Publiquei um artigo na revista Linux Magazine Ed. 48 mostrando como usar Posix Capabilities para rodar serviços como: Samba, Dns e apache. Reduzindo os chances de acontecer um ataque de buffer overflow, onde se consiga abrir um terminal de super usuário.

Para descobrir as capacidades exigidas pelos serviços reescrevi o módulo de kernel capable_probe desenvolvido originalmente por Serge E. Hallyn. Na primeira versão usei jprobe ao invés de kprobe, fiz uma associação entre o valor numérico e a string. Ex. 21:CAP_SYS_ADMIN. Porém, esse código pode encher os logs do sistema, pois captura todos os processos que estão rodando. Para sanar o problema, reescrevi o módulo para que aceite como parâmetro o processo que se deseja monitorar, reduzindo dessa forma as mensagens duplicadas no log.

Download do módulo

wget http://petryx.blogrs.com.br/capable_discovery-0.1.0.tar.bz2

Instalação

tar -xjvf capable_discovery-0.1.0.tar.bz2
cd capable_discovery-0.1.0
make
make install

Utilização

Por exemplo, queremos descobrir qual as capacidades exigidas para rodar o comando ping.

modprobe capable_discovery catch=ping
ping 127.0.0.1

Em outro terminal

tail -f /var/log/messages
localhost Module capable_discovery inserted for discover the capabilities of "ping" process
localhost capability 21=CAP_SYS_ADMIN for ping
localhost capability 13=CAP_NET_RAW for ping
localhost capability 7=CAP_SETUID for ping
localhost capability 21=CAP_SYS_ADMIN for ping
localhost capability 21=CAP_SYS_ADMIN for ping

Como podemos ver o ping precisa das capacidades 7,13,21

Após usar o módulo devemos removê-lo com o seguinte comando:

rmmod  capable_discovery

Confirmando a remoção do módulo irá aparecer nos logs a seguinte mensagem:

Nov 16 11:57:06 localhost Module capable_discovery unregistered

Para monitar outro processo o módulo deve ser recarregado passando como parâmetro o nome do processo.

Qualquer dúvida,sugestão, crítica ou elogio, deixe um comentário.

Compartilhe

Como o Linux sempre tem solução pra tudo. Podemos montar a imagem nrg, com o seguinte comando:

mount -o loop,offset=307200 arquivo.nrg /mnt/temp

Se quiser saber mais sobre o formato de arquivo nrg acesse: http://en.wikipedia.org/wiki/NRG_(file_format).

E não se esqueçam estamos com uma super promoção assine gratuitamente nosso feeds.

Forte Abraço.

Compartilhe

CREATE OR REPLACE FUNCTION testNestedFunction() RETURNS  REAL as
$$
<>
DECLARE
v_test REAL;
r REAL;
BEGIN
   CREATE OR REPLACE FUNCTION addTest(a REAL,b REAL) RETURNS REAL AS
   $BODY_ADDTEST$
	DECLARE
		r REAL;
	BEGIN
		r := a + b;
	RETURN r;
   END;
   $BODY_ADDTEST$language plpgsql;

   r := addTest(1,1);
   RAISE NOTICE ‘addTest = %’,r;

   r := addTest(2,2);
   RAISE NOTICE ‘addTest = %’,r;

   RETURN r;
END global;
$$ LANGUAGE ‘plpgsql’;

Na função acima criei uma função aninhada chamada addTest(REAL,REAL) recebendo como parâmetro dois valores do tipo real, com os quais é efetuado uma soma e retornado o resultado. Executando a função temos o seguinte resultado:

SELECT testNestedFunction();

NOTA:  addTest = 2
NOTA:  addTest = 4

Tempo total de execução da consulta: 18 ms.
1 registros recuperados.

Como pode ser visto foi realizado duas chamadas a função aninhada addTest() passando diferentes parâmetros.

O interessante é que o Postgresql cria duas funções: testNestedFunction() e addTest(REAL,REAL). E não somente uma função aninhada, isso favorece aos bugs, vamos simular um então.

Vamos deletar a função addTest(REAL,REAL) e executar novamente.

DROP FUNCTION addtest(real, real);
SELECT testNestedFunction();

ERRO:  cache lookup failed for function 1906343
CONTEXT:  PL/pgSQL function "testnestedfunction" line 16 at assignment

********** Erro **********

ERRO: cache lookup failed for function 1906343
SQL state: XX000
Contexto: PL/pgSQL function "testnestedfunction" line 16 at assignment

O comando DROP FUNCTION addTest(REAL,REAL) não verificou que a função testnestedfunction() é depende daquela para sua execução, procurei na documentação uma maneira de declarar a dependência mas não encontrei. Outro detalhe interessante é que a função addTest() não existe até a primeira execução, ou seja, quando o comando é executado SELECT testnestedfunction() pela primeira vez a função addTest() é criada. Então quando deletamos a função addTest() e executamos novamente o comando SELECT testnestedfunction(), a função addTest() não é criada novamente.

Funções aninhadas são interessantes para melhorar a leitura do código e prover reutilização de código. O problema é se por acidente algum DBA deletar a função aninhada como mostrado acima. Irá causar um bug difícil de resolver. Pois, a resposta do erro é pouco intuitiva não informando claramente a função que não foi encontrada.

Criar funções separadas é uma outra solução invés de criar uma função aninhada. Mas, o problema que dificulta a leitura e entendimento do código.

Carpe Diem!

Compartilhe

<>
DECLARE
        declarations
BEGIN
       statements
END;

Como exemplo vamos criar uma função onde teremos dois blocos global e local, com uma variável declarada no bloco global com o nome v_test do tipo real e outra variável também declarada com o nome v_test dentro do bloco local. Veja o exemplo:

CREATE OR REPLACE FUNCTION test() RETURNS VOID as
$$
<>
DECLARE
v_test REAL;
BEGIN
        v_test := 1;
        <>
        DECLARE
             v_test REAL;
        BEGIN
	      v_test :=2;
	      RAISE NOTICE ‘global.v_test = %, v_test = %’,global.v_test,v_test;
        END local;

 RAISE NOTICE ‘Global v_test = %’,v_test;

END global;
$$ LANGUAGE ‘plpgsql’;

Resultado da execução:

select test();
NOTA:  global.v_test = 1, v_test = 2
NOTA:  Global v_test = 1
Tempo total de execução da consulta: 6 ms.
1 registros recuperados.

Essa função demonstra claramente o escopo da variáveis e também demonstra que podemos ter sub blocos de código dentro de uma função.
É importante notar que BEGIN/END é utilizado para agrupar as declarações da linguagem PL/PGSQL e também como comandos de controle de transações. Mas, um detalhe interessante é que funções e triggers não podem iniciar ou encerrar transações e o Postgresql não suporta transações aninhadas.

Carpe Diem.

Compartilhe

Utilizei o firefox para realizar o download, o qual possui a característica de adicionar ao nome do download a extensão .part. Através desse princípio desenvolvi o script, o qual verifica a existência do arquivo *.part, existindo o arquivo o script dorme por um minuto, quando o arquivo deixar de existir o computador será desligado.

import os.path
from time import sleep
import commands

while 1:

        if os.path.exists('/home/marlon/downloads/teste.rar.part'):
                print 'espera 1 minuto'
                sleep(60)
        else:
                os.system("poweroff")

Hoje pela manhã, o computador estava desligado!

A linguagem Python é muito versátil e elegante, excelente para desenvolvimento rápido. Este script pode ser modificado para tomar a decisão através do tamanho do arquivo, que com Python pode ser descoberto através do método os.path.getsize(’file’).

Forte abraço.

Compartilhe

Dando seguimento a saga para recuperar algo, tentei o testdisk. Já esse encontrou algumas partições primárias e outras estendidas. Fiquei loco de faceiro, pensei! solucionei o problema. Reiniciei a máquina quando fui montar as partições, somente obtive erros.

Ainda não desiste estou tentando novamente o gpart com alguns parâmetros diferentes. Para encontrar a tabela certinha é necessário que a geometria do disco esteja correta, ou seja, os parâmetros: número de cilindros(cylinders), cabeças(heads) e setores (sectors) estejam corretos. Esse valores podem ser descobertos com o seguinte comando:

#/dmesg | grep CHS

Ajustei os parâmetros no gpart.

gpart -C C,H,S /dev/hda

Onde C é número de cilindros, H heads ,….

Neste momento estou executando novamente o gpart. Desta vez já estou com os dedos cruzados.

Uma dica fácil e muito útil faça um backup da sua tabela de partição com o comando abaixo, será muito útil.

Backup da tabela de partições

dd if=/dev/hda of=hda.mbr bs=512 count=1

Fomato legível

fdisk -l > partitions.txt

Restaurar

dd if=hda.mbr of=/dev/hda bs=512 count=1

Ahh!!!. Se eu tivesse feito isso antes.

Grande abraço a todos.

Compartilhe

Claro que um ladrão com acesso físico ao laptop pode formatar o disco antes de usar o computador, usá-lo desconectado da internet ou simplesmente desabilitar o serviço. Nesse caso não existe nenhuma ferramenta que possa ajudar nem as comerciais.

Mas todos nós sabemos que alguns ladrões, mal sabem usar um laptop e irão conectar na internet, procurar por arquivos que lhe interessem. Então a ferramenta entra em uso.

Detalhes sobre como instalar podem ser encontrados na documentação do projeto.

O projeto Adeona é desenvolvido na Universidade de Washington. Se tiver interesse de saber mais detalhes sobre o projeto os criadores escreveram um artigo descrevendo o funcionamento detalhadamente.

Tomará que muitos de nós tenham sorte de nunca ter um laptop perdido ou roubado..

Referência:

http://www.linux.com/feature/148197
http://adeona.cs.washington.edu/index.html

Compartilhe

A ferramenta foi desenvolvida para a linguagem C, utilizando-a podemos economizar um bom tempo na analise de um projeto.

Utilizando o cscope

Cscope analisa os fontes encontrados no diretório atual, mas podemos usar a opção -r para varrer recursivamente os diretórios do projeto.

Na página do projeto tem um excelente tutorial. O tutorial tem como objetivo utilizar o cscope para analisar o código fonte do kernel.

Segui o tutorial, é muito legal facilita bastante o entendimento do código fonte.

Compartilhe

Alguns exemplos:

Mostra somente o tráfego da rede 192.168 que estiver passando na interface eth0

localhost ~/# tcpdump -i eth0 -p net 192.168

Mostra todo o tráfego da rede 192.168 com destino a porta 80

localhost ~/# tcpdump -i eth0 -p net 192.168 and dst port 80

Mostra somente os pacotes icmp na rede

localhost ~/# tcpdump -i eth0 -p icmp

Mostra o tráfego na rede 192.168 com exceção da porta 80

localhost ~/# tcpdump -i eth0 -p net 192.168 and not port 80

Os exemplos acima demonstram algumas combinações, sendo possível fazer muito mais. Para obter mais informações veja o documento TCPDUMP filters.

Se o artigo foi útil para você, deixe um comentário. Será de grande estimulo para manter o blog.

Compartilhe

Como funciona o traceroute

O traceroute envia 3 pacotes com o TTL igual a 1. O primeiro hop responde que o pacote não pode ser transmitido porque TTL expirou com a mensagem ICMP Time-to-Live Exceeded (Type 11). Então o pacote é reenviado com TTL igual a 2 e o segundo roteador responde que o TTL expirou. Este processo continua até o destino ser encontrado.
Com o traceroute conseguimos somente o caminho de ida até o destino, não sendo possível obter o caminho de retorno que pode ser diferente.

Testando o traceroute

% traceroute www.terra.com.br
traceroute to www.terra.com.br (200.176.3.142), 30 hops max, 40 byte packets
 1   (192.168.254.254)  5.108 ms  6.458 ms  7.921 ms
 2  BrT-L10-smace701.dsl.brasiltelecom.net.br (201.14.223.254)  54.958 ms  56.458 ms  57.833 ms
 3  BrT-G5-0-0-710-smace300.brasiltelecom.net.br (201.10.227.133)  67.548 ms  73.977 ms  76.842 ms
 4  * * *
 5  BrT-G6-0-0-paebvcore01.brasiltelecom.net.br (201.10.255.162)  95.781 ms  102.036 ms  100.632 ms
 6  * * *
 7   (200.176.0.250)  55.624 ms  57.064 ms  59.931 ms
 8  bsw5-poa-vlan201.tc.terra.com.br (200.176.2.28)  61.487 ms  79.703 ms  81.222 ms

A resposta do traceroute mostra três tempos, isso é porque quando um roteador é encontrado o mesmo é testado três vezes. Já quando aparece como resposta * * * significa que esse roteador não respondeu que o TTL expirou.
Existem muitas opções que podem ser usadas com o traceroute, como por exemplo, usar o protocolo tcp em vez de icmp. Para saber mais sobre as opções consulte man traceroute.

Se você é programador C e quiser ver como o traceroute é implementado, vale a pena baixar os fontes e analisar o código. É uma experiência e tanto!

Existe um programa chamado VisualRoute. Esse programa traça a rota sobre o mapa mundi informando o país onde está cada roteador até o destino.

Por hoje era isso. Ah, pessoal estamos com uma super promoção essa semana, assinem os feeds gratuitamente. Mas somente essa semana!

Compartilhe