Hoje foi publicado uma máteria online de minha autoria na Linux Magazine, que mostra como utilizar o acct (GNU Accounting Utilities) um pacote de ferramentas que fornece desde logs dos comandos executados até estatísticas sobre as contas de usuário.
Para ler acesse aqui
Estou desenvolvendo uma aplicação em Java e necessitei utilizar o iReport para criar os relatórios, então baixei a última versão do iReport 3.6.1, como a aplicação é totalmente orientada a objetos precisei usar uma conexão com o banco de dados do tipo EJBQL,o que sinceramente foi uma briga, pois configurava o classpath do iReport (Ferramentas->Opções->Classpath) adicionando os jars da minha aplicação e nada de funcionar, depois de 4 horas apanhando consegui resolver o problema.
Tentarei mostrar um passo-a-passo para ajudar quem venha a ter o mesmo problema.
Instalando
tar -xzvf iReport-nb-3.6.1.tar.gz
Executando
cd iReport-nb-3.6.1\bin
./iReport
Depois de instalado temos que configurar um Datasource no meu caso escolhi EJBQL connection e logo depois informei o nome da fonte de dados e o nome da persistence unit name que é o nome definido no arquivo persistence.xml, após isso cliquei em Test para minha surpresa não obtive nenhuma mensagem de erro ou sucesso.
Então vamos tentar resolver esse problema.
Primeiro passo habilitar os logs do iReport para sabermos o que está errado.
Dentro do diretório de instalação do iReport tem a pasta /etc, nesta pasta alterar o arquivo ireport.conf modificar a seguinte linha:
default_options=”-J-Xms256m -J-Xmx512m -J-Dorg.netbeans.ProxyClassLoader.level=1000″
Deixando-a assim:
default_options=”-J-Xms256m -J-Xmx512m -J-Dorg.netbeans.ProxyClassLoader.level=1000 -J-Dnetbeans.logger.console=true -J-ea”
Rodar o iReport novamente e solucionar os problemas de dependência que irão aparecer.
Segundo passo adicionar as libs
No meu caso adicionei as seguintes libs dentro do diretório ~/iReport-nb-3.6.1/platform9/lib/.
ehcache-1.2.3.jar
cglib-2.1.3.jar
hibernate-cglib-repack-2.1_3.jar
hibernate-commons-annotations.jar
hibernate-entitymanager.jar
hibernate-search.jar
hibernate-tools.jar
hibernate-validator.jar
hibernate3-client.jar
hibernate3.jar
hibernate-annotations.jar
antlr-2.7.6.jar
asm.jar
ejb3-persistence.jar
jboss-ejb3x.jar
slf4j-api-1.5.6.jar
slf4j-log4j12-1.5.6.jar
dom4j-1.6.1.jar
log4j-1.2.13.jar
commons-collections-3.1.jar
commons-lang-2.1.jar
commons-logging-1.0.4.jar
javassist-3.4.GA.jar
lucene-core.jar
jta-1.1.jar
postgresql-8.2dev-501.jdbc3.jar
ejb3-persistence.jar
Após a inserção funcionou 100%.
Para ajudar na criação do relatório encontrei o seguinte tutorial:
http://jtri.sourceforge.net/en/report/ireportHibernate.html
Depois de uma longa espera de 9 meses, nasceu minha gatinha. Um momento inesquecível.
Pessoal, encontrei na internet um curso de Git prá quem usa SVN. Muito bom, vale a pena ler.
http://git.or.cz/course/svn.html
Acaba de ser lançado a versão 3.5 do Firefox, turbine sua navegação web, 2 vezes mais rápido que o seu antecessor Firefox 3 e por consequência 10 vezes mais rápido que o Firefox 2.
Experimenta já!! Ficou parecido com Ligue Jáhh, a alguém se lembra?!
O download pode ser realizado no link abaixo:
http://pt-br.www.mozilla.com/pt-BR/firefox/
Este post faz parte da campanha onda de shock http://bit.ly/ShiretokoShock
Acompanho o fisl desde a 5° edição, cada ano aumenta o número de participantes, mas o quê acho mais legal é a diversidade – pessoas de vários lugares com um mesmo interesse: software livre, liberdade e claro mídias de distribuições linux. Das palestras que assiste até agora, a que mais me chamou a atenção foi #spectral How piracy become theatre apresentada por Peter Sunde (um dos fundadores do Pirate Bay). O palestrante mostrou como nasceu o Pirate Bay sua evolução, as perseguições que sofreram e o processo judicial. Apesar de serem perseguidos, sempre responderam as solicitações das organizações de direitos autorais com muita inteligência e irreverência. A palestra mostrou um ponto de vista bem interessante sobre a briga entre os direitos autorais e as redes p2p.
O que as organizações de direitos autorais ainda não perceberam que isso é irreversível.
Beleza vou indo, tenho mais palestras para assistir.
Manter um servidor ou desktop longe das vulnerabilidades de segurança, é um serviço árduo. Mas com intuito de facilitar nossa vida, o Gentoo possui um projeto chamado GLSA(Gentoo Linux Security Advisor) no qual a idéia principal é manter a árvore do portage livre de vulnerabilidades conhecidas, através de uma ferramenta capaz de pesquisar na árvore do portage e avisar sobre as vulnerabilidades encontradas.
Então vamos colocar a mão na massa.
Primeiro passo é instalar o gentoolkit.
# emerge -av gentoolkit
Depois de instalado teremos uma ferramenta chamada glsa-check, com a qual podemos verificar o nosso servidor ou desktop, procurando por pacotes com vulnerabilidades de segurança.
Verificando o sistema:
# glsa-check -l affected [A] means this GLSA was already applied, [U] means the system is not affected and [N] indicates that the system might be affected. 200903-28 [N] libpng: Multiple vulnerabilities ( media-libs/libpng ) 200904-02 [N] GLib: Execution of arbitrary code ( dev-libs/glib ) 200903-21 [N] cURL: Arbitrary file access ( net-misc/curl ) 200902-02 [N] OpenSSL: Certificate validation error ( dev-libs/openssl ) 200904-18 [N] udev: Multiple vulnerabilities ( sys-fs/udev ) 200904-08 [N] OpenSSL: Denial of Service ( dev-libs/openssl ) 200903-24 [N] Shadow: Privilege escalation ( sys-apps/shadow ) 200903-25 [N] Courier Authentication Library: SQL Injection vulnerability ( net-libs/courier-authlib ) 200807-16 [N] Python: Multiple vulnerabilities ( dev-lang/python ) 200903-11 [N] PyCrypto: Execution of arbitrary code ( dev-python/pycrypto ) 200903-13 [N] MPFR: Denial of Service ( dev-libs/mpfr ) 200903-38 [N] Squid: Multiple Denial of Service vulnerabilities ( net-proxy/squid ) 200812-06 [N] libxml2: Multiple vulnerabilities ( dev-libs/libxml2 )
Olha só que coisa mais linda! Minha máquina está com bastantes vulnerabilidades.
Então vamos corrigir.
# glsa-check -f affected
Um detalhe importante do uso da correção automática é que pode dar algum problema se você usa a flag “USE” para adicionar alguma dependência a um determinado pacote, quando o pacote tiver que ser atualizado o portage irá buscar as informações sobre dependências nos arquivos /etc/make.conf ou /etc/portage/package.use, então a instalação do pacote ficará diferente da anterior podendo causar mau funcionamento em algum serviço devido a falta de alguma biblioteca. Para garantir que não tenhamos nenhum problema é melhor atualizar todos os pacotes manualmente.
Uma boa prática para utilização do portage é adicionar as dependências no arquivo /etc/portage/package.use, porque com o passar do tempo a gente nem se lembra o motivo pelo qual um determinado pacote precisa de uma dependência específica. Então para garantir que as atualização fiquem corretas com relação as dependências devemos adiciona-las no arquivo como no exemplo a seguir:
echo "sys-libs/glibc userlocales" >> /etc/portage/package.use
Todo usuário Linux gosta de automatizar tarefas o glsa-check tem uma característica interessante, ele pode enviar um e-mail para o administrador, quando o sistema apresentar algum pacote com vulnerabilidade. Para enviar e-mail devemos fazer as seguintes configurações:
Adicionar no arquivo /etc/make.conf a variável PORTAGE_ELOG_MAILURI=”admin@xyz.com” informando o endereço de e-mail do administrador.
Agora é só adicionar no contrab o comando glsa-check -m affected configurando para rodar uma vez por dia.
Para saber mais sobre segurança no Gentoo:
USE flags
Gentoo Linux Security Project
Gentoo Security Handbook
Gentoo Linux Security Advisories
Espero que seja útil para alguém.
Nesse mês o blog Petryx comemora seu primeiro ano. Para festejar um novo layout verde, para incentivar a TI verde, claro que se fosse para seguir a risca os preceitos de TI verde, a cor principal deveria ser preta, pois consome menos energia, ainda não fiz o experimento mas um dia vou fazer.
Para quem não sabe o que é TI verde, como eu não sabia vale a pena dar uma pesquisada. Não podemos resolver todos os problemas do meio ambiente, todavia atitudes simples como economizar energia e água, separar o lixo para ser reciclado, reutilizar materiais, são um grande passo na conservação do meio ambiente, as quais cada um de nós pode fazer em casa ou no trabalho.
Ultimamente tenho verificado nos logs do servidor DNS as seguintes mensagens:
Mar 4 20:26:37 named[4276]: x query (cache) './NS/IN' denied Mar 4 20:26:37 named[4276]: x query (cache) './NS/IN' denied Mar 4 20:26:39 named[4276]: x query (cache) './NS/IN' denied Mar 4 20:26:39 named[4276]: x query (cache) './NS/IN' denied Mar 4 20:26:40 named[4276]: x query (cache) './NS/IN' denied Mar 4 20:26:43 named[4276]: x query (cache) './NS/IN' denied Mar 4 20:26:44 named[4276]: x query (cache) './NS/IN' denied
Apaguei o IP do client que está originado o ataque porque é um IP spoofado.
Esse ataque DDOS está acontecendo em muitos servidores DNS, conforme nos diz o grande oráculo google com a palavra chave query (cache) ‘./NS/IN’ denied.
Para amenizar esse ataque existe um artigo chamado Secure BIND Template Version 6.7 31 JAN 2009, o qual tem uma série de sugestões para melhorar a segurança do DNS.
Além de implementar algumas melhorias na segurança sugerida pelo artigo, também criei uma regra no firewall para limitar o número de conexões originadas de um mesmo endereço IP dentro de um período de tempo e tentativas de conexão.
Regras:
iptables -A INPUT -p udp -i eth0 -m state --state NEW --dport 53 -m recent --update --seconds 10 --hitcount 3 -j DROP iptables -A INPUT -p udp -i eth0 -m state --state NEW --dport 53 -m recent --set -j ACCEPT
Essas regras exigem um tempo mínimo de 10 segundos e menos de 3 tentativas de conexões originadas de um mesmo endereço IP, para que uma nova conexão seja aceita.
Já estava me esquecendo com essa regra é possível verificar os endereços IP que estão sendo bloqueados com o comando:
cat /proc/net/ipt_recent/DEFAULT
E também adicionar novos ips, remover um ip específico ou limpar a lista com os seguintes comandos:
echo xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT Adiciona um IP na lista DEFAULT echo -xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT Remove um IP da lista DEFAULT echo clear > /proc/net/ipt_recent/DEFAULT limpa a lista DEFAULT.
Faça um teste remova um ip da lista e verfique os logs do DNS.
Essa solução tem funcionado muito bem, pois as tentativas de ataque estão sendo bloqueadas pelo iptables, e o DNS está fazendo certinho seu serviço.
Por hoje era isso.
Ajudem a manter o blog comecem suas compras no submarino através dos links do blog. Você paga o mesmo preço.
Para quem usa Linux é fácil descobrir. Basta rodar o seguinte comando:
#cat /dev/mem
Ficou elegível experimente então:
#cat /dev/mem|strings
Mostra todas as strings que estão na memória ram.
Obrigado pela visita.
Loading ...