Bom, considere os sistemas multi-usuários atuais, e a necessidade de se manter o equilíbrio e controle de privacidade e o compartilhamento, ao mesmo tempo. Difícil? nem tanto. Aqui vai uma olhada rápida na forma tradicional, com permissões, de se fazer e em seguida o que para mim era novidade: File Access Control List’s.

as três permissões básicas:

r (read-leitura), w (write – escrita), x (execução, acesso);

que restringem e os três conjuntos de usuários envolvidos:

u (usuário dono), g (grupo), o (outros-resto do mundo)

além de ainda temos outros especiais(sticky,setuid,setgid) e atributos. Como não é o foco deste post, recomendo ler os manuais do chmod (man chmod) e chattr (man chattr) além do “pai google” para entendê-los um pouco mais.

O problema é que nem sempre isso é o suficiente, nem sempre dá para restringir satisfatoriamente utilizando apenas estes 3, ou fazendo de forma recursiva

O conceito de ACL’s já é largamente utilizado no Squid(1) por exemplo, ou no SVN(2), mas localmente não sabia dessa utilização.

Para os mais pragmáticos, ou quem sabe “bottons-up”: download e instalação (3)
# apt-get install acl eiciel

acl para suporte a File ACL e eiciel um gerenciador gráfico pra gnome(apesar de funcionar no kde se você tiver as bibliotecas necessárias)

Agora um exemplo prático pelo qual utilizei ACL: compartilhamento de arquivos entre usuários.

1º definir um diretório público, p.ex: mkdir /home/compartilhados

existem problemas em relação à edição de arquivos por diferentes usuários com suas configurações padrões, principalmente devido ao UMASK(4) 022. Em alguns casos não é desejável modificar o umask dos usuários, por motivos de segurança, privacidade, etc.

2º montar o sistema de arquivos com a opção acl:

# mount -o remount,acl /<partição onde quer se aplicar o controle>

ou, para persistir a modificação, altere o seu /etc/fstab

3º modificar as opções de controle de acesso do arquivo/pasta

# setfacl -dm m:rwx /home/compartilhado/

aqui, modifiquei(-m) o padrão(default: -d) da máscara para que qualquer documento criado esteja com rwx, automatica e recursivamente, evitando scripts de chmod -R… num cron ou utilização de uma partição fat (mas fica registrada a idéia de montar em loopback um arquivo formatado em fat – que funciona. by meu amigo engenilk)

ou executando o eiciel ao bom estilo gnome kiss de resolver as coisas.

e concluindo, você terá a sua disposição mais uma forma de controlar seu sistema.

linkografia:

http://ubuntuforums.org/showthread.php?t=410065

http://ubuntuforums.org/showpost.php?p=832721

http://opensource.weblogsinc.com/2005/12/06/an-acl-gui-for-linux/

(1) Para os que não conhecem, um caching Web Proxy livre.

(2) SubVersion: Controle de Versões, CVS-like

(3) para os desafortuna não usuários de linux da família debian: os sources, e pacotes para outras distro’s(ei pessoal o desfortuna, brincadeiras com gnome… é só brincadeira “não alimentem os trolls”):

http://rofi.roger-ferrer.org/eiciel/?s=7

http://acl.bestbits.at/

(4)Umask é uma forma de definir com quais permissões os arquivos de determinado usuário serão criados por padrão, é alterável. É uma “máscara” ou seja, mais ou menos o inverso do q se deseja: umask=022 significa criação com permissões 644(arquivos), ou 755(diretório). No caso em questão, um usuário Fulano cria um documento que apenas ele pode rw, e outro Cicrano, do mesmo grupo, podem apenas r, não podendo modificar o documento – ei, isso não é compartilhar!

começando a série dos posts nerds…=P

uma instalação de ubuntu GNU/Linux padrão, vem pronta para uso como desktop, mas não garante segurança contra acesso indevido, como num laboratório de informática, com acesso irrestrito. (versão atual enquanto escrevo: 7.04).

Abaixo descrevo algumas dicas básicas de prevenção(me perdoem os experts pela obviedade, mas eu avisei: são básicas), a partir de algumas observações minhas de labs não configurados, para evitar que mal-intencionados se apossem do sistema e prejudiquem os outros usuários:

• 0ª prevenção de acesso físico: ter cadeados nos gabinetes;
• 1ª prevenção de boot com mídia indevida: proteger BIOS com senha, com boot apenas pelo hd;
• 2ª prevenção de manipulação indevida do gerenciador de boot GRUB: retirar quaisquer entradas como “recovery mode” e proteger o GRUB com senha.
• 2,5ª prevenção de boot com privilégios: alterar a senha de root (e não de usuário com poder de sudo)

Algumas explicações:

• a 0ª é um tanto quanto paranóica/opcional, mas evita alguém de levar periféricos, como mouse, cabos, memória etc. Além de impedir um reset da cmos;
• a 1ª evita que alguém rode o sistema a partir de um live-cd, por exemplo;
• a 2ª e 2,5ª evita que alguém entre no modo monousuário direto como root, que pode acontecer no caso de falha do sistema (onde há frequentes quedas de energia por exemplo) ou entrando no modo single por comandos do grub, ou “recovery mode”.

espero ter colaborado.

Ao sair de casa, temos a sensação de que certamente voltaremos. (graças à Deus por isso ser verdade até hoje)

Segunda (13/08), aproveitando a campanha da OI de desbloqueio fui ao shopping. No primeiro momento, percebo que nada mudou. As lojas continuam lá. Aliás percebo que mudou para pior, já que o caixa eletrônico está bugado fora de funcionamento. Num segundo momento o cenário muda repentinamente. Pessoas correndo em direção ao estacionamento e às escadas. Estouros como que de tiros se ouvem e eis que meus intrépidos amigos e eu também seguimos o “instinto de manada”(como classificou depois o Engenilk), e em instantes estávamos todos no carro. Inseguros do que estava acontecendo, fomos dar ouvidos ao funcionário no estacionamento que disse que eram “só falhas elétricas que deram pipoco”. Ingênuos, voltamos a entrar no 2º piso de lojas e percebemos que se fossem falhas elétricas não estaríamos vendo lojas fechadas, nem policiais correndo de um lado para outro no interior do shopping (bem) armados. Acabamos nos abrigando numa loja-trincheira.

Que dia! Mas que bom que tudo terminou, e com todos os SET’ers vivos. (Alguns como deSousa que nem estavam no momento relatam terem recebido chumbo grosso, mas daquele tipo que cai dos céus… menos mal )

Já o desbloqueio… por enquanto nada… sem comentários.

“Viva cada dia como se fosse o último. Um dia você acerta”

Eu sobrevivi!

Capa e Matéria sobre o assalto publicada pelo jornal Diário do Pará

Olá a todos,

Após experiências de quase-morte nós valorizamos mais a vida, o que temos, e até (quem sabe, com um pouquinho de otimismo) quem somos. Nós sempre adiamos planos de vida … e sabe-se lá se permaneceremos para realizá-las em outro momento, então estou iniciando este blog, para “rezistrar”(como fala meu amigo segundamao) idéias, pensamentos, conteúdo técnico (continuo otimista ) e compartilhar com todos vocês. Click… Started!

Welcome to WordPress.com. This is your first post. Edit or delete it and start blogging!