sexta-feira, 26 de novembro de 2010

Notas (realmente) rápidas da semana

Algumas notícias que merecem destaque:
  • Lançado o Pidgin 2.7.7. A nova versão corrige de forma definitiva o bug existente com a cadeia de certificados da rede MSN;
  • Pouco mais de um mês após o lançamento do Asterisk 1.8, já foi disponibilizada a versão 1.8.1-rc. Leia o changelog completo e, se quiser testá-lo, faça o download aqui;
  • Lançado o Horde Webmail Groupware Edition 1.2.9. Baixe o mesmo aqui;
  • Anunciado para o dia 29/11 o lançamento da versão 0.96.5 do ClamAV, que traz uma série de correções e pequenas melhorias (leia o changelog aqui). Os desenvolvedores contam com a ajuda dos sysadmins para testar (ou somente compilar) o novo release. Se tiver interesse em colaborar utilize o snapshot atualizado disponível no repositório Git do projeto.


quinta-feira, 4 de novembro de 2010

Google mod_pagespeed - acelerando seu servidor Apache

Depois de disponibilizar no ano passado o Page Speed (ferramenta para aceleração do carregamento de conteúdos de sites), o Google lançou essa semana o mod_pagespeed, um módulo para o servidor HTTP Apache (versão 2.2) que promete aumentar em até 50% a velocidade de carga de sites, otimizando 15 itens diferentes de forma automática.

Veja um vídeo comparativo abaixo:




De fácil instalação, e com pacotes rpm e deb, o módulo (bem como a extensão já existente para Firefox) podem ser baixados aqui.



quarta-feira, 3 de novembro de 2010

Notas rápidas da semana (Pidgin e Asterisk)


Algumas notícias da semana que merecem destaque:
  • Lançado o Pidgin 2.7.5 , versão de correção de bugs do conhecido cliente IM (e que traz algumas pequenas melhorias). ChangeLog completo aqui.
  • Lançado também o Wiki do Asterisk (anunciado na Astricon 2010). O Wiki do Asterisk pretende ser uma grande fonte de referência para o software, disponibilizando documentações, informações sobre o desenvolvimento e muito mais. Se for tudo que promete, será a mina de ouro dos sysadmins da ferramenta.
  • Outra notícia relevante (anunciada na Astricon 2010) foi o lançamento do Asterisk SCF. O Asterisk SCF (Asterisk Scalable Communications Framework) é uma plataforma de comunicações e suite de aplicações que pretende ser extensível, escalável e distribuída (além, é claro, de ser open source). Suas metas são:
1. Escalabilidade
2. Alta disponibilidade e tolerância a falhas
3. Extensibilidade
4. Performance

Como, na minha opinião, só as notícias do Asterisk já valiam um post, as "Notas rápidas da semana" foram antecipadas de sexta para quarta. Se houverem mais notícias importantes, uma edição extra será lançada.

Uso de senhas fortes no samba

Um recurso muito útil (e nem sempre utilizado) do Samba é o controle da qualidade (e validade) da senha dos usuários.

Para implementar tal controle é possível fazer uso de duas ferramentas diferentes (que podem, e devem, ser usadas em conjunto): pdbedit e crackcheck.

pdbedit

O pdbedit é uma ferramenta que pode ser utilizada para, entre outras coisas, configurar algumas políticas de senha do samba.

Com o pdbedit é possível setar o seguinte:
  • maximum password age - validade máxima da senhas (em segundos);
  • minimum password age - validade mínima da senhas (em segundos);
  • min password length - tamanho mínimo (caracteres) da senha;
  • password history - histórico de senhas (não permite o uso das últimas X senhas);
  • bad lockout attempt - número máximo de erros da senha, antes que a conta seja bloqueada;
  • lockout duration - tempo de bloqueio da conta (em minutos);
  • reset count minutes - tempo necessário para resetar o contador de senhas erradas (em minutos);
Todas essas políticas podem ser facilmente visualizadas com o comando:
pdbedit -P "nome_da_política"

A alteração de uma determinada política pode ser realizada com o comando:
pdbedit -P "nome_da_política" -C novo_valor_da_política

Ou, de forma similar, com o comando:
net sam policy set "nome_da_política" novo_valor_da_política


ATENÇÃO:
a política de senhas é implementada para todo o domínio e não pode ser administrada por conta.

ATENÇÃO 2: as políticas do domínio respeitam as configurações específicas das contas. Por exemplo: se você configurar que as senhas dos usuários tem validade máxima de 90 dias, mas quiser que uma determinada conta não tenha sua senha expirada nunca, use o comando:
net sam set pwnoexp login yes

ATENÇÃO 3: se você utilizar o OpenLDAP como backend dos usuários e senhas do Samba, é fundamental que o arquivo samba.schema seja da mesma versão do Samba que você estiver rodando.

Como foi possível perceber, as políticas tratadas pelo pdbedit já implementam um relativo controle das senhas, mas somente o uso destas não garante que a senha do usuário seja forte. E e aí que entra em cena o crackcheck.

crackcheck

O crackcheck é uma ferramenta que já vem com o Samba, e que faz uso da cracklib para controlar a qualidade das senhas dos usuários.

Antes de mais nada, é preciso esclarecer que esse post não pretende discutir os aspectos técnicos da ferramenta, e nem tratar do desenvolvimento de dicionários próprios (algo que poderá gerar uma postagem futura). Neste vou simplesmente explicar como forçar o uso de senhas como as utilizadas no Windows NT e no AD.

A política padrão de senhas do NT/AD implementa a seguinte regra: é preciso que a senha possua três entre quatro dos grupos de caracteres: letras maiúsculas, letras minúsculas, números e caracteres não alfabéticos (ex: #, $, *, etc...)

Se você utiliza Debian ou Ubuntu, a implementação desse recurso é bastante simples:
  • Instale os pacotes samba-doc, libcrack2-dev e libtool;
  • Acesse o diretório /usr/share/doc/samba-doc/examples/auth/crackcheck;
  • Compile o software e copie-o para o diretório /usr/local/sbin;
Adicione a seguinte linha a seu arquivo smb.conf e recarregue o samba:
check password script = /usr/local/sbin/crackcheck -s

Se você não quiser utilizar o crackcheck você poderá desenvolver seu próprio script de checagem de senhas, mas isso também é assunto para outra hora.