Even me. . .|some things about some things.

Como todos os que usam sabem, o Java da Sun, distribuído oficialmente, não possui plugin para navegador web em ambiente 64bits. Teríamos uma possível solução com o OpenJDK, mas este não funciona corretamente em vários ambientes de autenticação, como por exemplo o Banco do Brasil.

Pois agora, eu e o Paulo Matias resolvemos compilar o que estava disponível e utilizável (por sinal, utilizado nos BSD’s), entenda como códigos-fonte, e fizemos nosso próprio sun-jre COM plugin para o navegador web!

A coisa toda foi um pouco complicada e demorada. Usamos basicamente o que já estava disponível para FreeBSD e NetBSD e fomos adaptando para o ArchLinux. Precisamos de bastante espaço em disco e uma certa paciência. Mas como boa parte do processo é automatizado pela PKGBUILD, facilita todo o trabalho. Vamos ao work de verdade:

Primeira coisa que precisamos é dos fontes, como não podem ser redistribuídos por causa da licença JRL, temos que fazer o download manualmente, consumindo aproximandamente 125MB.

Arquivo: bsd-jdk16-patches-4.tar.bz2
Link: http://www.eyesbeyond.com/freebsddom/java/JDK16JRLConfirm.html
O que é: “Patchset 4″

Arquivo: jdk-6u3-fcs-bin-b05-jrl-24_sep_2007.jar
Link: http://www.java.net/download/jdk6/6u3/promoted/b05/jdk-6u3-fcs-bin-b05-jrl-24_sep_2007.jar
O que é: “JDK Binaries for Source Build 6u3″

Arquivo: jdk-6u3-fcs-src-b05-jrl-24_sep_2007.jar
Link: http://www.java.net/download/jdk6/6u3/promoted/b05/jdk-6u3-fcs-src-b05-jrl-24_sep_2007.jar
O que é: “JDK 6u3 Source under the JRL license”

Arquivo: jdk-6u3-fcs-mozilla_headers-b05-unix-24_sep_2007.jar
Link: http://www.java.net/download/jdk6/6u3/promoted/b05/jdk-6u3-fcs-mozilla_headers-b05-unix-24_sep_2007.jar
O que é: “Mozilla Binaries for Source Build 6u3 (Unix)”

Baixe tudo num diretório só e vá ao AUR pegar o tarball do sun-jdk-jrl. Siga o trabalho de sempre:

$ wget http://aur.archlinux.org/packages/sun-jdk-jrl/sun-jdk-jrl.tar.gz

$ tar -vzxf sun-jdk-jrl.tar.gz

Atenção, o processo abaixo exige em torno de 4GB de disco para compilar. Então, libere um espaço onde você deseja compilar para poder terminar o processo. Depois de compilado e instalado, você pode apagar o diretório. Outro detalhe é que você precisa aceitar as licenças antes de começar a compilar, preste atenção à elas antes de continuar.

$ makepkg -c

Pronto, o pacote tá feito! Deve ter um arquivo sun-jdk-jrl-VERSAO-x86_64.pkg.tar.gz no diretório, é só instalar com o pacman:

# pacman -U sun-jdk-jrl-6u3-1-x86_64.pkg.tar.gz

Para provar que o negócio funciona mesmo, abaixo umas screenshots do browser rodando o site do Banco do Brasil:

Teclado Virtual

Fazendo transferências

   Enviar artigo em PDF para

Trabalhar com segurança de informação, ou pelo menos pesquisar, estudar e testar muito isso, requer fazer alguns procedimentos para que a máquina não facilite a vida de um possível visitante indesejado. Antes de pensar em ferramentas, precisamos pensar na máquina crua, no post_install().

Primeiro de tudo, independente da distribuição, a maioria dos arquivos base são os mesmos, como fstab, login.defs, securetty… Então, vamos precisar melhorar o que vem de genérico numa instalação, pois você em seu desktop pode não se incomodar em ter alguns padrões no seu linux, mas um sysadmin precisa se preocupar.

Tudo é questão de configuração geral, então estaremos tratando do diretório /etc lógico. Começe pelos seguintes arquivos:

login.defs:

#Permite uma nova tentativa de login em 5 segundos no caso de falha
FAIL_DELAY 5
#Registra também contas de usuário falsas quando há tentativas de login com falhas
LOG_UNKFAIL_ENAB yes
#Registra também logins realizados com sucesso
LOG_OK_LOGINS yes
#Define /var/log/sulog como arquivo que detêm os registros do uso de su
SULOG_FILE /var/log/sulog
#Registra tentativas de mudança de usuário
SYSLOG_SU_ENAB yes

host.conf:

#Procura os nomes primeiro no DNS, depois no arquivo local
order bind, hosts
#Retorna todos os endereços válidos para uma máquina
multi on
#Tenta impedir spoofing de hostname
nospoof on
#Gera mensagem de alerta no caso de spoofing utilizando o syslog
spoofalert on

securetty:

# cp /etc/securetty{,.old}
# >/etc/securetty

#Permite que o root logue apenas uma vez em apenas um terminal
#Se você não quer que o root faça login, comente as linhas abaixo
console
vc/1

shells:

#Habilite somente os shells que você usa
/bin/bash
/bin/sh
#Somente se você usar screen
/bin/screen

Desative o suid em partições home, var, tmp:

fstab:
Utilize as opções abaixo nas respectivas partições:

/var	        nosuid,nodev,noexec
/home           nosuid,nodev
/usr	        nodev

#Exemplo de partição:
/dev/sdb1 /home reiserfs nodev,nosuid,auto 1 2

Retire todos os usuários que não possuem shell válida e são inúteis (como games, irc, list, lp etc).

Você deve impedir reinicalização com ctrl+alt+del (após isso, precisa fazer #init q):

inittab:

#Comentar a linha abaixo:
#a::ctrlaltdel:/sbin/shutdown -t3 -r now

Configure o ntp para sincronizar hora em um dos servidores da RNP (eu os considero muito confiáveis).

Adicione o conteúdo abaixo no /etc/profile:

TMOUT=3600
export TMOUT

ssh/sshd_config:

#Configure uma porta diferente da 22
Port 2130
#Por favor, utilize a versão 2…
Protocol 2
#Define o tempo máximo que o usuário tem para digitar a senha
LoginGraceTime 30
#Não permite que root logue via ssh
PermitRootLogin no
#Não permite senhas em branco
PermitEmptyPasswords no
#Impede que se use a interface gráfica via ssh
X11Forwarding no

Continua no próximo capítulo…

   Enviar artigo em PDF para

Logo depois do FISL 9, começamos a pensar no FISL 10, pois ser estagiária e guardar dinheiro não são sinônimos. Então, temos até abril para guardar dinheiro. Poxa, abril… abril é meio de semestre, meio de trabalho, meio de tudo. Daí fui procurar datas para começar a organizar quando iremos e voltaremos. Então foi que descobri que o FISL 10 não será em abril, será em JUNHO! Mais exatamente 25 a 28 de junho!!!

Êba!!!! Junho, inverno, longe da bagunça do são joão nordestino, dos fogos de artifício (tem gente que compra um caminhão de fogos pra queimar dinheiro)!!! Mas peraê! Junho, alta estação, onde tá tudo caro, passagem, hospedagem, ainda mais no Sul… E pior ainda pra quem quer ir pra serra gaúcha como eu!

Bem, agora é refazer toda a agenda, juntar mais dinheiro ainda pra pagar a alta estação, comprar mais casacos, preparar uma palestra, juntar mais dinheiro… Ah, sem contar que semestre que vem TENHO que passar direto em todas as matérias, senão volto em cima das finais…

   Enviar artigo em PDF para

Depois de começar a me engajar mais no projeto oficial, decidi que queria participar ainda mais. Semana passada submeti minha proposta para ser uma Trusted User. E hoje sai o resultado da votação. . . agora sou mais uma TU, ou melhor, a única TU. Isso porque todos os TU’s eram homens. Bem, obrigada a todos os que ajudaram, torceram e deram seus votos. A votação foi 20 sim, 0 não e 3 abstenções. Obrigada pessoal!

   Enviar artigo em PDF para

Legal quando você está aplicando políticas de segurança e vê o servidor parar de logar e responder aos serviços web. . . Melhor ainda é levar 10 minutos pra descobrir que o / estava com chmod 0600.

O que causou? Um comando do mal:

/root # chmod 0600 .*

Diabos, porque eu não pensei nisso:

# ls -la /root/
drwxr-x— 5 root root 4096 Set 17 16:32 .
drwxr-xr-x 20 root root 4096 Set 11 09:29 ..
-rw-r–r– 1 root root 905 Set 11 09:48 .bash_aliases
-rw——- 1 root root 13676 Set 17 17:05 .bash_history
-rw-r–r– 1 root root 4956 Set 11 09:48 .bashrc

Bah! .* englobou o . e o .. !
Como eu estava dentro do /root, o .. foi o / e ele também foi pro chmod 0600. . . Que coisa feia. . .

   Enviar artigo em PDF para