aos usurios com aparncia similiar ao do Microsoft Ofce (gura 1).

Ofce 365
Para configurar o Office 365 [2], tudo o que o usurio precisa de um domnio sob o provedor de sua escolha. Na etapa inicial, dever assinar o domnio para uso com o Office 365 na interface de gerenciamento diretamente na Internet ( figura 2). Depois de configurar o domnio ao criar manualmente um registro CNAME ou adicionar outro registro MX (que pode demorar at 24 horas, dependendo do provedor e da configurao do DNS), o usurio pode comear a configurar as preferncias empresariais globais para utilizar os diversos servios em nuvem disponveis na interface de gerenciamento. Dependendo do tamanho da empresa, possvel adicionar novos usurios manualmente ou importar um arquivo CSV do Active Directory; esta abordagem poupa uma enorme quantidade de tempo, caso haja muitos usurios na base. Aps adicionar com sucesso uma conta de usurio, o administrador recebe uma mensagem contendo credenciais temporrias para uso do sistema.
www.admin-magazine.com.br

Figura 1 Outlook Web App no Ofce 365: ambiente j familiar para os usurios.

66

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Microsoft Office na nuvem

Alm do gerenciamento de usurios, possvel usar a seo de administrao do Ofce 365 para administrar todas as assinaturas e adicionar novas inscries para novos usurios. Se houver diculdades com um dos servios em nuvem, a seo de suporte mostra o status de todos os servios, bem como informaes sobre a manuteno planejada. H tambm a opo de enviar uma solicitao de servio direto para a equipe de suporte do Ofce 365 ou tirar dvidas no frum (fechado) da comunidade envolvendo o servio.

Mensagens instantneas e videos


Para apoiar a colaborao em tempo real na empresa, o Office 365 oferece o servio de comunicao Lync Online, que permite fazer reunies online tanto com funcionrios internos como com contatos fora da empresa. Por exemplo, possvel usar o Lync Online para adicionar contatos do Windows Live Messenger para bate-papo ou chamadas de udio e vdeo. Para utilizar todos os recursos do Lync Online, necessrio ter o Lync Client (figura 3) instalado, que atualmente est disponvel apenas para Windows. Segundo a Microsoft, solues mveis para Lync estaro disponveis para vrias plataformas mveis at o final deste ano. Alm disso, o Lync est tambm integrado ao aplicativo Outlook Web Access , embora para este ambiente s oferea aos usurios a opo de trocas de mensagens instantneas.

Figura 2 Primeiros passos com a interface de gerenciamento online do Ofce 365.

rizao correspondente pode facilmente modificar o design do site para uma aparncia mais corporativa.

Viso geral do Google Apps


O Google Apps para empresas [5] foi lanado h quatro anos e oferece aos usurios acesso corporativo ao Gmail, Google Calendar, contatos e Google Talk, alm de servios de sites, bem como textos e tabelas para uso em domnio prprio. Assim como no Ofce 365, tudo o que o usurio precisa

Colaborao na Internet
O site da equipe no Office 365, baseado no SharePoint Online, permite que usurios armazenem arquivos em um local central e editem novos documentos ou tabelas na verso online dos aplicativos de escritrio ( figura 4 ). Tudo isso, incluindo o compartilhamento de todos esses documentos com outros usurios, pode ser feito a partir de qualquer PC pelo Web Apps integrado ao Office. Alm disso, possvel usar o site da equipe como pgina de destino do prprio domnio do usurio; neste caso, usurios no logados no site visualizaro uma empresa normal. O administrador do Office 365 ou qualquer outro usurio com autoAdmin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Figura 3 Comunicao em tempo real com contatos do Windows Live no Lync.

67

TECNOLOGIA

Microsoft Office na nuvem

Figura 4 O site da equipe oferece muitas opes de colaborao online.

Figura 5 Painel de controle na rea de administrao do Google Apps.

de um domnio, que pode ser atribudo atravs do painel de administrao aps registro no Google Apps (figura 5). Como no Ofce 365, o Google exige que o usurio seja legitimado atravs da criao de um registro DNS. Em contraste com o Ofce 365, o Google Apps oferece aos administradores uma innidade de denies, embora parea muito confuso inicialmente. Uma das vantagens do Google uma loja de aplicativos integrada, que tem crescido consideravelmente nos ltimos dois anos. Ela oferece aos usurios a capacidade de compras adicionais de aplicativos de terceiros com suporte ao arquivamento de mensagens, por exemplo, ou a integrao com uma soluo de CRM online. O usurio pode usar algumas contas do Google Apps e congurar a interface (figura 5) para o envio, recebimento e gesto de correio eletrnico, e para criao e edio de contatos. Assim como o Lync integrado ao Outlook Web App, a interface do Google Mail integra o recurso Google Chat ( figura 6 ). Este tambm suporta chamadas de udio e vdeo e chamadas globais para telefones a partir de qualquer navegador, em contraste com o Lync, que precisa de um cliente Windows para fazer isso. O Gmail tambm oferece um cliente Windows que vem pr-instalado em qualquer

Ofce 365 (Plano P1) Ofce 365 com Ofce Pro Google Apps Espao de armazenamento para e-mail, agenda e contatos (em GB) Arquivamento de e-mail Antivrus e antispam Acesso mvel Comunicao em tempo real com transmisses de udio e vdeo Edio no navegador de documentos, planilhas e apresentaes Seu prprio site para colaborao Sincronizao por Active Directory Licena do software MS Ofce Professional Preo mensal 25 No Sim Sim (Active Sync) Sim (Lync Online) 25 Sim Sim Sim (Active Sync) Sim (Lync Online) 25 Opcional Sim Sim (Active Sync) Sim (Google Chat) Sim (Google Docs) Sim (Google Sites) Sim No US$ 5 por usurio

Sim (Ofce Web Apps) Sim (Ofce Web Apps) Sim (SharePoint) No No US$ 6 por usurio Sim (SharePoint) Sim Sim US$ 10-27 por usurio

Tabela 1 Comparao entre o Ofce 365 e o Google Apps.

68

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Microsoft Office na nuvem

dispositivo Android. A partir da verso 2.3.4 do Android, o Gmail permite o suporte a chamadas de vdeo via tablets e smartphones. O Google Mail atualmente carece apenas de uma funo de calendrio integrado ao aplicativo: por enquanto, o usurio do servio ainda precisa abrir um calendrio em uma nova janela do navegador. O Google Sites outro componente essencial no Google Apps. Com ele o usurio pode criar modelos para construo de sites em projetos colaborativos ou para desenvolver uma intranet. Isso tambm possvel no Ofce 365 usando o SharePoint Online. Em outras palavras, o Google Apps tambm oferece a opo de armazenar documentos, tabelas e imagens para todos os usurios em um ambiente centralizado. Se o usurio precisa de uma opo colaborativa para armazenar documentos, tabelas e apresentaes, no podemos esquecer do Google Docs (figura 7). Esta ferramenta operacional independente fornece colaborao em documentos e/ou planilhas em tempo real diretamente do navegador. Por exemplo, possvel ver em tempo real como outros usurios fazem alteraes ou adicionam comentrios dentro de um documento.

Figura 6 Interface do Google Mail para domnios prprios.

oferecido em edies mais caras para mdias e grandes empresas. Dependendo do nmero de caixas de correio que o usurio precisa para migrar, e do tamanho, copiar todos os dados pode demorar vrias horas ou at mais.

Integrao com aplicativos Ofce


A Microsoft foi a precursora de aplicativos de escritrio, tais como Word, Excel, PowerPoint e Outlook. No entanto, o Google oferece o Google Sync ( figura 8) para o Outlook e o Google Cloud Connect (sincronizao automtica com Google Docs para texto, tabelas e apresentaes) para integrar seus produtos com o pacote Office da Microsoft. Isto posto, as ferramentas do Google no oferecem os mesmos recursos que o usurio possa estar acostumado em muitos casos.

Movimento para a nuvem


Para muitos administradores, a perspectiva de migrar de um servidor de correio local para a nuvem um ponto interessante. Como se poderia esperar, o Office 365 suporta a migrao simples de uma infraestrutura existente do Exchange para o Exchange Online. Dependendo da verso utilizada do Exchange, o uso paralelo e temporrio da infraestrutura local do Exchange e do Office 365 tambm possvel, incluindo a sincronizao entre as caixas de correio do usurio em ambos os sistemas. Se o usurio possuir um sistema de correio diferente, tambm poder migrar caixas de correio existentes na nuvem via IMAP. O Google Apps fornece suporte a essas opes de migrao e, adicionalmente, oferece o Directory Sync para sincronizao automtica de usurios e grupos em sistemas existentes de LDAP, como o Active Directory. Este recurso tambm est disponvel no Office 365, ainda que seja
Admin Magazine #7 | Setembro de 2012

A qualquer hora, em qualquer lugar


Nestes tempos de smartphones e tablets, a capacidade de integrao entre dispositivos mveis desempenha um papel importante em empresas de qualquer tamanho. Ao identicar automaticamente as conguraes do servidor do Exchange Online, o Ofce 365 oferece uma soluo mais amigvel do que a oferecida pelo Google Apps, quando se trata de estabelecer a sincronizao de emails, contatos e tarefas. Por exemplo, o Office 365 exige apenas o endereo de email e senha e, em seguida, au-

69

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

TECNOLOGIA

Microsoft Office na nuvem

os quais o Google Apps s espera que o usurio digite o endereo de email e senha. Mas ambas as solues suportam o protocolo ActiveSync da Microsoft, email e pedidos de nomeao; e todas as novas solicitaes criadas no Outlook so sincronizadas imediatamente, quase em tempo real, com dispositivos mveis.
Figura 7 Sistema operacional independente de colaborao em documentos do Google Docs.

Concluso
Particularmente para pequenas empresas, mas tambm para mdias empresas com equipes reduzidas de TI, migrar para o novo servio de nuvem da Microsoft faz total sentido. Embora o Office 365 custe mais que o Google Apps, a curva de aprendizado muito mais fcil para os usurios por conta do seu visual familiar. Para estruturas mais complexas e grandes empresas, o Google Apps a opo preferida para migrao da comunicao e colaborao digitais para a nuvem devido ao menor custo e maior flexibilidade da plataforma. Antes de estabelecer um comprometimento em migrar para a nuvem, recomenda-se testar gratuitamente os produtos oferecidos. Fazer isso ajudar a determinar qual dessas solues a mais adequada s necessidades de uma empresa.

tomaticamente descobre os detalhes do servidor. Para fazer isso, usa um registro DNS simples (autodiscover.//yourdomain//.com), que por sua vez utiliza a funo Exchange Online Autodiscover [3] como alvo. Esta funo tambm suportada pelo Android, iOS e Windows Phone 7. O Google Apps tambm suporta integrao de dispositivos mveis; no entanto, o usurio deve entrar com suas configuraes diretamente no servidor. A exceo o uso de dispositivos Android, para

Mais informaes
[1] Microsoft Ofce 365: http://www. microsoft.com/pt-pt/ofce365/ online-software.aspx [2] Como congurar o Ofce 365: http:// www.microsoft.com/pt-pt/ofce365/ deployment-support.aspx [3] Descoberta Automtica e o Exchange 2007: http://technet.microsoft.com/ pt-br/library/bb232838(v=exchg.80). aspx [4] Ofce 365 e-book download: http://download.microsoft.com/ download/1/2/F/12F1FF78-73E1-47149A08-6A76FA3DA769/656949ebook.pdf [5] Google Apps for Business: http://www. google.com/apps/intl/en/business/ index.html

Figura 8 O Google Apps permite que os usurios trabalhem tambm com o Outlook.

O autor
Bjrn Brstinghaus administrador de sistemas na simyo GmbH, em Dusseldorf, Alemanha. No tempo livre, mantm o Bjorns Windows Blog, blog sobre assuntos ligados ao Microsoft Windows.

Gostou deste artigo?


Veja este artigo em nosso site: http://www.lnm.com.br/admin/article/7448 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

70

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Gesto de bibliotecas do Windows

Uma questo de vista


Bibliotecas do Windows 7 podem agrupar logicamente diretrios fsicos e oferecer uma viso compartilhada de arquivos, com melhor visibilidade de dados importantes e consequente ecincia no gerenciamento de documentos.
por Thomas Joos

m uma selva de compartilhamentos e unidades de rede, fcil perder o controle. Onde esto exatamente aqueles modelos de formulrios de pedido de frias? Neste contexto, entram em cena bibliotecas que permitem agrupar locais de armazenamento diferentes e ajudam a criar uma viso compartilhada. Esta congurao faz sentido, por exemplo, quando os administradores redirecionam pastas ou bibliotecas inteiras para os servidores. O usurio pode fazer isso no somente em um domnio normal do Active Directory no Windows Server 2008 R2 e no Windows 7, mas tambm no SBS 2011. Em conjunto com o Windows Server 2008 R2 possvel, ainda, usar polticas de grupo para gerenciar bibliotecas. O Windows exibe bibliotecas diretamente no Explorer em uma rea separada no lado esquerdo do navegador, mesmo sem o Active Directory (gura 1). Os usurios podem criar novas bibliotecas atravs do menu de contexto de uma biblioteca existente ou modicar as conguraes para bibliotecas-padro. As propriedades de uma biblioteca denem os diretrios fsicos que ela contm e os exibe; bibliotecas podem se estender por vrias unidades fsicas e diretrios diferentes. Ao pressionar um boto, o usurio ver o contedo de todos os diretrios includos em uma nica janela. Quando um usurio seleciona uma biblioteca para armazenar um arquivo, o Windows salva o arquivo no diretrio congurado. Alm disso, tambm possvel especicar o tipo de arquivo que a biblioteca deve conter. O Windows, ento, otimiza a exibio da biblioteca para reetir a escolha feita pelo usurio. As bibliotecas, no entanto, no podem conter caminhos de rede (ou seja, os compar-

tilhamentos em outros computadores), pois somente suportam diretrios indexados. O Windows procura esses diretrios constantemente em segundo plano e armazena os resultados em um ndice. No entanto, existe a opo de redirecionar as bibliotecas e diretrios para um servidor, um processo que completamente transparente para o usurio. Para adicionar caminhos de bibliotecas de rede, o usurio precisar congurar os diretrios como arquivos ofine. O Windows, ento, transfere os arquivos do servidor para um cache no cliente local. A disponibilidade ofine pode ser denida para unidades de rede completas ou apenas para subdiretrios individuais. No entanto, s possvel denir aes em arquivos ofine no cliente se o servidor estiver congurado para dar suporte a esta tarefa. Embora este comportamento seja a congurao padro, poder ser desativado individualmente para qualquer compartilhamento.

Arquivos ofine para compartilhamentos de rede


No Windows Server 2008 R2, o usurio pode gerenciar o uso de arquivos ofine atravs das propriedades de compartilhamento. A disponibilidade ofine gerida pela opo cache (gura 2). Vrias opes controlam o acesso e concedem os direitos dos usurios para congurar o acesso ofine aos diretrios em servidores. Quando habilitada a opo Nenhum arquivo ou programas da pasta compartilhada esto disponveis online, a opo Sempre disponvel ofine no ser mostrada no menu de contexto para

Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

71

TECNOLOGIA

Gesto de bibliotecas do Windows

executveis neste compartilhamento permaneam disponveis no cliente se utilizados uma vez. Neste caso, prera denir as permisses no compartilhamento para leitura; dessa forma, o Windows sincronizar programas modicados.

Bibliotecas e diretivas de grupo


Se voc quiser salvar diretrios especcos automaticamente de suas bibliotecas em um servidor sem que os usurios percebam, voc pode usar uma poltica de grupo. As bibliotecas de documentos usam o caminho da conta de perl do usurio e do perl pblico em um cliente, por padro, o que signica que os documentos no so salvos no servidor quando os usurios salvarem documentos em bibliotecas. As polticas de grupo permitem que o usurio redirecione as pastas sem desvio atravs de arquivos ofine. O Windows 7 e o Windows Server 2008 R2 permitem redirecionar pastas especcas dentro do perl do usurio para uma unidade do servidor, garantindo que todos os dados de um usurio salvos em uma biblioteca terminem automaticamente no servidor. Use o redirecionamento de pasta na poltica de grupo para redirecionar essas pastas. As conguraes esto disponveis no editor de gerenciamento de polticas de grupo em User/Conguration/Policies/Windows Settings/Folder Redirection (gura 3). Com o redirecionamento, o usurio pode direcionar pastas importantes nas bibliotecas-padro para diretrios no servidor. A guia Properties Target permite que o usurio dena as opes de redirecionamento, e preciso criar uma pasta raiz manualmente isto , um compartilhamento central que todos os usurios podem acessar. O Windows automaticamente cria subpastas para os usurios individualmente e congura as permisses correspondentes. Os usurios no precisam mapear o compartilhamento como uma unidade; os dados cam disponveis quando a biblioteca correspondente aberta no Explorer. Depois de criar o novo compartilhamento raiz, abra o gerenciador de poltica de grupo, navegue at User Conguration/Policies/Windows Settings/Folder Redirection abra o dilogo Properties para a pasta Documents, e clique na aba Target. Selecione a opo Basic Redirect everyones folder to the same location. Para Target folder location, ative a opo Create a folder for each user under the root path. Como caminho raiz,
www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Figura 1 O uso eciente de bibliotecas no Windows 7.

compartilhamento no lado do cliente. Pode-se tambm selecionar as seguintes variantes: Apenas os arquivos e programas especicados pelos usurios como disponveis ofine permitem aos usurios escolherem quais arquivos usar, com disponibilidade ofine no menu de contexto do compartilhamento. Todos os arquivos e programas que os usurios abrirem a partir da pasta compartilhada estaro automaticamente disponveis ofine. Esta opo estipula que o Windows 7 congura automaticamente cada arquivo aberto no compartilhamento com a disponibilidade ofine. A opo "otimizar para desempenho" permite que o usurio especique que os

Figura 2 Congurao de arquivos ofine no Windows Server 2008 R2.

72

Gesto de bibliotecas do Windows

dena \\<nome do servidor>\<compartilhamento que voc criou> e pressione OK (gura 4). A prxima vez que o usurio zer logon no computador, o Windows criar automaticamente uma pasta com o nome do usurio no compartilhamento criado. No futuro, todos os arquivos que o usurio armazenar em sua biblioteca Documents caro nesta pasta. Depois de congurar o redirecionamento, acesse as propriedades da biblioteca Documents no menu iniciar, e ver que o Windows armazena automaticamente os dados no servidor. Para garantir que os usurios possam acessar estes documentos quando o computador no estiver conectado rede, o Windows automaticamente permite a sincronizao ofine de arquivos.

Figura 3 Gerenciamento de redirecionamentos de pasta atravs de polticas de grupo.

Como usar um script para modicar as conguraes


As bibliotecas so conguradas atravs da interface grca e dos arquivos XML nos computadores clientes. Use scripts para modicar arquivos XML no lado do cliente ou de login para copiar os arquivos XML para os computadores. Os arquivos XML para as bibliotecas so armazenados no diretrio
C:\Users\<nomedousurio>\AppData\Roaming\ Microsoft\Windows\Libraries. Para tornar o

pre copiar o arquivo no momento do login, poder ter certeza de que a biblioteca usar sempre as mesmas conguraes. A cpia tambm funciona com o sistema em uso; aps a cpia, a biblioteca ir residir em C:\
Users\<nomedousurio>\AppData\Roaming\Microsoft\Windows\Libraries e imediatamente

AppData visvel, preciso mostrar arquivos ocultos em Organize/Folder and Search Option. Este diretrio contm as denies de congurao para as bibliotecas. Depois de abrir o arquivo de biblioteca no editor do Windows, o usurio pode modicar as conguraes, como por exemplo ao efetuar uma alterao do cone. O cone denido na linha <iconReference>imageres. dll,-1005</iconReference>. Tambm podemos usar os arquivos XML para controlar as bibliotecas em servidores Remote Desktop. Para isso, crie uma biblioteca com caminhos e conguraes arbitrrias e, em seguida, use as polticas de grupo para distribuir o arquivo XML para a biblioteca em seus computadores clientes, o que tornar a biblioteca disponvel no lado do cliente. Ao copiar um arquivo XML para um computador cliente ou servidor via Remote Desktop, por exemplo, o script de login, a poltica de grupo, ou propriedades do usurio automaticamente tornam a biblioteca disponvel no computador em questo, logo que o arquivo for copiado. Denies como o cone podem ser gerenciadas da mesma forma. Se o usurio semAdmin Magazine #7 | Setembro de 2012

entrar em vigor. Outra opo tornar as bibliotecas disponveis de forma centralizada atravs de um link no desktop. Para fazer isso, crie um link e depois use o script de login para copi-lo para os desktops dos usurios. Por exemplo, se quiser ver todos os programas do painel de controle em uma janela do Explorer, clique com o boto direito do mouse no desktop, selecione New e depois Link. O caminho que o usurio deve entrar seguinte:
explorer.exe shell:::{ED7BA470-8E54465E-825C-99712043E01C}

Alm do painel de controle, podemos usar a mesma abordagem para visualizar outras pastas do sistema, tais como a lixeira ou o Action Center, respectivamente:
645FF040-5081-101B-9F08-00AA002F954E BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6

A lista completa est disponvel no MSDN Library [1].

Scripts de login e diretivas de grupo


Depois de criar os arquivos de modelo para as bibliotecas, a maneira mais fcil de copi-los usar scripts de login. Os scripts de login clssicos so denidos na opo Prole das propriedades da conta de usurio. Esses scripts podem

73

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

TECNOLOGIA

Gesto de bibliotecas do Windows

e que scripts adicionais so lanados nas UOs subordinadas.

SBS 2011
Alm de redirecionamento legado de pasta no Active Directory, que tambm funciona no SBS 2011 Essentials, o SBS 2011 Standard oferece uma opo para o gerenciamento centralizado e redirecionamento de pasta no console de gerenciamento. Pressione a opo Folders nas propriedades da conta do usurio no console do SBS para denir o volume mximo de dados que permitido salvar; tambm possvel congurar o redirecionamento de pasta ao mesmo tempo. Este tipo de redirecionamento implica que o SBS 2011 automaticamente redirecione o acesso do usurio para o servidor quando este tenta acessar um diretrio local especco. Este acesso transparente para o utilizador, mas os dados so armazenados no servidor e no na estao de trabalho local. Podemos administrar o valor limite por meio do gerenciador de recursos do servidor de arquivos no grupo de programas de gesto, o que signica que o usurio no precisa criar uma pasta raiz manualmente no SBS Standard 2011. Todo este trabalho pode ser concludo convenientemente no console de gerenciamento do SBS. O redirecionamento de pasta em si tratado por polticas de grupo como em um Active Directory normal ou no SBS 2011 Essentials. Podemos tambm usar o console do SBS para denir quais pastas a estao de trabalho redireciona para o servidor SBS. Para fazer isso, clique em Users and Groups e, em seguida, na opo Users antes de clicar em Enable folder redirection to the server e marcar a caixa para cada pasta que os clientes devem redirecionar para o servidor (gura 5). A guia User Accounts permite que possamos marcar os usurios para os quais ser permitido o redirecionamento. Vale lembrar que talvez seja necessrio logar de duas a trs vezes depois desta alterao para que o servidor aplique as mudanas. Depois de habilitar o redirecionamento de pasta, o cliente Windows automaticamente salva todos os arquivos do usurio em algumas das pastas correspondentes no servidor, tais como a biblioteca de documentos. Todos estes processos so executados em segundo plano. Os arquivos permanecem no computador como uma cpia ofine, e permite aos usurios de dispositivos mveis trabalharem com eles em viagens.
www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Figura 4 Congurao do redirecionamento de pasta no SBS 2011 Essentials.

ser usados no Active Directory do Windows Server 2008 R2 sem nenhum problema. Para garantir que esses scripts sejam executados quando um usurio logar, copie-os para o compartilhamento Netlogon no controlador de domnio. Esta abordagem se aplica a outros programas ou scripts que so lanados pelos scripts de login. Depois que um script copiado para o compartilhamento netlogon, automaticamente espelhado para outros controladores de domnio pelo servio de replicao de arquivos (FRS). A localizao para o compartilhamento netlogon no Windows Server 2008 R2 o diretrio \Windows\SYSVOL\sysvol\<domnio>\scripts. Em um Active Directory, o usurio tambm pode implementar scripts de login e logout na inicializao e desligamento. Estes scripts esto localizados nas polticas de grupo em: Computer Conguration/Policies/Windows Settings/Scripts: scripts de inicializao e desligamento do computador. User Conguration/Policies/Windows Settings/ Scripts: scripts de login ou de logoff do usurio. Quando clicarmos duas vezes em uma entrada e selecionar Show Files, uma janela do Explorer aparecer. Precisamos ento copiar o arquivo de script e os arquivos de controle de biblioteca para este destino e pressionar o boto Add para selecionar o script. Alm disso, podemos usar polticas de grupo para combinar scripts clssicos e scripts de diretiva de grupo, assumindo que os scripts nas polticas de grupo so herdados pelas unidades organizacionais subordinadas (UOs)

74

Gesto de bibliotecas do Windows

Logo que o computador abrir uma conexo com o servidor, o cliente replica arquivos novos e modicados para o servidor. Os arquivos esto localizados em C:\Users\ FolderRedirections no servidor SBS e o servidor cria uma pasta separada para cada usurio. Podemos tambm acessar estes diretrios atravs do compartilhamento. O acesso a uma pasta redirecionada se parece com o acesso a uma pasta local do ponto de vista do usurio. A diferena que os dados so armazenados na pasta compartilhada no servidor. Se os usurios fazem logon na rede a partir de computadores diferentes, tero acesso aos arquivos em todos estes computadores.

Usurios no Active Directory


Pelo fato de os diretrios de bibliotecas estarem normalmente localizados no perl do usurio, podemos ativar pers para os usurios diretamente no servidor. Neste caso, o cliente copia automaticamente todos os arquivos da biblioteca para o servidor quando o usurio faz logoff. Dependendo do volume de dados, este processo pode demorar um pouco. Para migrar pers para o servidor, clique na guia Prole de uma conta de usurio no console de gerenciamento de usurios e computadores do Active Directory. No SBS Standard 2011, encontraremos as contas de usurio em <Domain>/MyBusiness/Users/SBSUSers. Esta a unidade organizacional que armazena todas as contas de usurio que criamos no console do SBS. Os pers tambm iro funcionar em condies normais de diretrios ativos. Para habilitar pers do servidor para seus usurios, acesse as propriedades de conta de usurio e siga para a aba de pers. Em seguida, digite o diretrio no qual deseja que o Windows salve o perl do usurio quando este zer logoff o qual ser carregado quando o usurio zer logon no caminho do

perl. A vantagem de usar pers no servidor que este estar disponvel em qualquer estao de trabalho na rede. Digitar o caminho automaticamente cria uma pasta vazia para o usurio. O caminho do perl denido no seguinte formato: \\<nome do servidor>\<nome do compatilhamento>\%nome do usurio%. O caminho do perl aponta para uma pasta na qual o perl do usurio ca armazenado. Se no for especicado um caminho, o Windows continuar a trabalhar com pers de usurio locais. Quando um usurio faz logon, o Windows verica se existe um caminho de perl para ele e se um perl no servidor foi denido. Se assim for, o Windows compara os pers no servidor e nos locais para ver qual mais recente; se o perl no servidor mais recente, o Windows carrega os arquivos modicados a partir deste perl no sistema local. Note que o grupo Everyone ou o grupo de segurana do qual o usurio membro deve estar habilitado para criar a pasta no compartilhamento de perl e para escrever nas pastas. Quando o usurio faz logon, o Windows atualiza o perl do servidor em funo de todos os arquivos modicados localmente. A primeira vez que zer login depois de denir um caminho de perl, o Windows ir ou carregar um perl predenido a partir do servidor, ou copiar o perl atual do usurio local para o servidor, quando o usurio zer logoff.

Mais informaes
[1] Nomes cannicos de itens do Painel de Controle: http://msdn.microsoft. com/pt-br/library/windows/desktop/ ee330741(v=vs.85).aspx

Gostou deste artigo?


Veja este artigo em nosso site: http://www.lnm.com.br/admin/ article/7476 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

Figura 5 Congurao do redirecionamento de pasta no SBS 2011.

Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

75

TECNOLOGIA

Clonagem de discos

Duelo de clones
Seu disco comea a fazer barulhos estranhos? Planeja uma grande alterao de hardware? Quatro ferramentas ajudam usurios e administradores Linux a mover e criar cpias de dados.
por Mela Eckenfels

e algum planeja mexer no hardware de um computador domstico ou um administrador Linux precisa criar um cluster com instalaes virtualizadas idnticas, cedo ou tarde a maioria dos usurios encara o desao de espelhar discos. Ao fazer isso, vale a pena aproximar-se do comando dd com algum respeito. Embora a ferramenta esteja sempre pronta para uso, o descuido pode causar danos irreparveis. Neste caso, se no possuir backups, pode esquecer seus dados enquanto se ocupar de reconstruir o sistema. Contudo, h solues que abrem uma rede de segurana. Ajuda convel para clonagem a promessa de dois live CDs: Clonezilla [1] e Ping [2]. Como alternativa, os usurios podem instalar o Mondo Rescue [3] ou um concorrente comercial chamado Storix System Backup Administrator [4]. Os benchmarks deste artigo cobrem a facilidade de uso e compatibilidade oferecida por diferentes sistemas de arquivos. Os candidatos tambm foram desaados a provar que podem criar imagens para mquinas virtuais e tambm se um disco multiboot (que permite a escolha de um entre vrios sistemas operacionais instalados em um mesmo computador) ainda inicia todos os sistemas operacionais aps a clonagem.

Clonezilla
O primeiro candidato foi lanado sob a GPLv2 e vem como uma grande edio dupla, onde os usurios podem escolher entre verses Debian ou Ubuntu. Imagens nas verses estvel e de

teste para diferentes arquiteturas esto disponveis na rea de download do site do projeto. Um auxlio para a melhor escolha de sistema est disponvel na FAQ [5]. Usamos a verso Ubuntu 2.1.12-37 baseada no Oneiric Ocelot; uma nova verso com o Precise Pangolin foi lanada depois. Para uso imediato, os autores do Clonezilla oferecem uma folha de referncia [6] com o passo-a-passo dos recursos mais importantes. Nos bastidores, ferramentas consolidadas como Partclone [7], Partimage [8], dd e ntfsclone, do pacote Ntfsprogs, cuidam do trabalho pesado. O Clonezilla compatvel com sistemas de arquivos ext2, ext3, ext4, ReiserFS, Reiser 4, XFS e JFS, assim como FAT, NTFS, HFS+ (Mac OS X) e UFS (Free/Net/OpenBSD). Se a ferramenta de clonagem encontra um sistema de arquivos desconhecido, ela o copia em blocos com o dd. O programa pode lidar com LVM (Logical Volume Maganer, ou Gerenciador de Volumes Lgicos) somente a partir da verso 2, e no pode trabalhar com RAIDs de software ou falsos (ou seja, RAIDs que dependem do processamento da CPU em vez da controladora). Aps iniciar o Live CD, selecione o idioma e o layout de teclado, se necessrio. A prxima deciso ca entre duas opes: device-image e device-device (gura 1). Se a opo for espelhar uma mquina em outra ou se desejar que o clone seja uma fotograa do estado atual da mquina, a primeira opo a escolha correta. No entanto, se o usurio desejar mover para um disco rgido maior, device-device a melhor escolha.
www.admin-magazine.com.br

76

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Clonagem de discos

Neste teste, optamos por device-image e depois escolhemos um local para a imagem. O Clonezilla oferece dispositivos locais como discos internos, externos e pendrives como possveis alvos; tambm funciona com data stores, acessveis pela rede. Para isso, compatvel com SSH, Samba e NFS. Contudo, a congurao de rede requer que o cabo esteja conectado ou uma congurao manual da placa WLAN com o iwcong. Uma congurao de rede s aconselhvel se no houver escolha. Clonar um disco cheio em um sistema-teste dual-boot de 250 GB levou cerca de oito horas com um dispositivo local. Clonar o mesmo conjunto na rede levaria vrios dias, como informa a convel previso do programa. Aps denir o alvo, escolha entre os modos beginner e expert. O modo beginner oferece a opo de clonar todo o disco ou parties individuais, e executa antes uma vericao do sistema de arquivos (apenas para sistemas Linux), e s depois verica se h erros na nova imagem. A opo de restaurar a imagem em um sistema diferente s est disponvel no menu do modo expert, em que o usurio pode decidir tambm qual ferramenta prefere para o trabalho nos bastidores. A deciso sobre uso de compresso e de qual tipo tambm reservada para experts, assim como a deciso sobre o tamanho mximo de um nico arquivo de imagem (o padro 2GB). primeira vista, o Clonezilla parece bem-estruturado, mas a surpresa est nos detalhes: se cometer um erro em um nico ponto do menu, sua nica sada para voltar ao estado anterior ser comear tudo de novo. A quarta opo no menu Reboot tambm problemtica porque o Clonezilla no remove um drive montado. Um incio novo e limpo s pode ser assegurado pela opo Start Over.

restoreparts no modo expert. Depois disso, hora de fazer alguns ajustes nos. Entre outras coisas, o Clonezilla oferece a opo de restaurar o MBR e o hostname Windows automaticamente. Usurios tambm podem decidir basear a nova tabela de partio no tamanho atual do disco rgido. Usurios avanados tambm podem denir scripts que executam antes ou depois da instalao. Ao clonar a partio, no possvel converter para um outro sistema de arquivos ou gerar uma imagem de um disco fsico que funcione diretamente em uma mquina virtual. O Clonezilla introduziu compatibilidade com computadores EFI de tabelas de partio GUID em 2011. A regra n 1 do administrador diz que a maioria dos dados se perde ao restaurar um backup. Em nosso laboratrio, o Clonezilla infelizmente no foi exceo. Quando migrei o sistema dual-boot com Windows e Linux, a restaurao falhou em iniciar em alguns casos. H notas sobre como resgatar o sistema na folha de referncia mencionada antes. Mesmo se, primeira vista, tudo parece correr bem, isso no signica que a imagem utilizvel. Mesmo se precisar de resultados rpidos, melhor reservar tempo para testar os sistemas de arquivos e clones, antes de considerar que o resultado foi satisfatrio.

Ping
O segundo candidato tambm um Live CD. O Ping, da empresa francesa de TI Efteck, baseado no Linux from Scratch. O fornecedor oferece a ferramenta na verso livre (licena GPL) Community Edition ou na verso Enterprise por 30 euros, incluindo suporte por email e telefone. O arquivo ISO padro tem 35 MB; j uma verso avanada com o ClamAV ocupa 70MB. Em nosso laboratrio, usamos a verso 3.02. Ping signica "Partimage is not Ghost", uma referncia soluo comercial de backup para Windows, o Norton Ghost [9], do

Cpia perfeita?
Para restaurar uma imagem, inicie o Live CD na mquina-alvo e escolha restoredisk ou

Figura 1 O Clonezilla oferece dois modos: device-image e device-device.


Admin Magazine #7 | Setembro de 2012 Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

77

DATA CENTER

Clonagem de discos

Figura 2 O Ping no tem opes avanadas para clonagem direta para outras parties, converso do sistema de arquivos e recursos similares.

qual o sistema prefere se separar. No entanto, usurios podem ter momentos de estranhamento j que a interface Ping parece mais Windows que Linux. Nos bastidores, a ferramenta depende do Partclone e do Partimage. Assim, o programa pode lidar com quaisquer sistemas de arquivos compatveis com o Partimage: ext2/3/4, ReisferFS, FAT16/32, HPFS, JFS, XFS, UFS, HFS e NTFS. Aps inicializar, o Ping lembra o Clonezilla em termos de controles. No entanto, no h a opo de escolher o teclado e o usurio precisa se virar com o layout em ingls americano. O Ping tambm oferece a possibilidade de backup para um drive local ou na rede (Samba, NFS e FTP). Em submenus internos, usurios podem decidir se querem uma imagem comprimida ou se o programa deve usar o Partclone, ou at mesmo o tar, em vez do Partimage. E s a ferramenta no fornece um modo expert. O programa tambm bem espartano no que se refere a restaurar imagens (gura 2): a interface bastante limpa e adequada a iniciantes. A desvantagem que faltam recursos para clonar dados diretamente para outro drive, mudar o tipo de sistema de arquivos ou criar imagens de dispositivos para mquinas virtuais. O Ping tambm no compatvel com sistemas novos baseados em EFI. A ferramenta marcou pontos em nosso laboratrio por lidar melhor com o sistema dual-boot que o Clonezilla. Mas aqui tambm, ainda assim, nem tudo ocorreu sem trancos alguns ajustes no gerenciador de boot atravs do Shell do GRUB foram necessrios para a inicializao correta de ambos os sistemas.

no PC cujos discos o usurio deseja clonar. Na maioria das distribuies, a ferramenta requer os pacotes ao, mkisofs, mindi-busybox e mindi. As instrues para instalao nos diversos sistemas Linux esto disponveis na pgina de download. Usurios Ubuntu tm um conjunto prprio de instrues [10] para evitar um hack frustrante. Usei a verso 3.0.1 em meu teste. Devido sua natureza, o Mondo Rescue s compatvel com sistemas de arquivos do Linux, mas tambm leva em considerao parties Windows em mquinas dual-boot. Usurios precisam iniciar a ferramenta com privilgios root na linha de comando ou, melhor ainda, em runlevel1, onde no preciso desligar bancos de dados ou coisas semelhantes para evitar um clone inutilizvel depois. A opo mondoarchive espelha discos locais e o mondorestore ir restaur-los. A interface de usurio direta e fcil de usar. O Mondo Rescue guia o usurio passo a passo pela congurao, em direo a um backup funcional. O primeiro menu j mostra a pequena vantagem inicial que o programa oferece aos usurios, em comparao com os primeiros dois candidatos. Alm das opes oferecidas pelos sistemas live, o Mondo Rescue permite o uso de CDs, DVDs e tape drives como alvos (gura 3). Depois de denir o alvo, selecione o mtodo de compresso e decida qual contedo ser copiado e quais reas sero excludas. O Mondo Rescue clona, assim, sistemas de produo sem incluir pesos mortos como arquivos de log volumosos.

Pequeno rodeio
Regras diferentes se aplicam para sistemas multiboot em relao a live CDs. Em contraste com o Clonezilla e Ping, o Mondo Rescue trabalha com parties montadas. Se quiser clonar um computador com Linux e Windows, primeiro o usurio precisar montar a partio Windows e adicionar uma entrada para ela em /etc/fstab. No caso do NTFS, o Mondo Rescue pergunta se o usurio deseja incluir a partio no backup. Se sim, a ferramenta trata toda a partio NTFS como um nico grande arquivo (biggiele). Aps denir o alvo e o contedo, o Mondo Rescue comea sua tarefa. Independentemente de qual mdia de armazenamento for usada o programa sempre cria uma imagem inicializvel com o Mindi Linux; isso ajuda o usurio a iniciar a restaurao mais tarde (guwww.admin-magazine.com.br

Mondo Rescue
Diferentemente dos primeiros dois candidatos, com o Mondo Rescue no se pode simplesmente inserir, reiniciar e pronto. Lanado sob a GPL, o Mondo Rescue precisa ser instalado

78

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Clonagem de discos

o kernel, mdulos, ferramentas e bibliotecas, assim como um conjunto completo de dados sobre a mdia de backup usada em cada caso. preciso cuidado no caso de clonar para um diretrio na rede e tentar restaurar em um computador de outra rede. A tarefa vai falhar porque as conguraes de rede armazenadas no arquivo ISO no sero mais vlidas. Assim que o mondoarchive completar o trabalho, o usurio pode vericar a integridade dos backups ao inicializar a mdia de resgate e digitar:
Lilo: compare

na linha de comando. O processo de restaurao tambm comea com a mdia de resgate. A ferramenta oferece trs opes: Interactive (guia o usurio pelas etapas), Nuke (restaurao do sistema sem interveno do usurio) e Expert (opes e ferramentas adicionais). O modo expert fornece as ferramentas que os usurios precisam para mudar as parties ou a geometria do disco, migrar para um sistema RAID ou converter para um novo sistema de arquivos. O Mondo Rescue automaticamente modica as entradas em /etc/fstab, embora seja necessria alguma vericao manual no caso de RAID [11]. O programa no encontra problemas para criar discos para mquinas virtuais. Para fazer isso, inicie a mdia de boot criada pelo Mondo e restaure o sistema na mquina virtual. Mas o uso do Lilo no o nico aspecto que deixa o Mondo Rescue datado. Este candidato tambm no pode trabalhar com tabelas de partio GUID.

Figura 3 Alm de CDs e DVDs, o Mondo tambm lida com tape drives, outros discos, pendrives e compartilhamentos de rede (Samba e NFS).

Storix System Backup Administrator


O Storix System Backup Administrator uma ferramenta comercial de backup e clonagem que contempla uma abordagem similar a do Mondo Rescue ao exigir que o usurio o instale no sistema que ser clonado. O fornecedor oferece trs verses: Linux (32 e 64-bit), AIX e Solaris. Os preos para Workstation Edition comeam em US$ 500 para a verso Linux e sobem at US$ 820 para o Solaris Sparc. Usurios precisam pagar um valor extra para obter uma licena de criptograa (AES 256-bit), que custa entre US$ 300 e US$ 379.
Admin Magazine #7 | Setembro de 2012

Para uso em servidores, o fornecedor oferece uma verso Network Edition, e a TSM Edition voltada para o IBM Tivoli Storage Manager. A empresa calcula os preos destas duas verses com base nos requerimentos especcos dos clientes. O Storix trabalha com todos os sistemas de arquivos relevantes, LVMs e RAIDs. Tudo isso possvel pelos diversos tipos de clonagem: System Backup, Logical Volume Backup, Filesystem Backup, Directory Backup e Partition Backup. Em nosso laboratrio, usamos a verso trial de 30 dias (7.2.4.4) disponvel na seo de downloads sob a forma de um arquivo tar. Aps iniciar o processo de instalao na linha de comando, primeiro o usurio escolhe entre as verses workstation ou network. Aps congurar o Storix, um servio inicia ao fundo; possvel acess-lo tanto via interface online

Figura 4 O Mindi Linux cria uma imagem inicializvel, que o Mondo requer.

79

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

DATA CENTER

ra 4), com ou sem interao. A imagem inclui

Clonagem de discos

Figura 5 A interface do Storix parece um pouco antiquada. Todos os menus listados aqui tambm esto disponveis na interface online.

tual com a mdia de restaurao, acessam o backup e restauram o sistema dentro da mquina virtual. Alm disso, o programa pode modicar sistemas de arquivos restaurados, mudando o tipo ou tamanho das parties. O Storix tambm compatvel com sistemas EFI e tabelas de partio GUID. O produto tem um fator de venda nico, que torna as empresas como sendo claramente seu alvo primrio: graas ao gerenciamento de usurios integrado, administradores podem designar a tarefa da realizao de backups regulares para usurios no privilegiados.

Gmeos idnticos
Todos os quatro candidatos provaram ser ferramentas teis que conavelmente clonaram o disco em nossa mquina de testes. Foram reveladas diferenas, especialmente no modo como lidaram com a restaurao de um sistema dual-boot. Em relao aos live CDs, o Ping chega na frente por uma diferena milimtrica, ainda que a ferramenta lembre demais um aplicativo Windows. Em relao s outras duas solues, uma questo de avaliar onde e por que o usurio necessita de uma ferramenta de clonagem. O Storix System Backup Administrator complexo e tem uma curva de aprendizado elevada. A soluo comercial desproporcionalmente grande para uso domstico ou em pequenas empresas. Os recursos e os preos obviamente se alinham com o uso em grandes companhias e, mesmo assim, o aplicativo s faz sentido se as diversas opes de converso forem necessrias. O Mondo Rescue minha recomendao para o usurio domstico, e marca muitos pontos no que se refere facilidade de uso; especialmente til se o usurio no puder desligar a mquina-fonte por algumas horas: a ferramenta trabalha com sistemas de arquivos ativos. No entanto, por causa disso, paira uma certa desconana com todas as desvantagens que os usurios precisam lidar ao aceitar a clonagem de sistemas de arquivos montados com arquivos abertos.

(http:/localhost:8080) ou via interface X11 (iniciada com o comando sbadmin) (gura 5). Para clonar um sistema completo com um ou mais discos, necessrio usar a opo Congure/System Backup Disks; depois, Backup Job, selecionando System Backup como tipo. A opo Run Backup Job do menu Actions inicia o processo. Se, em vez disso, escolher Filesystem Backup para um local de rede ou tape drive, siga para o menu Utilities e crie uma mdia de boot (boot medium); a restaurao funciona como no Mondo Rescue. O Storix System Backup Administrator usa o mesmo caminho que o Mondo Rescue para converter um clone em uma mquina virtual. Os usurios iniciam a mquina vir-

Mais informaes
[1] Clonezilla: http://www.clonezilla.org/ [2] Ping: http://ping.windowsdream.com/ [3] Mondo Rescue: http://www.mondorescue.org/ [4] Storix System Backup Administrator: http://www.storix.com/ [5] FAQ Clonezilla: http://drbl.org/faq/ [6] Folha de referncia do Clonezilla: http:// clonezilla.org/downloads/doc/ clonezilla-live-stable-doc.php [7] Partclone: http://partclone.org/ [8] Partimage: http://www.partimage.org/ [9] Norton Ghost: http://www.norton.com/ghost/ [10] Instalao do Mondo Rescue no Ubuntu: https:// help.ubuntu.com/community/MondoMindi [11] Mondo para migrao RAID: http:// www.mondorescue.org/docs/ mondorescue-howto.html#AEN951

Gostou deste artigo?


Veja este artigo em nosso site: http://www.lnm.com.br/admin/article/7472 Queremos ouvir sua opinio. Fale conosco em: cartas@admin-magazine.com.br

80

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Calendrio de eventos
Evento Data Local Informaes
EVENTOS

Dev in Sampa

15 de setembro

So Paulo, SP

http://www.devinsampa.com.br/

OWASP Floripa Day

15 e 16 de setembro

Florianpolis, SC

http://www.owasp.org/index.php/ OWASP_Floripa_Day_2012

Latinoware 2012

17 a 19 de outubro

Foz do Iguau, PR

http://2012.latinoware.org/

DevDay 2012

20 de outubro

Belo Horizonte, MG

http://devday.devisland.com/

FrontInSampa

3 de novembro

So Paulo, SP

http://www.frontinsampa.com.br/

J chegou ao Brasil a maior revista da Europa pa de informtica e tecnologia ogia

computao e tecnologia
Adquira o seu exemplar pelo site
Admin Magazine #7 | Setembro de 2012

www.lnm.com.br/shopping g
Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

81

Preview

Admin Magazine #08


Controle de trfego
Melhore o desempenho da sua rede com verses do kernel apropriadas para o controle de trfego. Comparamos 6 diferentes sistemas de arquivos, saiba qual o mais adequado para as suas necessidades. Realize backups dos dados de toda a sua rede atravs de ferramentas como Burp, Obnam e Backshift. Voc conhece o mais novo modelo de fornecimento de sistemas de bancos de dados para a nuvem? O modelo database-as-a-service tambm um dos destaques da prxima edio da Admin Magazine, no perca!

Linux Magazine #95


Preveno contra invaso
Novas vulnerabilidades surgem todos os dias. Para manter sua rede segura, voc precisa pensar como um invasor! Conhea ferramentas para manter sua rede segura e encontre potenciais focos de problema com ferramentas como o OpenVAS. Saiba como anda o nvel de segurana das redes que j funcionam no protocolo IPv6 e aprenda como capturar e filtrar as atividades de sua rede para encontrar evidncias de ataques ou invases. Tudo isso e muito mais, na prxima edio da Linux Magazine!

82

www.admin-magazine.com.br Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).

Linux New Media do Brasil Editora Ltda. Este documento para uso exclusivo de Victor Junior Rodrigues Barbosa (CPF/CNPJ: 93150083168).