Community Edition 71
Transcription
Community Edition 71
10/2010 MADDOG p.24 TAURION p.26 Quais necessidades avaliar ao contratar serviços na nuvem. DIVÓRCIOS CORPORATIVOS p.15 Índice Open Source Software Potential. Relação entre as corporações e o código aberto. # 71 Outubro 2010 Linux Magazine # 71 A REVISTA DO PROFISSIONAL DE TI CASE ALFRESCO p.26 A Construcap agilizou seus projetos com o Alfresco LINUX PARK 2008 p.28 Iniciada em Porto Alegre a temporada de seminários Linux Park de 2008 CEZAR TAURION p.34 O Código Aberto como incentivo à inovação #44 07/08 00044 R$ 13,90 € 7,50 A REVISTA DO PROFISSIONAL DE TI 9 771806 942009 MONITORAMENTO DE REDES Monitoramento de TIVOLI GOVERNANÇA COM GRÁTIS SEJA UM BOM GESTOR E UTILIZE AS MELHORES PRÁTICAS ADOTADAS E RECOMENDADAS PELOS PROFISSIONAIS MAIS EXPERIENTES NESSA ÁREA p.36 » O que dizem os profissionais certificados p.24 TCP_WRAPPER » Cobit, CMMI, ITIL. Quais as melhores práticas? p.36 » ITIL na prática p.39 » Novidades do ITIL v3. p.44 SEGURANÇA: DNSSEC p.69 VEJA TAMBÉM NESTA EDIÇÃO: Com o DNSSEC, a resolução de nomes fica protegida de ataques. Mas seu preço vale a pena? » Relatórios do Squid com o SARG p.60 REDES: IPV6 p.64 » Becape de bancos de dados com a Libferris p.46 Conheça as vantagens da nova versão do Internet Protocol, e veja por que é difícil adotá-la » Java, Ruby e Rails: conheça o JRuby on Rails p.74 » Benchmarks do GCC 4.3? p.58 » LPI nível 2: Servidores NIS e DHCP p.52 APRENDA A MONITORAR SUA REDE DE FORMA INTELIGENTE, INVENTARIAR O PARQUE COMPUTACIONAL, GERAR GRÁFICOS COM QUALIDADE, MANTER A SEGURANÇA E PREVER EVENTOS FUTUROS EM SEU AMBIENTE DE REDE p. 27 WWW.LINUXMAGAZINE.COM.BR CACTI NAGIOS » Nagios: Nos mínimos detalhes p.28 » Centreon: Controle o Nagios e monitore sua rede p.34 » Monitor de ambientes remotos p.40 » Prático e eficiente: Zenoss p.44 » Gráficos elegantes com Cacti p.48 CENTREON TUTORIAL: OPEN-AUDIT p.64 ZABBIX Solução ideal para auditar sistemas Linux e Windows conectados em rede. ZENOSS SEGURANÇA GARANTIDA p.68 AUDITORIA Conheça o TCP_Wrapper, sistema de segurança simples e eficaz. SEGURANÇA VEJA TAMBÉM NESTA EDIÇÃO: » A multiplicidade do Tivoli p.57 » Escritórios remotos p.54 » Arquitetura Zero-Client p.51 » Gerenciamento Out-of-band p.72 WWW.LINUXMAGAZINE.COM.BR 10/2010 MADDOG p.24 TAURION p.26 Quais necessidades avaliar ao contratar serviços na nuvem. DIVÓRCIOS CORPORATIVOS p.15 Índice Open Source Software Potential. Relação entre as corporações e o código aberto. IVOS p.15 CORPORAT rações DIVÓRCIOS as corpo entre TAURION # 71 Outubro 2010 o. Relação o abert e o códig p.26 e Open Sourc tial. Índice are Poten Softw Linux Magazine r ao p.24 des avalia m. necessida na nuve Quais serviços contratar MADDOG mento de Monitora NTARIAR A NTE, INVE INTELIGE IDADE, MANTER FORMA 27 QUAL REDE p. REDE DE ICOS COM AR SUA IENTE DE GERAR GRÁF EM SEU AMB A MONITOR APRENDA COMPUTACIONAL, TOS FUTUROS p.34 O PARQUE E PREVER EVEN sua rede ÇA monitore SEGURAN e o Nagios : Controle tos p.40 » Centreon ambientes remo de p.44 Zenoss » Monitor i p.48 e eficiente: com Cact » Prático elegantes » Gráficos p.64 N-AUDIT AL: OPEauditar sistemas . TUTORIideal para s em rede Solução conectado Windows Linux e p.68 e efica Conheça a simples seguranç ÇÃO: TA EDI BÉM NES A REVISTA DO PROFISSIONAL DE TI i p.57 do Tivol VEJA TAM iplicidade » A mult s remotos p.54 » Escritório Zero-Client p.51 p.72 ra d » Arquitetu ento Out-of-ban » Gerenciam M.BR LINUX PARK 2008 p.28 Iniciada em Porto Alegre a temporada de seminários Linux Park de 2008 CEZAR TAURION p.34 O Código Aberto como incentivo à inovação #44 07/08 00044 R$ 13,90 € 7,50 A REVISTA DO PROFISSIONAL DE TI TIVOLI GOVERNANÇA COM SEJA UM BOM GESTOR E UTILIZE AS MELHORES PRÁTICAS ADOTADAS E RECOMENDADAS PELOS PROFISSIONAIS MAIS EXPERIENTES NESSA ÁREA p.36 » O que dizem os profissionais certificados p.24 TCP_WRAPPER » Cobit, CMMI, ITIL. Quais as melhores práticas? p.36 » ITIL na prática p.39 » Novidades do ITIL v3. p.44 SEGURANÇA: DNSSEC p.69 VEJA TAMBÉM NESTA EDIÇÃO: Com o DNSSEC, a resolução de nomes fica protegida de ataques. Mas seu preço vale a pena? » Relatórios do Squid com o SARG p.60 REDES: IPV6 p.64 » Becape de bancos de dados com a Libferris p.46 Conheça as vantagens da nova versão do Internet Protocol, e veja por que é difícil adotá-la » Java, Ruby e Rails: conheça o JRuby on Rails p.74 » Benchmarks do GCC 4.3? p.58 » LPI nível 2: Servidores NIS e DHCP p.52 APRENDA A MONITORAR SUA REDE DE FORMA INTELIGENTE, INVENTARIAR O PARQUE COMPUTACIONAL, GERAR GRÁFICOS COM QUALIDADE, MANTER A SEGURANÇA E PREVER EVENTOS FUTUROS EM SEU AMBIENTE DE REDE p. 27 WWW.LINUXMAGAZINE.COM.BR CACTI NAGIOS » Nagios: Nos mínimos detalhes p.28 » Centreon: Controle o Nagios e monitore sua rede p.34 » Monitor de ambientes remotos p.40 » Prático e eficiente: Zenoss p.44 » Gráficos elegantes com Cacti p.48 CENTREON TUTORIAL: OPEN-AUDIT p.64 ZABBIX Solução ideal para auditar sistemas Linux e Windows conectados em rede. ZENOSS SEGURANÇA GARANTIDA p.68 AUDITORIA Conheça o TCP_Wrapper, sistema de segurança simples e eficaz. SEGURANÇA VEJA TAMBÉM NESTA EDIÇÃO: » A multiplicidade do Tivoli p.57 » Escritórios remotos p.54 » Arquitetura Zero-Client p.51 » Gerenciamento Out-of-band p.72 WWW.LINUXMAGAZINE.COM.BR v en d a p r o i b i d a CASE ALFRESCO p.26 A Construcap agilizou seus projetos com o Alfresco 9 771806 942009 MONITORAMENTO DE REDES Monitoramento de Assinante AZINE.CO NUXMAG WWW.LI exemplar de # 71 ANTIDAde ma NÇA GAR per, siste SEGURA o TCP_Wrap z. Efeito LinuxCon Expediente editorial Diretor Geral RafaelPeregrinodaSilva rperegrino@linuxmagazine.com.br EDITORIAL Editora FláviaJobstraibizer fjobs@linuxmagazine.com.br Editora de Arte PaolaViveiros pviveiros@linuxmagazine.com.br Colaboradores AlexandreBorges,AugustoCampos,MárcioPessoa, MatuzalémGuimarães,SmailliMoraes,CezarTaurion, MarcelodeMirandaBarbosa,MarcosAmorim, SandroMendes,WandaRosalinoeMarcellinoJúnior. Tradução DianaRicciAranha Revisão AnaCarolinaHunger Editores internacionais UliBantle,AndreasBohle,Jens-ChristophBrendel, Hans-GeorgEßer,MarkusFeilner,OliverFrommel, MarcelHilzinger,MathiasHuber,AnikaKehrer, KristianKißling,JanKleinert,DanielKottmair, ThomasLeichtenstern,JörgLuther,NilsMagnus. Anúncios: RafaelPeregrinodaSilva(Brasil) anuncios@linuxmagazine.com.br Tel.:+55(0)113675-2600 PennyWilby(ReinoUnidoeIrlanda) pwilby@linux-magazine.com AmyPhalen(AméricadoNorte) aphalen@linuxpromagazine.com HubertWiest(Outrospaíses) hwiest@linuxnewmedia.de Diretor de operações ClaudioBazzoli cbazzoli@linuxmagazine.com.br Na Internet: www.linuxmagazine.com.br–Brasil www.linux-magazin.de–Alemanha www.linux-magazine.com–PortalMundial www.linuxmagazine.com.au–Austrália www.linux-magazine.es–Espanha www.linux-magazine.pl–Polônia www.linux-magazine.co.uk–ReinoUnido www.linuxpromagazine.com–AméricadoNorte Apesardetodososcuidadospossíveisteremsidotomados duranteaproduçãodestarevista,aeditoranãoéresponsável por eventuais imprecisões nela contidas ou por consequênciasqueadvenhamdeseuuso.Autilizaçãodequalquermaterialdarevistaocorreporcontaeriscodoleitor. Nenhum material pode ser reproduzido em qualquer meio, em parteounotodo,sempermissãoexpressadaeditora.Assume-se quequalquercorrespondênciarecebida,talcomocartas,emails, faxes,fotografias,artigosedesenhos,sejamfornecidosparapublicaçãooulicenciamentoaterceirosdeformamundialnão-exclusivapelaLinuxNewMediadoBrasil,amenosqueexplicitamenteindicado. LinuxéumamarcaregistradadeLinusTorvalds. LinuxMagazineépublicadamensalmentepor: LinuxNewMediadoBrasilEditoraLtda. RuaSãoBento,500 Conj.802–Sé 01010-001–SãoPaulo–SP–Brasil Tel.:+55(0)113675-2600 DireitosAutoraiseMarcasRegistradas©2004-2010: LinuxNewMediadoBrasilEditoraLtda. ImpressãoeAcabamento:RRDonnelley DistribuídaemtodoopaíspelaDinapS.A., DistribuidoraNacionaldePublicações,SãoPaulo. Atendimento Assinante www.linuxnewmedia.com.br/atendimento SãoPaulo: +55(0)1135129460 RiodeJaneiro: +55(0)2135120888 BeloHorizonte:+55(0)3135161280 ISSN 1806-9428 Impresso no Brasil Tomo a liberdade de usar o editoral desta edição da Linux Magazine para fazer uma constatação: a primeira edição brasileira da LinuxCon mexeu com o mercado nacional de TI. O evento, desenvolvido e organizado a quatro mãos no Brasil pela Linux Foundation e pela Linux New Media do Brasil, contou com a presença de Linus Torvalds, entre muitos outros participantes ilustres. Era a conferência que faltava ao Brasil. A despeito dos problemas organizacionais – que podem ser considerados resolvidos para a edição de 2011 – o sucesso do evento, bem como seus desdobramentos posteriores, só pode ser considerado estrondoso. A conferência havia sido dimensionada para cerca de 700 pessoas, mas nas horas finais que a antecederam, em torno de 1.000 pessoas já haviam se inscrito para participar. Claro, isso gerou alguma confusão durante o credenciamento, já que a confecção dos crachás de cerca de 300 pessoas teve de ser realizada “na hora”. Superado esse tumulto inicial, entretanto, o evento mostrou a que veio: keynotes internacionais em profusão, grade sólida de palestras e atividades de primeira linha. Linus Torvalds esbanjou simpatia e conversou com o público e com a imprensa, além de conceder uma entrevista exclusiva para a Rede Globo de Televisão, veiculada no canal GloboNews às 14h30 do dia 03/09/10. Se o leitor não teve oportunidade de assistir, o vídeo da entrevista ainda está disponível no portal G1 http://migre.me/1ipd8. Praticamente todos os jornais de grande circulação do País, bem como todas as revistas e portais de tecnologia, noticiaram o evento, alguns deles quase em tempo real. Uma semana após a realização da conferência, ainda era possível encontrar extenso material a seu respeito em veículos de massa, como jornais e revistas, e mesmo aquelas mídias mais “tímidas” na divulgação de temários relacionados ao Linux e ao Software Livre, se manifestaram positivamente a esse respeito – a maior delas, inclusive, citando o Brasil como palco de evento consagrados, como o FISL e a LinuxCon. Fato: a LinuxCon conseguiu finalmente colocar o Linux e o Software Livre no “radar” do público leigo no Brasil. Contabilizamos, aproximadamente, uma centena de artigos e notícias a respeito do evento e, no fechamento desta edição, mais de 15 dias após o seu encerramento, ainda havia material sendo publicado, ainda que esporadicamente. A edição de 2011, anunciada por Jim Zemlin, diretor presidente da Linux Foundation, em seu keynote de encerramento, deverá disseminar ainda mais a percepção do Linux junto ao público em geral – apesar de a audiência da LinuxCon ser basicamente formada por um público técnico. Propósito precípuo da Linux Foundation, a promoção do Linux e do Software Livre e de Código Aberto no mercado brasileiro não poderia ter ganhado maior impulso do que esse. Portanto, fique ligado! No próximo ano estaremos de volta, com muitas novidades! n Rafael Peregrino da Silva Diretor de Redação . 4 http://www.linuxmagazine.com.br ÍNDICE CAPA Monitorar é preciso 27 A prendaamonitorarsuarededeformainteligente, inventariaroparquecomputacional,gerargráficoscom qualidadeeprevereventosfuturoscomasferramentas quevocêiráconhecernestaediçãodaLinuxMagazine. Nos mínimos detalhes 28 O poderosoNagiospodechegaraoestadodaartenastarefas demonitoramentoderedescomoauxíliodoPNP4Nagios. Centreon: controle o Nagios e monitore sua rede! 34 A prendaautilizarosrecursosdoCentreon,robusta ferramentavisualparaadministraçãoderedes. Monitor de ambientes remotos 40 P ossuirsistemasaltamentedistribuídosjánãoémaisproblema. AprendaamonitorarredesremotasviaproxycomoZabbix. Prático e eficiente 44 A prendaamonitoraregerenciarredescomoZenoss,quefoi desenvolvidoparaatenderasdemandasdeadministradores deredequenecessitamterocontroledasinformações. Gráficos elegantes 48 C riegráficosagradáveiseelegantesutilizando estatísticasemétricasdeseuambiente. 6 http://www.linuxmagazine.com.br Linux Magazine 71 | ÍNDICE COLUNAS Remoto, mas presente Klaus Knopper 10 Charly Kühnast 12 Zack Brown 14 Augusto Campos 15 Kurt Seifried 16 Alexandre Borges 18 NOTÍCIAS Geral ➧Nvidiaprometenovaplacagráficapara2011 A multiplicidade do Tivoli 20 54 A melhoriadacontinuidadedosnegóciosparaescritórios remotosécríticaparagrandepartedasempresas. 57 H átemposaIBMveminvestindopesadamenteemLinux, nãoapenasnodesenvolvimentodeaplicaçõesena inclusãodessesistemaoperacionalemsuassoluções emambientesdistribuídos,comotambémnoambiente domainframe.AsuíteTivoliéumexcelenteexemplodo quejáfoifeitonessastrêslinhasdeinvestimentos. TUTORIAL Auditoria com qualidade 64 C onheçaoOpen-Audit,asoluçãoidealparaauditarsistemasLinux eWindowsconectadosemsuaredelocal,semanecessidade dainstalaçãodequalqueagenteadicionalnasestações. ➧Canonical,FedoraeRedHatcorrigemfalhas nokerneldesuasdistribuições ➧Mandrivaafirmaqueprojetonãoestámorto ➧GoogleCodepassaaaceitartodasaslicençasaprovadaspelaOSI CORPORATE Notícias ➧VMwareestácomprandoaNovell 22 SEGURANÇA ➧OpserafirmaparceriacomaCanonicalpara distribuirOpsviewnoUbuntu Segurança garantida ➧GrupoSCOleiloadivisãoUNIX ➧OracleapostaemseupróprioLinux Coluna: Jon “maddog” Hall 24 Coluna: Cezar Taurion 26 Tão magro que desapareceu REDES O que há aqui dentro, o que há lá fora ANÁLISE 51 S ethinclientsoferecemvantagensemrelaçãoaosultrapassados PCsclientes,conheçaosimpleserápidozero-client. 68 C onheçaoTCP_Wrapper,sistemadesegurançasimples eeficazcriadonosanos90eultimamenteesquecido pelosnovosadministradoresdesistemas. 72 N esteartigo,asabordagenstradicionaisdemonitoramento,manutenção erestauraçãodeativosdeTIsãoquestionadas;eogerenciamento out-of-bandéapresentadocomoumamaneiramaiseficientede cortargastosemelhorarosníveisdeserviçoeaprodutividade. SERVIÇOS Linux Magazine #71 | Outubro de 2010 Editorial 04 Emails 08 Linux.local 78 Preview 82 7 u c.h ww .s x –w ro nja gje ne Emails para o editor CARTAS Acelerar o mutt ✉ Estou usando o cliente de email mutt para acessar remotamente minha caixa de mensagens localizada em um servidor baseado em Unix/ Linux através do protocolo IMAP, mas minha conexão de rede é lenta e minha caixa de mensagens está ficando cada vez maior com o passar do tempo. Esperar que o mutt exiba o index do cabeçalho da mensagem é cansativo. Há alguma maneira de fazer o mutt exibir apenas as mensagens novas, mantendo a lista das mensagens antigas? Vinícius Toledo da Silva Resposta Como você está usando o mutt como cliente IMAP, seu arquivo .muttrc conterá algo do tipo: set spoolfile= imap://username@mailserver‑address/INBOX set imap_user=username Se você possuir acesso SSH é possível utilizar um comando túnel no mutt para usar o SSH como uma camada de transporte seguro, com a chave pública de autenticação SSH para evitar senhas de texto, veja: set tunnel="ssh ‑x ‑q ‑C ‑t username@mailserver‑address /usr/sbin/dovecot \ ‑‑exec‑mail imap" Contanto que o dovecot esteja instalado no servidor como um cliente de email local. Se o dovecot está sendo executado como servidor de email, é possível que haja clientes instalados. Portanto, uma configuração de túnel provavelmente irá funcionar e até mesmo fornecer uma melhor taxa de download por causa da compressão de dados/texto interna ssh ‑C. Escreva para nós! sa Permissão de Escrita Agora, vejamos a configuração do mutt propriamente dito: as versões 1.5.18 e posteriores suportam dois parâmetros para cache de email local. Eles possuem duas funções: armazenar mensagens localmente, para que não seja necessário baixá-las mais de uma vez depois de serem lidas, e manter um cache de cabeçalhos de mensagens em sincronia com o servidor de email remoto. set header_cache=~/.mutt‑header_cache set message_cachedir= ~/.mutt‑message_cache Os dois diretórios, .mutt‑header_ca‑ che e .mutt‑message_cache, precisam existir nesse exemplo. O mutt irá recuperar os cabeçalhos mais uma vez durante a próxima execução e depois lembrar quais cabeçalhos de mensagens já foram baixados. Nas próximas inicializações do mutt, apenas os novos cabeçalhos de mensagens são recuperados, e os velhos são exibidos a partir do cache local. Essa pode ser uma grande melhoria na velocidade para o já tão veloz cliente mutt baseado em terminal. n ✉ Sempre queremos sua opinião sobre a Linux Magazine e nossos artigos. Envie seus emails para cartas@linuxmagazine.com.br e compartilhe suas dúvidas, opiniões, sugestões e críticas. Infelizmente, devido ao volume de emails, não podemos garantir que seu email seja publicado, mas é certo que ele será lido e analisado. 8 http://www.linuxmagazine.com.br NOTÍCIAS ➧Nvidia promete nova placa gráfica para 2011 A Nvidia está trabalhando em uma nova placa gráfica que estará disponível no mercado a partir segundo semestre de 2011. O componente, denominado Kepler, sairá dois anos após o lançamento da última geração. O presidente-executivo da empresa, Jen-Hsun Huang afirma que o desenvolvimento da placa está acelerado e conta com a colaboração de centenas de engenheiros. A nova placa possui circuitos de 28 nanômetros e será de três a quatro vezes mais rápida do que a atual geração de chips Fermi. A Nvidia, especializada em placas gráficas de alta performance para fãs de jogos eletrônicos, enfrentará a concorrência da Intel no ano que vem. A gigante dos chips lançará um processador que combina uma CPU tradicional e uma unidade de processamento gráfico. A AMD também tem planos de lançar um processador com capacidade gráfica integrada. Buscando novos mercados, a Nvidia Corp está buscando o mercado de celulares, e combinando processadores de baixo consumo projetados pela ARM com seu próprio chip gráfico sob a marca Tegra, voltado para celulares e tablets, cuja versão 2 saiu no começo deste ano. n ➧Canonical, Fedora e Red Hat corrigem falhas no kernel de suas distribuições A Canonical lançou kernels atualizados para as versões do Ubuntu 10,04 LTS, 9.10, 9.04, 8.04 LTS e 6.06 LTS, para corrigir duas recentes falhas descobertas. As atualizações também são para as versões equivalentes do Kubuntu, Edubuntu e Xubuntu, e deverão estar disponíveis através do sistema de atualização automática dos softwares. As falhas foram descobertas por Ben Hawkes. Em uma delas, ele descobriu que no sistema kernel 64-bits os intervalos de memória não são calculados corretamente quando fazem chamadas à sistemas de 32-bits que aloquem memória. Essa falha poderia permitir a um invasor local a ganhar direitos de root (CVE-20103081). Em outra falha, ele descobriu que os registros de kernel 64-bits não foram corretamente filtrados quando o sistema de 32-bits realiza chamadas em um sistema de 64 bits (CVE-2010-3301), o que também pode permitir que invasores ganhem privilégios de root. 20 A Red Hat, por sua vez, tem avaliado se o problema existe no Red Hat Enterprise Linux (RHEL), e diz que apenas a versão 5 deste é vulnerável ao CVE2010-3081. A versão 4 têm problemas semelhantes de validação, mas não possui a função "compat_mc_ sockopt()" que é utilizada pelo exploit. A empresa planeja uma atualização para o RHEL5 logo que as correções forem aprovadas nos testes, e as questões do RHEL4 serão abordadas em uma atualização posterior, por não serem críticas neste momento. A empresa diz que nenhuma versão do RHEL é vulnerável ao CVE-2010-3301. Atualmente, os desenvolvedores do Fedora também estão no processo de liberação das correções para as versões 13 e 12 do sistema operacional. As atualizações estão na fila à espera da verificação final, antes de serem enviadas para o mecanismo de atualização automática do Fedora. http://www.linuxmagazine.com.br Gerais | NOTÍCIAS ➧Mandriva afirma que projeto não está morto Em respota ao projeto Mageia, a Mandriva comenta sua atual situação e os planos futuros da empresa. A distribuição francesa afirma que o projeto está longe de estar no fim e que sim, será mantida por muito tempo. O próximo lançamento será o Mandriva Community Edition, previsto para o início de 2011. O foco de desenvolvimento do Mandriva é tornar-se a "melhor distribuição KDE do mundo". Uma comunidade independente deverá manter outros sistemas de desktop e a Mandriva afirma que irá forrnecer a infraestrutura técnica para que eles possam operar. A empresa estuda a contratação de um gerente para comunidade que vai ajudar a criar uma estrutura de gestão autônoma. A empresa comentou também que está planejando lançar novos produtos para tablets com processadores Intel e AMD, além do tabalho no desenvolvimento de uma estratégia de serviços na nuvem. A Mandriva Store será simplificada e melhorada e outros serviços online serão integrados à versão desktop do Mandriva. O planejamento da distribuição é a contratação de vinte colaboradores no Brasil no próximo ano, somando-se aos atuais sete desenvolvedores brasileiros e aos cinco desenvolvedores da França além de quinze funcionários na Rússia. Embora exista este planejamento, muitos desenvolvedores não acreditam que a comunidade independente do Mandriva dará certo. n ➧Google Code passa a aceitar todas as licenças aprovadas pela OSI A empresa anunciou que seu repositório, o Google Code, agora irá armazenar os novos códigos aprovados pela Open Source Iniciative (OSI). Para efetuar a mudança no sistema, a equipe do Google Code acrescentou a opção para selecionar o tipo de licença. Sendo assim, os desenvolvedores de software podem agora escolher a opção "other open source" e indicarem a licença que estão usando. De acordo com o blog oficial do serviço, "Esta é uma nova forma de armazenar códigos de diferentes tipos de licenças, pois é um ajuste para melhorar e incentivar os desenvolvedores de softwares de código aberto". Os desenvolvedores do Google também afirmam que nunca se sentiram bem em se afastar dos novos projetos e que apoiam licenças compatíveis sob licenças que "servem a uma função verdadeiramente nova, como a AGPL". Anteriormente, o Google Code oferecia somente um número limitado de licenças de código aberto para seus usuários. Em 2008, por exemplo, o site do projeto tinha bloqueado o uso da GPL Affero (AGPL) em projetos hospedados e mais tarde abandonou o suporte ao Mozilla Public Licenciados (MPL). Além disso, como estas licenças não são disponíveis em alguns países, os desenvolvedores ainda estão permitindo apenas projetos de domínio público e estudando caso a caso outras licenças. A equipe do Google Code afirma ainda que vai "continuar a buscar novos projetos de código não-aberto ou outros projetos usando o Google Code como um serviço genérico de hospedagem de arquivos". n LinuxMagazine#71 | Outubrode2010 21 CORPORATE ➧V Mware está comprando a Novell O Wall Street Journal publicou a notícia de que a VMware vai comprar a Novell. A VMware poderá utilizar e lucrar muito com o SUSE Linux da Novell, no futuro. Ainda de acordo com o jornal, os ativos remanescentes da Novell, incluindo o NetWare, a antiga rede de sistema operacional Novell, podem acabar nas mãos da Attachmate, que é mantida por empresas do setor privado, que incluem a Golden Gate Capital e a Francisco Partners. A Attachmate possui um emulador de terminal com mais de 30 anos e é uma companhia especializada em redes, o que certamente será um diferencial para ajudar a fazer um bom trabalho de apoio e suporte para os últimos clientes fiéis do produto Novell NetWare. Se a VMware irá fazer um bom trabalho cuidando do SUSE Linux é outra questão. Paul Martiz, CEO da VMware e com certos rancores contra a Microsoft, teve pouco a dizer sobre a fusão: “Eu não iria tão longe para dizer que a VMware/Novell tem menos a ver com a Microsoft do que com a Novell nos dias de hoje.” Isso não quer dizer que a VMware/Novell não irá trabalhar com a Microsoft. Há muitos clientes Windows trabalhando com virtualização VMware, e um bom número de clientes Windows que trabalham com Linux estão utilizando o SUSE Linux como sistema operacional. Ao mesmo tempo porém, a VMware está satisfeita em poder utilizar o mais recente lançamento da Novell, o software Cloud Manager, para mover os usuários já existentes para instâncias virtuais SUSE Linux - e para longe do Windows. A Novell e a VMware já estavam trabalhando juntos neste projeto muito tempo antes de as negociações começarem a se materializar. Além disso, a VMware sabe que, para que sua empresa consiga obter qualquer valor real da Novell, terá que ajudar o Linux e o Software Livre em geral. As empresas tem aprendido que o Software Livre gera uma boa quantia de dinheiro. É por essas e outras razões práticas e financeiras que a VMware vai apoiar o Linux e fazer do SUSE Linux o sistema operacional principal para ambientes de virtualização e servidores cloud. n ➧Opsera firma parceria com a Canonical para distribuir Opsview no Ubuntu A rede de Open Source Opsera firmou acordo com a Canonical para distribuir o Opsview para parceiros da empresa. A Opsera declarou que o Ubuntu Server Edition é sua plataforma de escolha Linux rodando o Opsview Enterprise Edition, a versão comercial do Opsview Community. Após a aquisição da Enterprise Division pela Ixxus, a Opsera está direcionada agora para o Opsview, serviço associado e de consultoria. Tom Callway, gerente de marketing da Opsera, afirma que muitos clientes da empresa já implantaram o Opsview no Ubuntu Server Edition e isto, combinado com a estratégia da Canonical, o deixa convencido que a rede terá uma relação mais próxima com o fornecedor do Ubuntu. John Pugh, gestor da Canonical, chamou a parceria de "ajuste perfeito" para lidar com o provedor de serviços gerenciados e serviços financeiros. n 22 http://www.linuxmagazine.com.br Notícias | CORPORATE ➧Grupo SCO leiloa divisão UNIX A SCO Group, declarou em um comunicado de imprensa que irá vender a sua divisão Unix pelo maior lance. A divisão UNIX da SCO lida com vendas e desenvolvimento de aplicações como UnixWare e OpenServer, juntamente com suporte para esses produtos. Os parceiros interessados têm até o dia 5 de outubro para apresentar suas propostas. A SCO descreve o spin off da sua divisão como uma tentativa de manter a confiança do cliente no desenvolvimento das tecnologias UNIX. Ao mesmo tempo, a receita é assegurar a sobrevivência do Grupo SCO, que arquivou um processo de falência em acordo com a legislação dos Estados Unidos. Ken Nielsen, diretor financeiro da SCO, explica em comunicado à imprensa: “Esta venda é um importante passo no sentido de garantir a continuidade dos negócios da SCO para todos os clientes ao redor do mundo”. A venda da divisão UNIX é um esforço da empresa em obter financiamento para o Grupo SCO. Não é a primeira vez que uma divisão foi desmembrada. No mês de abril, a SCO, com o então CEO Darl Mcbride comprou a divisão móvel da empresa por US$100.000. Mcbride originalmente queria pagar somente US$35,000, mas um segundo proponente, cuja identidade permanece anônima até hoje, aumentou o preço. Se um comprador for encontrado através do atual leilão da divisão UNIX, o grupo SCO teria que enfrentar acusações apresentadas pela IBM e Red Hat sobre alegadas violações de direitos autorais do Linux, e pode esperar que a recente oposição, apresentada contra a decisão final sobre a quem pertence o copyright dos sistemas UNIX será bem sucedida em sua disputa com a Novell. Em 2007, a SCO Group entrou em negociação com os investidores da York Management Capital, que estava oferecendo US$ 10 milhões para a divisão UNIX e US$ 6 milhões para a divisão de dispositivos móveis. Mas, como mostram os relatórios trimestrais, a divisão UNIX tem tido seu valor diminuído desde 2007. Analistas do mercado americano estimam que de US$ 2 a US$4 milhões de dólares seria um bom negócio. O leilão da divisão UNIX ocorre ao mesmo tempo em que a empresa Novell está à venda. n ➧Oracle aposta em seu próprio Linux O Presidente da Oracle, Larry Allison, declarou na abertura do Oracle OpenWorld que a empresa desenvolveu um novo kernel para Linux, o Oracle Linux. Edward Screven, detalha a estratégia, junto com o vicepresidente executivo John Fowler. A Oracle irá manter a compatibilidade e o suporte ao sistema operacional Red Hat Linux, mas lançando o Unbreakable Enterprise Kernel, kernel altamente otimizado, e que a empresa assegura que irá garantir a estabilidade das soluções de midleware Exadata e Exalogic. As reclamações de Allisson eram antigas em relação ao Red Hat. Ele já havia afirmado que a empresa era muito lenta para solucionar bugs e manter um kernel antigo. Por estes motivos a empresa resolveu reviver o projeto Oracle Linux, que estava parado desde seu lançamento, há quatro anos e que agora será reforçado com o Unbreakable Enterprise Kernel. O suporte ao Red Hat irá se manter, mas agora não será a primeira opção nos sistemas empresariais. Segundo Edward Screven, este kernel é 75% mais eficiente que o Red Hat. “A migração dos clientes é muito simples”, garante. Mesmo com estas novidades, a Oracle continuará a investir no Solaris, que terá uma nova versão disponível em 2011. Ontem foi apresentado o Solaris 11 Express, que deve chegar aos clientes no final deste ano. O novo sistema contém mais de 2.700 projetos com mais de 400 novidades, resultado de 20 milhões de horas de desenvolvimento e mais de 60 milhões de horas de testes. O novo Solaris foi construído com novas capacidades para desenvolver e suportar cloud computing, e foi otimizado para as exigências de escalabilidade que estes sistemas vão exigir das empresas. n ParanotíciassempreatualizadasecomaopiniãodequemviveomercadodoLinuxedoSoftwareLivre, acessenossosite:www.linuxmagazine.com.br LinuxMagazine#71 | Outubrode2010 23 Monitoramento de redes CAPA Monitorar é preciso Aprendaamonitorarsuarededeformainteligente,inventariaroparque computacional,gerargráficoscomqualidadeeprevereventosfuturoscomas ferramentasquevocêiráconhecernestaediçãodaLinuxMagazine. por Flávia Jobstraibizer É corriqueiro encontrar diretores de pequenas ou médias empresas, que, se perguntados sobre quantos e quais dados trafegam em sua rede, certamente não saberão a resposta. Isso se deve ao fato de que nem sempre estas pequenas e médias empresas – e até mesmo algumas poucas grandes empresas – não possuem um analista de rede, profissão específica e muito subjulgada atualmente. É o analista de redes quem melhor poderá informar aos responsáveis por uma empresa, se os seus dados estão seguros, se nenhum usuário está efetuando downloads ou instalando em suas estações de trabalho conteúdo ilegal, prever e efetuar manutenções preventivas na rede e outras tantas vantagens da função. Fato é, que, com o avanço das ferramentas para monitoria de redes, até mesmo um administrador de sistemas que não seja especialista em redes, poderá realizar as tarefas de inventariar um parque computacional, gerar relatórios de desempenho, tráfego de dados, estatísticas, monitorar determinados equipamentos da rede etc. É importante manter o controle – ou pelo menos estar ciente – das LinuxMagazine#71 | Outubrode2010 necessidades básicas de sua rede. Antecipar eventos, como por exemplo, determinar em que data aproximadamente um cartucho de impressora irá acabar, pode facilitar muito a vida de uma empresa inteira. Esse tema é abordado pelo artigo Nos mínimos detalhes, que mostra como utilizar a ferramenta adicional para Nagios, PNP4Nagios. Se a sua intenção é gerar gráficos elegantes dos mais diversos para apresentação de resultados, auditorias ou levantamentos internos, uma ótima opção é utilizar o Cacti. A ferramenta é extremamente robusta e promete o mesmo desempenho de outras ferramentas comerciais similares. Ainda falando de ferramentas robustas, um entrave para o administrador de redes, é a monitoria de ambientes de rede remotos. No artigo Monitorando ambientes remotos utilizando Zabbix Proxy, você vai aprender como instalar o Zabbix Proxy e monitorar redes remotas, de qualquer lugar em que estiver! Para quem não tem muito tempo, e deseja automatizar tarefas corriqueiras, conheça o Zenoss, que auxilia o administrador de redes e sistemas, aumentando a eficiência operacional e a produtividade, automatizando muitas das notificações, alertas e necessidades de intervenção executados diariamente em uma rede. E para finalizar, o não tão divulgado, porém fantástico Centreon, interface de controle para o Nagios, com diversas ferramentas adicionais, para tornar o já poderoso Nagios, ainda melhor! Boa leitura! Matérias de capa Nosmínimosdetalhes Centreon:controleo Nagiosemonitoresuarede! Monitordeambientesremotos Práticoeeficiente Gráficoselegantes 28 34 40 44 48 27 A nova arquitetura zero-client ANÁLISE Tão magro que desapareceu Sethinclientsoferecemvantagensemrelação aosultrapassadosPCsclientes,conheça osimpleserápidozero-client. por Jim Emery e Ben Tucker A s arquiteturas de thin clients oferecem aos departamentos de TI vantagens significativas em relação ao custo total de propriedade, em comparação com PCs clientes dedicados. Entre elas estão um menor custo de aquisição, melhor confiabilidade e menores custos de suporte. A arquitetura zero-client, criada pela Digi International, introduz um conceito semelhante. Assim como um thin client, o zero-client oferece uma variedade de interfaces de I/O, incluindo portas para vídeo, periféricos USB e seriais. Porém, diferentemente dos thin clients, as máquinas da arquitetura zero-client atuam como simples redirecionadores de I/O para tais dispositivos, permitindo que as interfaces dos aplicativos sejam fornecidas onde quer que precisem ser exibidas, redirecionando o I/O de e para os dispositivos através de qualquer rede TCP/IP. Usando essa arquitetura, os aplicativos podem ser colocados num único servidor, em vez de serem distribuídos em servidores e clientes ou em thin clients. Funcionamento O zero-client utiliza uma implementação do VNC em código aberto que faz a interface com um software LinuxMagazine#71 | Outubrode2010 servidor VNC, também de código com seus próprios sistemas operacioaberto, localizado no servidor de nais. Também com frequência rodam aplicativos. Essa conexão VNC su- partes de um aplicativo distribuído porta tanto um monitor quanto qual- que precisou de esforço de adaptação quer dispositivo USB conectado ao em relação ao aplicativo original, aparelho. Para dispositivos seriais, a que era executado em PCs comuns. Digi utiliza sua tecnologia patente- Funções como interfaces gráficas e ada RealPort® para permitir que o gerenciamento de dispositivos locais I/O serial também atravesse a rede existem no thin client, enquanto o até o aplicativo baseado no servidor. resto dos aplicativos rodam no serA combinação de VNC e RealPort vidor. Essa abordagem distribuída permite que o aplicativo interaja com requer tanto modificações no aplicadispositivos periféricos por meio da tivo original quanto a permanência rede, exatamente da forma como o do sistema operacional e de partes fariam localmente no servidor. do aplicativo em cada thin client, Uma vantagem significativa da reduzindo as vantagens quanto ao arquitetura zero-client é que os apli- custo de propriedade desses aparelhos. cativos que precisavam ser executados em PCs clientes dedicados já podem rodar num servidor centralizado, sem qualquer modificação. Como a tela e os dispositivos periféricos parecem locais para o servidor, o aplicativo nem mesmo percebe que o I/O desses dispositivos está, na verdade, sendo passado pela rede. Enquanto alguns thin clients funcionam de forma semelhante, frequen- Figura 1 ODigiPortAuthorityRemoteencontraoaparelho ConnectPortDisplaypelarede. temente eles são mini-PCs 51 ANÁLISE | Thin Client O passo 1, instalação e ativação do servidor VNC, é muito simples em qualquer distribuição Linux – inclusive com assistentes gráficos de configuração desse recurso – tanto em ambiente KDE quanto Gnome. Porém, é importante lembrar-se de permitir a passagem Figura 2 AabaOutlinemostraaestruturadocódigo, listandodiversasclasses,funçõesedeclarade conexões VNC çõesdevariáveis. Instalar um dispositivo zero-client através do firewall como o ConnectPort Display da Digi do servidor. entrada e coleta de dados, quiosques é fácil. Basta conectar o dispositivo O passo 2, instalação do driver Re- e monitores de status. à energia elétrica, conectando, a se- alPort, serve para fornecer um endereAssim como ocorre com todos os guir, o monitor e os periféricos USB çamento tty estático dentro do sistema drivers para Linux, a instalação do e seriais. Por último, o aparelho é operacional para portas seriais físicas RealPort requer várias etapas. A Digi específicas no ConnectPort Display. O disponibiliza o driver em formatos conectado à rede Ethernet. A comunicação do servidor zero- sistema operacional então obtém total RPM e tgz. O procedimento é detaclient com os clientes exige apenas controle das portas e pode especificar lhado nas notas incluídas no pacote. parâmetros através do /etc/inittab ou A versão mais recente do driver foi três passos: 1 Instalar e ativar o servidor VNC por chamadas do ioctl para portas se- lançada em outubro de 2007, com no servidor; riais padrão. Isso significa que aplicati- a revisão N. O driver RealPort mais 2 Se forem usados dispositivos se- vos atuais, criados para comunicarem-se atual sempre pode ser baixado a parriais, instalar o driver RealPort; com portas seriais, podem fazê-lo sem tir de [1]. A instalação do driver é 3 Configurar os vários parâmetros necessidade de alterações, permitindo a descrita nas notas de lançamento[2]. do zero-client através de uma migração fácil de aplicativos que fazem O terceiro e último passo da conuso intenso de I/O serial, como POS, figuração do zero-client, configurar o simples interface web; ConnectPort Display, é feito com as Digi discovery tools, distribuídas pela empresa, que permitem que o dispositivo receba um endereço IP na rede. As ferramentas são disponibilizadas para Windows, Linux e várias versões de Unix. Quando o dispositivo recebe um IP, basta clicar no botão Connect para visualizar a interface do navegador do dispositivo (figura 1). Com um clique em Configure, o administrador se conecta ao ConnectPort Display. A aba Remote Access deve ser configurada de acordo com a figura 2, informando como servidor VNC o IP do servidor Linux e verificando se o número da porta está correto para a implementação do VNC instalado no servidor. Depois disso, o usuário do cliente Figura 3 TeladeentradaconformevistanoConnectPortDisplay. zero-client já poderá usar sua sessão Como o zero-client é um dispositivo focado em I/O, e não em ser um mini-PC, seu suporte e seu gerenciamento são muito mais simples e com custo inferior. Praticamente não há necessidade da manutenção do sistema operacional encontrado em thin clients mais comuns, assim como manutenção de aplicativos, pois estes rodam sem modificações no servidor. E o gerenciamento de dispositivos zero-client é tão simples quanto o de qualquer dispositivo periférico. Instalação 52 http://www.linuxmagazine.com.br Thin Client | ANÁLISE remota. No Open Suse, distribuição instalada no servidor usado na confecção deste artigo, o VNC está vinculado ao KDM, e então o usuário do cliente verá uma tela como a da figura 3. Em outras distribuições Linux, o VNC pode ser iniciado após o contexto de login do usuário; nesses casos, deverão ser configuradas senhas para os usuários que farão uso do servidor. Linux versus Windows Sistemas operacionais multiusuário como o Linux são perfeitos para múltiplos aplicativos rodando num único servidor com múltiplos usuários ou interfaces de dispositivos. Contudo, a situação no Windows é bem diferente. Muitos projetos atuais de thin clients são feitos para uso em ambientes Windows mono-usuário, o que requer grande complexidade por parte da arquitetura do software servidor. A arquitetura do zero-client é simplesmente projetada para oferecer múltiplas interfaces de usuário em sistemas Linux multiusuário, sem necessidade de qualquer middleware para contornar deficiências do sistema. Configuração e gerenciamento Como os zero-clients são, em essência, apenas dispositivos de I/O, criar toda uma variedade de configurações de portas em hardware também é muito fácil. A Digi atualmente tem várias configurações de seu ConnectPort Display e acrescentará várias configurações de porta no futuro. A centralização do zero-client em I/O também permite o uso de outras ferramentas igualmente focadas, como o Connectware Manager, também da Digi. Esse software pode ser instalado diretamente no servidor do aplicativo, num servidor separado no mesmo local ou num servidor remoto de suporte que acessa dispositivos através de qualquer rede IP. Essa ferramenta de gerenciamento oferece muitas fun- LinuxMagazine#71 | Outubrode2010 Figura 4 InterfacedoConnectwareManagerparagerenciarmúltiplosaparelhosConnectPortDisplay. ções comuns, tais como alterações de configuração e atualizações de firmware, para um ou cem dispositivos, sejam locais ou remotos, usando o recurso de agrupamento. Tarefas de gerenciamento podem até mesmo ser automatizadas, usando uma função de agendamento para grupos particulares de dispositivos. O monitoramento de dispositivos também é fornecido de forma embutida, oferecendo estatísticas e relatórios. O software emite ainda alertas de problemas para técnicos de suporte. A interface de gerenciamento é simples e feita em Java. Na figura 4 vemos várias unidades zero-client ConnectPort Display sendo monitoradas remotamente através da rede, a partir de um local central. É interessante o fato de que o Connectware Manager é capaz até de gerenciar centralizadamente dispositivos com IPs privados localizados atrás de firewalls. Conclusão Tanto thin clients quanto zero-clients oferecem vantagens significativas de custo de propriedade, quando comparados com PCs clientes padrão. Essas vantagens são visíveis tanto imediatamente quanto a longo prazo. A arquitetura zero-client oferece vantagens adicionais em relação à compatibilidade e suporte de software, além de flexibilidade de configuração e gerenciamento. n Mais informações [1] DownloaddodriverRealPort:http://ftp.digi.com/ [2] NotasdelançamentododriverRealPort: http://ftp1.digi.com/support/driver/93000359_n.txt/ Sobre o autor Jim EmeryégerentedeprodutodoConnectPortDisplay,eBenTuckeréoengenheiro-chefede vendasdoConnectPortDisplaydaDigiInternational. Gostou do artigo? Queremosouvirsuaopinião.Faleconoscoem cartas@linuxmagazine.com.br Esteartigononossosite: http://lnm.com.br/article/4001 53 Escritórios remotos ANÁLISE Remoto, mas presente A melhoria da continuidade dos negócios para escritórios remotos é crítica para grande parte das empresas. por Marco Mendes e Wanda Rosalino ew B Matth Q uedas de rede e interrupções relacionadas aos serviços são responsáveis por perdas significativas de produtividade e receita. Tradicionalmente, as organizações têm implantado infraestruturas redundantes em locais remotos para garantir a estabilidade da rede e dos sistemas. Atualmente, as empresas consideram se é possível justificar o custo da redundância completa de infraestrutura entre vários locais para fins de melhoria da continuidade dos negócios. Impulsionadas pelo surgimento das tecnologias de gerenciamento remoto baseadas em IP, as empresas com escritórios remotos vêm cada vez mais mudando para soluções econômicas de gerenciamento centralizado de TI. Apesar de impressionarem, essas soluções não estão livres de riscos. As soluções de acesso baseadas em IP (também chamadas 54 o wd e n .sxc.h - www de soluções in-band) dependem da Internet para o acesso remoto à infraestrutura. Um caminho alternativo, ou o acesso out-of-band, aos dispositivos dentro da infraestrutura de TI é necessário caso o acesso à Internet fique indisponível por algum motivo. Custos de vulnerabilidades Hoje em dia as empresas dependem e contam com a disponibilidade 24/7 dos sistemas. Apesar de a disponibilidade do sistema ser somente um dos fatores que contribuem para a continuidade dos negócios, ela está entre os fatores mais críticos. Considerando o cenário de negócios cada vez mais dependente de TI, uma interrupção na disponibilidade do sistema pode resultar em graves desdobramentos, incluindo: u ➧Perda de produtividade. Na sua forma mais simples, a perda de produtividade é o produto do número de horas produtivas do trabalhador perdidas em uma parada pelo salário por hora. Cálculos mais sofisticados medem o impacto financeiro da perda de produtividade (por exemplo, lucros cessantes do trabalho que teria sido produzido durante a parada), ou subtraem o valor relativo do trabalho alternativo realizado durante a parada da base de cálculo; ➧Custo de mão‑de‑obra adicio‑ nal. Esse custo inclui terceirização de TI, horas extras de todo o pessoal afetado, transporte de funcionários de TI para o local remoto ou transporte de funcionários remotos para um local alternativo, além do custo http://www.linuxmagazine.com.br Escritórios remotos | ANÁLISE Tabela 1: Os custos de parada e de degradação são significativos nas filiais Setor Nº Médio de filiais Paradas Horas / ano Degradações Horas / ano Perda Média de Receita Perda Média de Produtividade 212 719 461 $56M $165M Saúde 62 180 213 $17M $25M Transporte 101 172 126 $14M $18M Manufatura 159 393 373 $80M $74M Varejo 174 322 196 $18M $23M Financeiro de outros projetos em decorrência da realocação da equipe de TI durante a parada; ➧Perdas dos negócios em curto prazo. Elas incluem todas as perdas das receitas de vendas ou serviços no escritório remoto durante a parada; ➧Perdas dos negócios em lon‑ go prazo. Essa é uma estimativa dos custos de “abandono” dos clientes que pode ocorrer como resultado de uma parada. Esses custos são específicos de cada setor e empresa, de forma que os gerentes de TI deverão examinar as paradas anteriores em sua empresa ou setor para efetuar as estimativas, se possível. As perdas dos negócios em longo prazo são particularmente importantes no caso de empresas de commodities sem bens físicos, como os serviços financeiros; ➧Custos de reparação. Estes incluem multas, processos e honorários legais incidentes como resultado de uma parada, como infrações a acordos de nível de serviço (SLA), violações de política de privacidade e não conformidade com as regulamentações. Os custos de reparação também podem incluir todos os custos de gerenciamento de crises e publicidade, visando à restauração da confiança dos consumidores ou dos parceiros. Linux Magazine #71 | Outubro de 2010 Métodos comuns de melhoria Tradicionalmente, os escritórios remotos vêm melhorando a resiliência de suas redes por meio da redundância de hardware e soluções de gerenciamento in-band. Uma das formas mais simples de proteção contra falhas de hardware é a localização de becapes de hardware crítico no local. Para algumas classes de hardware, de forma mais notável os discos rígidos, essa estratégia funciona bem. Os discos rígidos são baratos e têm padrões consolidados, como RAID, que automatizam a manutenção e o contorno de falhas (failover) das unidades de becape. Para outras classes de hardware mais complexas e onerosas, a redundância pode ser impraticável. Na ausência de controladores RAID ou seus equivalentes, a manutenção de configurações espelhadas de hardware requer administradores para configurar vários dispositivos com configurações, patches e addons idênticos. Este custo indireto é difícil de justificar em um escritório remoto com uma equipe de TI já reduzida. O hardware não substitui a necessidade da equipe humana. Mesmo no caso de um becape completo no local, ele requer que um membro da equipe de TI efetue a troca de peças. Além disso, o hardware duplicado não pode ajudar o escritório central a diagnosticar problemas decorrentes de configuração das aplicações ou de conectividade. A maioria das grandes empresas atualiza seus contratos de suporte para proporcionar substituição rápida de hardware oneroso e crítico; porém, mesmo esses contratos requerem que a equipe local de TI efetue o diagnóstico do problema antes que o fornecedor envie uma substituição. Gerenciamento in-band Os administradores de TI normalmente monitoram a infraestrutura dos escritórios remotos utilizando soluções de gerenciamento com conectividade IP. Esse tipo de software assume várias formas, incluindo servidores de terminais virtuais, sessões telnet ou consoles baseados em navegador web. Alguns fornecedores de servidores oferecem placas de hardware de gerenciamento embarcadas em seus sistemas, as quais fornecem informações detalhadas sobre as variáveis de ambiente e opções de configuração do dispositivo em um console customizado. Os sistemas com conectividade IP são conhecidos como in-band, pois requerem uma rede funcionando de forma apropriada (normalmente uma rede baseada em IP, como a Internet ou uma WAN). Se a conexão de rede entre o administrador e um dispositivo remoto apresentar falha (isto é, 55 ANÁLISE | Escritórios remotos ficar “fora da banda”), a aplicação ficará inutilizada até a restauração da conexão de rede. Gerenciamento out-of-band Do ponto de vista da continuidade dos negócios, os sistemas de gerenciamento in-band apresentam um problema significativo — eles falham exatamente quando são mais necessários. Se o acesso à rede estiver indisponível em decorrência de uma parada nos serviços, mau funcionamento de roteadores ou outras interrupções de serviços, o acesso in-band não funcionará. Para resolver esse problema, os fornecedores de tecnologia criaram uma nova classe de ferramentas de gerenciamento out-of-band. Diferentemente das soluções in-band estritamente baseadas em conectividade IP, as ferramentas out-of-band oferecem um caminho secundário ao local remoto para ser utilizado quando a rede primária tem problemas. Considere o exemplo a seguir: ocorreu uma falha na conexão de rede a um escritório remoto e os funcionários remotos não poderão trabalhar até que ela seja restaurada. Os administradores da rede não podem utilizar ferramentas in-band para avaliar ou reparar a situação. Sem nenhuma visibilidade ao local remoto e pouca idéia da causa do problema, os administradores são forçados a enviar o pessoal interno até o local, contratar prestadores de serviço onerosos para diagnóstico do problema ou confiar em procedimento de orientação passo a passo por telefone a uma equipe não técnica. A tecnologia out-of-band altera este cenário de forma significativa, permitindo que os administradores de rede disquem para um switch remoto de teclado-vídeo-mouse (KVM) ou serial, para visualizar as telas dos dispositivos inoperantes e diagnosticar os problemas. Com o gerenciamento 56 remoto de energia, os administradores podem até efetuar reinicializações do hardware dos sistemas, muitas vezes restaurando a funcionalidade total, sem deixar o escritório central. Se os problemas requerem a equipe no local, o escritório central pode enviar o pessoal correto para o problema em questão, com base no diagnóstico remoto, economizando dinheiro e tempo e retornando os trabalhadores mais rapidamente às suas funções. Normalmente, o gerenciamento out-of-band requer um servidor de console serial no local remoto. Ao se conectar aos ativos de TI do local remoto (por exemplo, roteadores, switches e outros dispositivos), o console serial pode ser acessado de forma segura por meio de conexão discada sobre o RTP (Real Time Transport Protocol ou Protocolo de Transporte em Tempo Real). Para mais detalhes veja a tabela 1. Em outras palavras, se o ISP (Internet Service Provider ou Provedor de Serviço de Internet) estiver com problemas de queda de rede, o local remoto ainda poderá ser acessado via conexão discada. O acesso seguro out-of-band via discagem a um servidor de console serial assegura que os dispositivos conectados em rede estejam sempre acessíveis, mesmo em caso de perda de conectividade. Mesmo com a rede fora do ar, os administradores poderão acessar as soluções de gerenciamento fora da banda por meio de um caminho alternativo, como a discagem. Em complementação às soluções de gerenciamento remoto, a funcio- nalidade de acesso fora da banda oferece acesso mais robusto aos ativos de infraestrutura de TI. Os custos operacionais são reduzidos e a necessidade de redundância de hardware é minimizada. Melhorias crescentes Os produtos de gerenciamento out-of-band oferecem controle e reparo centralizado para a infraestrutura local e remota de TI, mesmo em caso de perda de conectividade ou dispositivos inoperantes. A porta console serial é o único meio de acesso out-of-band independente de plataforma que consegue conectar todos os equipamentos em um escritório remoto. Quando utilizada em conjunto com soluções de gerenciamento complementares, a continuidade dos negócios melhora de forma significativa. Switches KVM Há switches KVM sobre IP que oferecem controle da BIOS de todos os servidores e dispositivos seriais conectados no datacenter. Esses switches KVM permitem que os administradores gerenciem e liguem/desliguem de forma remota os dispositivos conectados. O switch permite acesso out-of-band através de uma porta que pode estar conectada a um modem. Isto permitirá o acesso ao switch quando a conexão IP não estiver operacional. Os administradores de TI podem utilizar switches KVM para gerenciar datacenters e filiais de forma remota, como se estivessem presentes em cada local. Isto reduzirá os tempos de parada, fornecendo acesso e controle fácil a qualquer servidor ou dispositivo conectado. n Gostou do artigo? Queremosouvirsuaopinião.Faleconoscoem cartas@linuxmagazine.com.br Esteartigononossosite: http://lnm.com.br/article/4002 http://www.linuxmagazine.com.br Tivoli e Linux: Gerenciamento de Infraestrutura de Redes e Servidores ANÁLISE A multiplicidade do Tivoli HátemposaIBMveminvestindopesadamenteemLinux,nãoapenasnodesenvolvimento deaplicaçõesenainclusãodessesistemaoperacionalemsuassoluçõesem ambientesdistribuídos,comotambémnoambientedomainframe.AsuíteTivolié umexcelenteexemplodoquejáfoifeitonessastrêslinhasdeinvestimentos. por Marcos Alves e Roberto Nozaki Davide Guglielmo – www.sxc.hu A o trabalhar pesadamente no desenvolvimento de soluções e ferramentas para Linux, tanto em ambientes distribuídos quanto em mainframes, a IBM entende que é possível combinar a escalabilidade e a confiabilidade dos servidores de mainframe com a flexibilidade e os padrões abertos de Linux. Na IBM isto se reflete em uma linha chamada zLinux, ou o Linux que roda no mainframe. Mas, independentemente da plataforma, o investimento é intenso também no gerenciamento de infraestruturas de servidores e redes baseadas em Linux. Dentro da IBM, a iniciativa de ITSM (IT Service Management) engloba a família Tivoli de produtos, que vem sendo ampliada através de dois grandes caminhos: 1 Desenvolvimento interno: a IBM investe bilhões por ano em pesquisa e desenvolvimento, e detém o recorde de registro de patentes, ano após ano (foram 3.621 nos EUA, em 2006); LinuxMagazine#71 | Outubrode2010 2 Aquisições de empresas também focadas em gerenciamento, como Candle, Cyanea, Micromuse. Nessas ocasiões são incorporados os “cérebros” dessas companhias, o que redunda em evolução dos produtos da própria IBM. Esses fatores resultam em um leque bastante amplo de produtos, que, no caso específico do Tivoli em ambiente Linux, contam com ferramentas para controle de autenticação e autorização, becape, entre outros, passando por gerenciamento dos próprios servidores e aplicações e redes, e culminando no gerenciamento de linhas de serviço (veja no quadro 1). Este artigo se concentra nas soluções Tivoli para as seguintes áreas: 1 Gerenciamento de servidores e aplicações: Tivoli Monitoring e ITCAM; 2 Gerenciamento de redes: Tivoli Network Manager (ex-Netcool/ Precision); 3 Gerenciamento de eventos: Tivoli Netcool/OMNIbus; 4 CMDB. Servidores e aplicações Dentro da família Tivoli, o ITM (IBM Tivoli Monitoring) é o responsável pelo gerenciamento de servidores e aplicações em rede, nas diversas plataformas do ambiente distribuído em que atua (Linux, outros Unix, Windows). No mainframe, a família mantém o nome OMEGAMON, herdado quando a IBM adquiriu a empresa Candle, em 2004. O ITM 6.1 no ambiente distribuído também é fruto desta incorporação, e possui monitores para recursos do sistema operacional (como uso de CPU, memória, disco, processos), aplicações (como SAP, Siebel, Lotus Domino, Exchange) e bancos de dados (DB2, Oracle, MS-SQL, Sybase). Os dados coletados a partir destas monitorações são armazenados 57 ANÁLISE | Tivoli Quadro 1: Produtos IBM Tivoli para gerenciamento em Linux IBM Tivoli Access Manager for e-business Atuacomocoordenadorcentraldasfunçõesdeautenticaçãoeautorizaçãoparaaplicações(sejamelaswebounão). IBM Tivoli Access Manager for Operating Systems ProtegeosrecursosdeaplicaçõesesistemasoperacionaisendereçandovulnerabilidadesrelacionadascomousodecontasdesuperusuárioemambientesUNIX/Linux. IBM Tivoli Composite Application Manager for Response Time Tracking Umasoluçãoparagerenciamentodetransaçõesfim-a-fimcapazde,proativamente, reconhecer,isolareresolverproblemasdetempoderespostaparausuáriosfinais. IBM Tivoli Configuration Manager Soluçãointegradaparadistribuiçãodesoftwareeparainventáriodeconfiguraçõesde softwareehardwarenasempresas. IBM Tivoli Enterprise Console Correlacionaeventosdeservidores,redesee-business,pararapidamenteidentificara causaraizdeproblemasemambientedeTI. IBM Tivoli Monitoring Gerenciadeformapró-ativaasaúdeeadisponibilidadedainfraestruturadeTI,fim-afim,atravésdeambientesdistribuídosenomainframe. IBM Tivoli Monitoring Express Umaversão“light”doIBMTivoliMonitoring,voltadaparapequenasemédiasempresas. IBM Tivoli Monitoring for Microsoft .NET Monitoraegarantedisponibilidadeedesempenhoaoambiente.NETdaMicrosoft. IBM Tivoli Network Manager GerenciarecursosderedesnascamadasOSI2e3darede. IBM Tivoli OMEGAMON XE for Linux on zSeries GerenciaodesempenhoeadisponibilidadedosistemaoperacionalLinuxnasplataformasmainframeedistribuídas(OS/390,zSerieseIntel). IBM Tivoli OMEGAMON XE for WebSphere Application Server for Linux on zSeries UmmonitorespecializadoemWebSphereparaLinux. IBM Tivoli Risk Manager Simplificaemumúnicoconsoleoseventosealertasgeradospordiversosprodutosantesdesconectados,paragerenciarincidentesdesegurançaevulnerabilidades. IBM Tivoli Service Level Advisor ViabilizaogerenciamentodeníveldeServiço,paraquesejapossívelalinharosserviços entreguespelasuaempresacomasnecessidadesdeseusclientes. IBM Tivoli Storage Manager Automatiza funções de becape e restauração de becape, suportando uma ampla gamadeplataformasedispositivosdearmazenamento. IBM Tivoli Storage Manager for Databases ProtegebancosdedadosInformix,OracleeMicrosoft®SQL. IBM Tivoli System Automation for Multiplatforms Provêsoluçãodealtadisponibilidadeparaaplicaçõesemiddlewaresdemissãocrítica emLinux,AIXeplataformaszLinux. IBM Tivoli Workload Scheduler AutomatizaecontrolaofluxodetrabalhopormeiodetodainfraestruturadeTIdaempresa. 58 pelo ITM em um banco de dados, e podem ser visualizados em tempo real através do console web do TEP (Tivoli Enterprise Portal) ou, por meio do acesso a históricos, através do TDW (Tivoli Data Warehouse). Um exemplo do console do TEP é mostrado na figura 1. Este console também é utilizado para definir thresholds (valor mínimo de um parâmetro utilizado para ativar um dispositivo ou ação) de monitoração, assim como ações automáticas a serem executadas quando um threshold é ultrapassado. Para exemplificar, definimos que, quando um determinado disco de um certo servidor atingir 80% de utilização, a ação automática executada será a remoção dos arquivos no diretório temporário. Além disso, caso a utilização ultrapasse 90%, o pager do analista de suporte é acionado e um ticket é automaticamente aberto no sistema de help desk da empresa. Com isso, ganha-se em pró-atividade e evita-se, posteriormente, maiores “dores de cabeça”, já que, em geral, o problema tem consequências mais sérias e custa mais caro para ser diagnosticado e resolvido, sobretudo quando uma aplicação importante pára de funcionar por falta de espaço em disco. No caso de recursos para os quais não existe um monitor out-of-the-box, é possível ainda utilizar o agente universal do ITM, bastante customizável e capaz de capturar seus dados via API, arquivos de log, ODBC, HTTP, SNMP, scripts, sockets, portas TCP, entre outras opções. Os dados capturados dessa forma podem também ser monitorados para disparar ações corretivas, ou visualizados em relatórios no TEP e no TDW. Usuários podem criar e compartilhar monitores ou scripts para customização do agente universal no site da IBM/ OPAL [1]. Mas, para haver um gerenciamento efetivo da saúde de uma aplicação, http://www.linuxmagazine.com.br Tivoli | ANÁLISE Figura 1 ConsoledoTEP(TivoliEnterprisePortal). não basta gerenciar os recursos dos quais ela depende. É necessário, de alguma forma, gerenciar também a experiência do usuário, inclusive com testes fim-a-fim simulando um usuário real. Para atender a esta necessidade, a Tivoli conta com a família ITCAM (IBM Tivoli Composite Application Management). Por definição, aplicações compostas são todas aquelas que permeiam mais de um ambiente ou sistema operacional, ou que se utilizam de múltiplos recursos existentes na infraestrutura da empresa, como servidores web, bancos de dados, servidores de aplicações ou mesmo o mainframe. Há módulos ITCAM prontos para gerenciar servidores de aplicação WebSphere ou outros servidores J2EE, como WebLogic, JBoss, Oracle, SAP NetWeaver e Tomcat. Esse geren- ciador permite que se faça monitoramento e diagnósticos detalhados destes servidores, e pode utilizar a mesma infraestrutura do TEP, que atua como console unificado para as funções de monitoração. O ITCAM possui também monitores no mainframe para CICS e IMS, uma configuração muito comum em aplicações bancárias. Para prover a capacidade de gerenciamento fim-a-fim, há também o ITCAM para RTT (Response Time Tracking), que nos permite monitorar o tempo de resposta a partir da máquina do usuário final, seja de forma robótica (um teste é executado periodicamente, independentemente de haver alguém usando a máquina ou por amostras reais (à medida que um usuário real efetua as transações). É possível gravar uma transação para agendar sua reprodução nos testes, e podem ser monitoradas tanto aplicações com interface web como aplicações Windows. Podemos definir thresholds ideais para os tempo de respostas, e solicitar a geração de alarmes quando estes tempos estiverem fora do desempenho desejado. E mais: os dados coletados das transações do usuário podem ser usados pela equipe de desenvolvimento para localizar os gargalos da aplicação. Gerenciamento de Redes Figura 2 OITNMmostrandoacausaraizdeumproblemaderede. LinuxMagazine#71 | Outubrode2010 Até cerca de um ano e meio atrás, a ferramenta para descoberta e gerenciamento de redes da Tivoli em ambiente distribuído era o NetView, que por sua vez foi desenvolvido a partir de uma versão mais antiga do HP/OpenView. Com a aquisição da Micromuse, em fevereiro de 2006, a IBM incorporou o produto Netcool/ Precision, que agora é o carro-chefe da IBM para este tipo de gerenciamento, e passou a se chamar IBM Tivoli Network Manager (ITNM). É neste produto que o time de de59 ANÁLISE | Tivoli senvolvimento está focado, ficando o NetView voltado para ambientes menores e menos complexos. O caminho natural é que novos usuários comecem diretamente com o ITNM, e que os antigos usuários de NetView migrem pouco a pouco seus ambientes para ITNM. É bastante comum utilizarmos o ITNM rodando em Linux, desde simples provas de conceito, onde demonstramos as funcionalidades da ferramenta, até a implementação de grandes projetos, com literalmente centenas de milhares de elementos sendo gerenciados. O ITNM é um produto de concepção mais moderna que seus antecessores, e foi amadurecido em ambientes extremamente exigentes: empresas de telecomunicações no mundo todo, que o utilizam para monitorar redes altamente complexas. A IBM percebeu que as características do ITNM seriam úteis não apenas neste tipo de empresa, mas também em qualquer empresa de TI que tivesse de gerenciar múltiplas tecnologias de rede, com centenas de milhares de elementos. O ITNM é capaz de descobrir e monitorar redes nos níveis 2 e 3 da camada OSI (enlace e rede), suportan- do tecnologias como MPLS, OSPF, SNMPv1/2/3, ATM, Frame Relay, CDP, HSRP, VLAN e NAT estático. Um ponto forte desta ferramenta é a escalabilidade: com apenas um servidor de ITNM, pode-se gerenciar até 250.000 elementos (considerando como elemento uma interface de rede, uma VLAN ou um servidor, por exemplo). E uma arquitetura de ITNM pode combinar mais servidores ITNM, monitorando mais elementos ainda. Uma vez descobertos os elementos de rede, o ITNM utiliza algoritmos pré-definidos para estabelecer a relação entre estes objetos, alimentando um banco de dados interno com a topologia da rede. Isto permite mapear “quem” está ligado a “quem”, e de que forma (seja como um caminho único por um roteador ou por caminhos redundantes). Este mapeamento da topologia permite ao ITNM fazer algo além em relação a outras ferramentas similares: a análise de causa raiz (RCA, em inglês). Um exemplo disso pode ser visto na figura 2. Em um primeiro momento, todos os dispositivos afetados são mostrados como eventos críticos (ficariam em vermelho na lista de eventos e no mapa de topologia). Em alguns segundos, porém, o ITNM detecta que diversos elementos estão inacessíveis em função da falha em um dispositivo do qual todos dependem. Imediatamente, apenas o dispositivo causador do problema permanece na cor vermelha, e os demais são mostrados na cor púrpura, indicando-os como sintomas de uma causa em comum. Assim, a operação da rede pode Figura 3: ImagemdostatusdaredeeeventosnoNetcool/WebTop. atuar diretamente no 60 problema real, em vez de procurar entre inúmeros problemas. Uma característica que os fãs do Linux provavelmente vão apreciar é o ITNM ser uma ferramenta bastante aberta, e portanto altamente configurável. Modificando os scripts shell e Perl que fazem parte do produto, é possível configurar desde o discovery (caso você possua elementos incomuns em sua rede), até a forma como os elementos serão “costurados” na topologia, além da maneira como os elementos serão monitorados. Os DBs que contêm todas estas informações e parâmetros são abertos, podendo ser visualizados e até mesmo refinados pelos administradores mais experientes. Gerenciamento de eventos A coleta, consolidação e correlação dos eventos de falha é efetuada pelos produtos Netcool/OMNIbus, também incorporados com a aquisição da Micromuse. Assim como o ITNM, estes produtos amadureceram no ambiente de empresas de telecomunicações, sendo muito comum observá-los nos NOCs (sigla em inglês para Centro de Operações de Redes) destas operadoras. De fato, a totalidade das vinte maiores empresas deste ramo no mundo projetam consoles do Netcool em seus telões, nas mesas dos operadores da rede e também dos executivos. Hoje o seu uso não se restringe às empresas de telecomunicação, estando também presente em bancos, órgãos de defesa e indústrias. O Netcool/WebTop acrescenta ao OMNIbus a funcionalidade de visualização de eventos, mapas e gráficos via web, exemplificada na figura 3. O OMNIbus captura os eventos de falhas utilizando suas mais de 300 probes – softwares especializados em coletar eventos das mais variadas fontes, como: arquivos de log, bancos de dados, elementos http://www.linuxmagazine.com.br Tivoli | ANÁLISE de rede que enviam traps SNMP, PABX, portas seriais, ou até mesmo outros gerenciadores de rede. As probes são desenvolvidas em parceria com os próprios fabricantes dos equipamentos monitorados e possuem arquivos de regras que permitem selecionar quais eventos serão enviados para o Netcool, através de filtros (expressões regulares). Uma vez coletados, os eventos são concentrados no ObjectServer, peça central do OMNIbus, onde são eliminadas as duplicidades (mesmo tipo de problema para o mesmo elemento). O ObjectServer é um banco de dados residente em memória, construído para tratar grandes volumes de eventos (dezenas de milhões de eventos por dia) com alta performance e escalabilidade. O ObjectServer automaticamente correlaciona eventos de problema com eventos que indicam a resolução do mesmo problema. Por exemplo, quando da chegada de um evento de Node Up para um dispositivo para o qual havia sido gerado um Node Down anteriormente, ambos os eventos são marcados como resolvidos e eliminados da lista dos operadores. Esta automação é genérica e pode ser aplicada a qualquer par de eventos problema/resolução, bastando configurar as probes (o que já é feito por padrão nas probes padrão). Assim, os operadores da rede podem se concentrar apenas nos eventos que ainda requerem sua atenção. Como o ObjectServer é um banco de dados relacional, basta ter um bom conhecimento de SQL para criar ou adaptar as automações. Projetos de Netcool em ambientes complexos são geralmente rápidos por não exigirem conhecimentos específicos de programação em alguma linguagem obscura. Outras automações (como a execução de scripts) podem ser disparadas por tempo ou pela chegada de eventos definidos pelo adminis- LinuxMagazine#71 | Outubrode2010 trador, minimizando a necessidade de intervenções manuais por parte dos operadores da rede. CMDB Você já se deparou com uma solicitação de mudança, como fazer um upgrade em um roteador ou em um servidor, ou tirar o cabo de rede do switch para liberação de um ponto para uma instalação emergencial? E você então prontamente atende à solicitação, mas de repente o telefone do departamento não para de tocar, com reclamações sobre uma filial que parou de funcionar, ou uma aplicação ou um serviço que estão com problemas depois “daquela” mudança? Imagine como seria se você possuísse uma forma de, antes da mudança, saber que o “roteador X” está ligado às redes “A, B e C” ou que o “Servidor Y” é responsável por autenticar todos os usuários do serviço de Internet Banking. É sobre esta abordagem que a IBM vem investindo fortemente em uma ferramenta capaz de realizar um discovery dos componentes de rede, sejam roteadores, switches, servidores, links, sistemas operacionais e aplicações ou banco de dados, Web, correio eletrônico, CRM, ferramentas de gestão etc. e montar um mapa de relacionamento entre estes componentes. Ou seja, descobrir quais componentes de rede estão ligados a um determinado roteador, ou em quais portas do switches estão conectados os servidores, ou em qual servidor a aplicação X está sendo executada e a quais outros servidores ou aplicações a mesma aplicação se conecta, ou, ainda, em relação a quais ela possui uma dependência. Essa ferramenta deve ser totalmente aderente ao ITIL (Information Technology Infrastructure Library), que define as melhores práticas para a implementação de um CMDB (Configuration Manager Database), que é uma base de dados com todas as informações sobre os relacionamentos e dependências do seu ambiente de TI. Desta forma, todas as vezes em que existir uma alteração no ambiente, esta base deverá ser consultada para que se saiba exatamente o impacto desta mudança. A ferramenta capaz de montar este CMDB chama-se IBM Tivoli Application Depedency Discovery Manager, ou ITADDM, fruto da aquisição pela IBM Software Group da empresa Collation em novembro de 2005. Figura 4 Imagemdatopologiadeumaaplicação. 61 ANÁLISE | Tivoli Como funciona? O ITADDM é uma ferramenta não intrusiva, ou seja, não necessita de agentes instalados nos componentes para que estes sejam descobertos. Para tal, a ferramenta dispõe de quatro recursos que são chamados de sensors: SNMP, sockets, scripts e usuário e senha da aplicação ou componente. Todas estas informações são configuradas para uso da ferramenta por meio de um módulo chamado Access List, com acesso permitido apenas para o administrador do ITADDM. Depois da definição da Access List deve ser definido o escopo que, no caso do ITADDM, pode ser uma faixa de endereços IP, subrrede, ou um único IP. Uma vez definido o escopo, podese iniciar o processo de discovery dos componentes, que será realizado utilizando os sensors, seja via GET SNMP, porta Sockets, scripts onde se pode definir assinaturas para que seja identificado um determinado componente (muito utilizado em caso de aplicações customizadas) e usuário e senha para acesso às informações do componente que pode ser: um sistema operacional, um banco de dados, um servidor web, roteador ou switch. Após o processo de descoberta, o ITADDM armazena os componentes encontrados bem como os relacionamentos e as dependências entre eles em um banco de dados DB2. É possível consultar estas informações através de sua interface gráfica via browser (via Internet Explorer ou Firefox). Na interface do ITADDM as informações sobre relacionamento e dependências são apresentadas em três níveis: Infraestrutura, Aplicações e Negócios (figura 4). É provida uma visão completa de como cada nível influencia ou é influenciado pelos componentes de cada um dos três níveis, permitindo comparações en62 tre os componentes e das mudanças (lógicas ou físicas) de um determinado componente em um período de tempo. Portanto, o ITADDM é uma ferramenta que responde à seguinte pergunta: “Quais são as aplicações e serviços afetados se o componente parar ou tiver sua configuração alterada?”. Com relação ao sistema operacional, o ITADDM é bem democrático, podendo ser executado em diversas plataformas, incluindo Linux em ambiente distribuído e mainframe (RedHat e Suse Linux Enterprise Server). Vale ressaltar que o ITADDM não está só – essa ferramenta tem integração total com o Tivoli Service Desk, podendo, assim, ser implementado o CCMDB (Change and Configuration Management Database). Outro ponto importante é que o ITADDM pode ser integrado com outros fornecedores de Service Desk, preenchendo uma grande lacuna que é descobrir as dependências e relacionamentos de todos os componentes de TI. Conclusão A família de produtos Tivoli é uma plataforma aberta, que permite que os administradores das ferramentas as adaptem para atender as necessidades de suas empresas. Administradores Linux, habituados a ter este nível de controle nos seus sistemas operacionais, podem certamente se beneficiar desta combinação de melhores práticas e flexibilidade existente nas ferramentas de gerenciamento de infraestrutura do Tivoli. n Mais informações [1] OPAL(IBMTivoliOpenProcessAutomationLibrary): http://www‑01.ibm.com/software/tivoli/features/opal/ [2] LinuxnaIBM:http://www.ibm.com/br/linux/index.phtml [3] SoluçõesparagerenciamentodeLinuxdaIBM:http://www‑01. ibm.com/software/tivoli/solutions/linux/products.html/ [4] TivoliInformationCenter(contémprodutosparaLinux eoutrossistemasoperacionais):http://www.ibm.com/ developerworks/wikis/display/tivolidoccentral/Home/ Sobre os autores Marcos AlveséespecialistaemTIemembrodoIBMTivoliWorldWideSWATTeam.Possui certificaçãoITIL.Há16anostrabalhanaáreadeInformáticaehá9anostrabalhacomferramentasdegerênciadeTI.AtualmenteémembrodotimedeSoftwareAdvancedTechnology daIBMTivoliSoftware. Roberto NozakiéespecialistaemTInotimedeSWGdaIBMBrasil.Trabalhahámaisde20 anosnaáreadeTIehá12comsoluçõesdegerênciaderedes,servidoreseaplicações.ÉcertificadoemITILFoundations,ITMeNetcool/OMNIbus. Gostou do artigo? Queremosouvirsuaopinião.Faleconoscoem cartas@linuxmagazine.com.br Esteartigononossosite: http://lnm.com.br/article/4003 http://www.linuxmagazine.com.br Segurança da informação com TCP_Wrappers SEGURANÇA Segurança garantida ConheçaoTCP_Wrapper,sistemadesegurançasimpleseeficazcriadonos anos90eultimamenteesquecidopelosnovosadministradoresdesistemas. por Marcellino Júnior A melhor maneira de impedir um cracker de explorar um determinado serviço é removê-lo completamente do seu sistema. Você pode tomar alguma medida de segurança desabilitando ou removendo serviços sem uso nos diretórios /etc/xinted.d e etc/init.d, mas talvez você queira manter esse serviço ativo porque planeja utilizálo no futuro. Tendo em vista os serviços de que precisa, você poderá ativá-los sem comprometer a segurança do sistema, bloqueando o acesso de determinados usuários, computadores ou qualquer rede através dos arquivos hosts.allow ou hosts.deny no diretório Tabela 1: Exemplos de comandos em /etc/hosts.allow e /etc/hosts.deny 68 Cliente Descrição .abc.com.br Nomededomínio.Comonomede domíniocomeçandocomumponto(.), especificatodososclientesdodomínio. 172.16. EndereçodeIP.Garanteou impedeacessodeendereçosIPde numeraçãoiniciadapor172.16. 172.16.10.0/255.255.254.0 Controlaumparticulargrupo deendereçosIP. marcellino@station5.abc.com.br Usuárioespecíficodo determinadocomputador. /etc. Esse sistema é conhecido como TCP_Wrappers [1], e tem seu foco na proteção de serviços xinetd que está presente em várias distribuições GNU/Linux. O TCP_Wrapper foi originalmente escrito por Wietse Zweitze Venema [2] em 1990 para monitorar atividades cracker de uma estação de trabalho UNIX do departamento de Matemática e Ciência da Computação da Universidade Eindhoven of Technology, na Holanda, e mantido até 1995. Em primeiro de junho de 2001, foi lançado sob a licença BSD. Para entender seu funcionamento, imaginemos um sistema recebendo um pedido pela rede procurando um determinado serviço; este serviço passa antes pelo TCP_Wrappers. O sistema de segurança faz o log do pedido e então confere as regras de acesso. Se não existirem regras de impedimento de um endereço IP ou de um host em particular, o http://www.linuxmagazine.com.br TCP_Wrapper | SEGURANÇA TCP_Wrappers devolve o controle ao serviço. Caso exista alguma regra de impedimento, a requisição será negada. A melhor definição para o TCP_Wrappers seria a de um intermediário entre a requisição de uma conexão e o serviço. Tabela 2: Coringas Coringa Descrição ALL Significatodososserviçosoutodososclientes, dependendoapenasdocampoemqueseencontra. LOCAL Estecoringacasacomqualquernome dehostquenãocontenhaumcaractere ponto“.”,istoé,umamáquinalocal. PARANOID Casacomqualquernomedehostquenãocase comseuendereço.Permite,porexemplo,a liberaçãodoserviçoparaaredeinternaeimpede queredesexternasconsigamrequisitarserviços. KNOWN Qualquerhostondeonomedohosteendereçodohost sãoconhecidosouquandoousuárioéconhecido. UNKNOWN Qualquerhostondeonomedohosteendereçodohost sãodesconhecidosouquandoousuárioédesconhecido. Configurações Sua configuração é objetiva, e os arquivos principais são hosts.allow e hosts.deny. A parte operacional também é bastante simples: usuários e clientes listados em hosts.allow estão liberados para acesso; usuários e clientes listados no hosts.deny não terão acesso. Usuários e/ou clientes listados nos dois arquivos, o sistema do TCP_Wrappers irá seguir os seguintes passos: Em primeiro lugar, o sistema irá procurar no arquivo /etc/ hosts.allow. Se o TCP_Wrapper encontrar a regra correspondente, garante o acesso. O arquivo hosts.deny será ignorado. Em seguida será feita uma busca no arquivo /etc/hosts.deny. Se o TCP_Wrapper encontrar alguma regra correspondente, irá impedir o acesso. Se as regras não forem encontradas em nenhum dos dois arquivos, o acesso é automaticamente garantido ao requisitante. Podemos usar a mesma linguagem em ambos os arquivos, /etc/ hosts.allow e /etc/hosts.deny, para informar ao TCP_Wrappers quais clientes serão liberados ou impedidos de acessar os serviços e/ou dados. O formato básico – um registro por linha –, é o daemon_list : client_list. A versão mais simples para esse formato é ALL : ALL. Esta regra especifica todos os serviços e torna-a aplicável a todos os hosts em todos os endereços IP. Se você inserir essa linha em /etc/ hosts.deny, o acesso será negado para LinuxMagazine#71 | Outubrode2010 todos os serviços. Entretanto, você pode criar um filtro mais refinado. Por exemplo, a linha a seguir em /etc/hosts.allow autoriza o cliente com endereço IP 192.168.15.5 a conectar-se ao seu sistema através do serviço OpenSSH sshd : 192.168.15.5. A mesma linha em /etc/hosts. deny, impediria o computador com aquele endereço IP conectar-se em seu sistema. Você pode especificar um número de clientes de maneiras diferentes, como mostrado na tabela 1. Como podemos observar na tabela 2, existem tipos diferentes de co- ringas. O coringa ALL pode ser usado para representar qualquer cliente ou serviço, o ponto (.) especifica todos os hosts com o nome de domínio ou endereço de rede IP. Múltiplos serviços Você pode configurar múltiplos serviços e endereços com vírgulas. Exceções são muito simples de serem criadas com o operador EXCEPT. A seguir, um exemplo de exceção no arquivo /etc/hosts.allow: Tabela 3: Operadores do TCP_Wrappers Campo Descrição %a Endereçodocliente %A Endereçodohost %c InformaçãodoCliente %d Nomedoprocesso %h Nomedohostcliente %H Nomedohostservidor %p Identificaçãodoprocesso %s Informaçãodoservidor 69 SEGURANÇA | TCP_Wrapper #hosts.allow ALL : .abc.com.br telnetd : 192.168.15.0/255.255.255.0 EXCEPT 192.168.15.51 sshd, in.tftpd : 192.168.15.10 A primeira linha é um comentário. A linha seguinte abre os serviços para todos (ALL) os computadores do domínio abc.com.br. A outra linha abre o serviço Telnet para qualquer computador na rede 192.168.15.0, exceto o endereço IP 192.168.15.51. Os serviços SSH e FTP estão abertos somente para o computador de endereço IP 192.168.15.10. #hosts.deny ALL EXCEPT in.tftpd : .abc.com.br Telnetd : ALL EXCEPT 192.168.15.10 A primeira linha no arquivo hosts. deny é um comentário. A segunda linha impede que todos os serviços exceto o FTP para os computadores do domínio abc.com.br. A terceira linha indica que apenas um computador, de endereço IP 192.168.15.10, tem acesso ao servidor Telnet. A última linha seria uma negação geral onde todos os outros computadores serão impedidos de acessar todos os serviços controlados pelo TCP_Wrappers, exceto o endereço IP 192.168.15.10. Você também poderá utilizar comandos externos na configuração de regras para o TCP_Wrappers com as opções twist ou spawn nos arquivos /etc/hosts.allow ou /etc/hosts.deny para ter acesso a comandos do Shell. Imagine que você precise negar uma conexão e enviar uma razão individual a quem tentou estabelecer a conexão. Essa ação poderia ser feita pela opção twist, para executar um comando ou script. Por exemplo: sshd : .xyz.com.br : twist /bin/echo Desculpe %c, acesso negado. Outra possibilidade é utilizar a opção spawn, que diferentemente 70 do comando twist, não envia uma resposta individual a quem fez o pedido de conexão. Como exemplo, considere: ALL : .abc.com.br : spawn (/bin/echo %a da %h tentativa de acesso %d >> /var/log/conexoes. log) : deny. Estas linhas, negam todas as tentativas de conexão do domínio *.abc.com.br.. Simultaneamente, está realizando o log do nome do host, endereço IP e o serviço que está sendo requisitado no arquivo /etc/log/conexoes.log. Para conhecer a descrição dos operadores, veja a tabela 3. Citados anteriormente, os coringas podem ser utilizados tanto na lista de serviços quanto na lista de clientes. Os coringas KNOWN, UNKNOWN e PARA‑ NOID devem ser utilizados com cautela. Um problema na resolução de nomes pode impedir que usuários legítimos tenham acesso a um serviço. Como não existe nenhum sistema de segurança perfeito, posso destacar algumas possíveis considerações (ou seriam dicas?) que precisam ser observadas na implantação do TCP_Wrappers: » O serviço identd em um sistema remoto pode fornecer dados falsos. » Se um cracker conseguir falsificar os nomes e endereços IP, através da técnica de spoofing [3], o TCP_Wrappers não será capaz de detectá-los. Mesmo com o coringa PARANOID. » Um ataque DoS (Denial of Service) [4] pode sobrecarregar o sistema de log, dependendo da configuração implantada. Conclusão Para que o sistema TCP_Wrapper realmente funcione a contento, é importante que no momento da configuração dos arquivos /etc/ hosts.allow e /etc/hosts.deny sejam utilizados critérios minuciosos, pois usuários na lista de negação podem ter seu acesso totalmente bloqueado, assim como usuários indevidos podem ter total acesso ao sistema. Procure analisar cada situação no momento de criar as regras. A segurança de seu sistema depende disso! n Mais informações [1] TCP_Wrappersftp://ftp.porcupine.org/pub/security/index.html/ [2] SiteoficialdoprogramadorWietseZweitzeVenema http://www.porcupine.org/wietse/ [3] Técnicadespoofing:http://pt.wikipedia.org/wiki/IP_spoofing/ [4] AtaqueDoShttp://pt.wikipedia.org/wiki/Denial_of_Service/ Sobre o autor Marcellino JúnioréEngenheirodaComputaçãoeatuacomoAnalistadeSegurançaSêniorem grandesempresas. Gostou do artigo? Queremosouvirsuaopinião.Faleconoscoem cartas@linuxmagazine.com.br Esteartigononossosite: http://lnm.com.br/article/4042 http://www.linuxmagazine.com.br Soluções em Gerenciamento Out-of-band REDES O que há aqui dentro, o que há lá fora Nesteartigo,asabordagenstradicionaisdemonitoramento,manutençãoerestauraçãode ativosdeTIsãoquestionadas;eogerenciamentoout-of-bandéapresentadocomouma maneiramaiseficientedecortargastosemelhorarosníveisdeserviçoeaprodutividade. por Yula Massuda geo okretic | skyway lee – www.sxc.hu A s infraestruturas típicas de TI, em muitas das grandes empresas de hoje, consistem de um ou múltiplos datacenters e podem incluir também locais remotos ou filiais. Em alguns casos, as grandes empresas implantam datacenters redundantes para assegurar a continuidade do negócio e fornecer uma disponibilidade de serviço de TI consistente no caso de um desastre potencial. Da perspectiva arquitetônica, os datacenters compartilham uma constituição similar, que inclui servidores, storage e aplicativos, e também uma infraestrutura de rede de hubs, roteadores, firewalls e switches. As grandes empresas também podem possuir infraestrutura em filial ou escritório remoto ligadas à rede de produção corporativa por uma rede virtual privada (VPN-Virtual Private Network) utilizando conexões de Internet ou por meio de uma conexão de rede WAN (WAN-Wide Area Network). As instalações remotas maio72 res, tais como armazéns ou grandes lojas de departamento, podem utilizar uma versão menor de um datacenter completo, com rack de servidores e infraestrutura de storage e de rede. Escritórios remotos menores podem ser limitados a um roteador, firewall e hub com conexões de rede para PCs. Seja em uma grande corporação dividida em locais múltiplos ou limitada a um único datacenter, os gerentes de TI enfrentam o mesmo desafio – fornecer o mais alto desempenho e disponibilidade possíveis a um custo mínimo. Normalmente, as grandes organizações dependem de complexos aplicativos de gerenciamento de sistema (tais como HP OpenView, IBM® Tivoli®, CA Unicenter® e BMC PATROL®) para monitorar o desempenho da rede e gerenciar o desempenho e a disponibilidade dos aplicativos. As empresas de pequeno e médio portes podem utilizar aplicativos de gerenciamento de rede mais econômicos para gerenciar sua rede. Essas ferramentas tradicionais de gerenciamento dependem da rede de produção de TI para monitorar o desempenho e a produtividade, e funcionam efetivamente somente enquanto as conexões de rede permanecem disponíveis. Gerenciamento de TI: local versus remoto A descrição a seguir ilustra a diferença entre gerenciamento de TI local e remoto. Se um ativo de TI perde sua conexão à rede, os aplicativos de gerenciamento de sistemas alertam o administrador de que o ativo não está mais disponível; mas, em razão de estes aplicativos dependerem da infraestrutura de rede para gerenciar os ativos, eles não podem fornecer detalhes específicos sobre o problema; podem somente informar que o ativo não está mais conectado. Como resultado, a abordagem tradi- http://www.linuxmagazine.com.br Out-of-band | REDES Figura 1 Relaçãoentreferramentasdeinfraestruturaderedeeferramentasdegerenciamentoout-of-band. cional para restauração de ativos da outra conexão diferente da conexão onde ele pode retornar à produção no menor tempo possível. As ferrarede requer a presença física de um física local. mentas de gerenciamento out-of-band técnico próximo ao ativo, indepenminimizam a necessidade de gerendentemente de onde o ativo esteja localizado, seja no datacenter ou ciamento local e de visitas ao local, em local remoto. Particularmente, reduzindo drasticamente o tempo e um técnico deve ir até o dispositivo O gerenciamento remoto de TI pode o custo operacional necessários para problemático, seja com um carrinho ser realizado pelo uso de ferramentas colocar os recursos de TI on-line node manutenção ou com um laptop, de gerenciamento out-of-band, as vamente. A relação entre a infraesconectar-se a esse ativo para diagnosti- quais fornecem caminhos alterna- trutura de rede e as ferramentas de car o problema e restaurar finalmente tivos para acesso, monitoramento gerenciamento out-of-band possui o ativo de TI à rede. Esse processo e gerenciamento remotos de ativos uma configuração típica similar à é caro, consome tempo e define o de TI por meio da infraestrutura de topologia exibida na figura 1. termo “gerenciamento local de TI”. rede. Se um ativo se tornar inativo, Um exemplo de como as ferraO gerenciamento remoto ou as ferramentas de gerenciamento mentas de gerenciamento out-of-band out-of-band permite que o adminis- out-of-band podem restaurá-lo remo- podem funcionar é apresentado na trador acesse e controle os ativos de TI tamente na infraestrutura de rede, figura 2. Um dispositivo ou servidor tanto por meio da infraestrutura de rede com conexões de rede, seriais ou modem, quanto por um caminho segregado a essa infraestrutura. Não se exige que o administrador esteja fisicamente presente. Para melhor compreensão, o gerenciamento remoto é possível a partir de centenas de quilômetros de distância ou a partir de meio metro de distância, não importando se o ativo está em um datacenter ou em um local remoto. Sendo assim, o gerenciamento remoto é obtido através de qualquer Figura 2 Exemplodefuncionamentodeferramentaout-of-band. Ferramentas de gerenciamento LinuxMagazine#71 | Outubrode2010 73 REDES | Out-of-band Figura 3 Oacessodiretoaoswitchpermanecedisponívelcomousodeferramentasout-of-band. no datacenter torna-se inativo; a infraestrutura de rede permanece operacional. Utilizando as ferramentas de gerenciamento out-of-band e a infraestrutura de rede, o administrador acessa o ativo de TI, diagnostica o problema e, se necessário, liga e desliga o dispositivo. Em minutos, o ativo é restaurado na rede onde ele pode voltar à produção utilizando os aplicativos de gerenciamento de sistemas. Os benefícios incluem menores custos com mão-de-obra, aumento de produtividade e redução de risco. Um exemplo mais completo de como as ferramentas de gerenciamento out-of-band são essenciais para o gerenciamento remoto de TI é ilustrado na figura 3. Um switch de rede conectado a um rack de sevidores se torna inativo, perdendo sua conexão com a rede. Nesse caso, a conexão de gerenciamento out-of-band do switch permanece disponível pela infraestrutura de rede. O administrador é alertado pelo aplicativo de gerenciamento de sistemas que um switch não está mais conectado à rede. Utilizando uma ferramenta de gerenciamento out-of-band para acessar remotamente o switch, o administrador diagnostica o problema e restaura o switch e todos os ativos conectados ao switch voltam à infraestrutura de rede. 74 A seguir, há outro cenário ilustrando os benefícios das ferramentas de gerenciamento out-of-band (figura 4). Um roteador que fornece acesso à rede e à Internet para todo o site torna-se inativo. Esse roteador tem a função de prover conexão à infraestrutura de rede a todos os ativos de TI ligados à rede e também a todas as ferramentas de gerenciamento out-of-band. Assim sendo, como as ferramentas de gerenciamento out-of-band não podem ser acessadas através da infraestrutura de rede, o administrador utiliza uma conexão dial-up (discada) para ter acesso a elas. O administrador então é capaz de utilizar as ferramentas de gerenciamento out-of-band a fim de se conectar ao roteador por meio da porta serial e diagnosticar rapidamente o problema. O administrador corrige o erro e restaura o roteador e todos os seus ativos à rede. Novamente, o que exigiria horas e uma visita ao local para se corrigir aconteceu em minutos. Os benefícios são evidentes. Os gastos operacionais são reduzidos e a disponibilidade do recurso de TI aumenta. Mesmo sem sistemas redundantes instalados, os níveis de serviço são aumentados. Resumindo, as diretrizes fundamentais de TI para cortar gastos e melhorar os níveis de serviço e a produtividade são atendidas. Gerenciamento out-of-band A seguir há descrições das várias ferramentas de gerenciamento out-of-band. 1. O software fornece acesso consolidado, gerenciamento de mudança e gerenciamento de configuração das ferramentas de gerenciamento out-of-band diferenciadas, tais como servidores de console serial, switches KVM, dispositivos de gerenciamento de energia e gerenciadores de processadores de serviço (service processors). Também provê capacidade de gerenciar diversos ativos conectados a estas ferramentas out-of-band a partir de uma interface de visualização única consolidada. Além disso, o software de gerenciamento fornece a escalabilidade exigida para atender as demandas das grandes corporações. 2. Servidores de console serial fornecem o acesso remoto às portas de gerenciamento seriais incluídos em alguns servidores e outros ativos de rede de TI (roteadores, switches, cabos, fi- http://www.linuxmagazine.com.br Out-of-band | REDES rewalls etc.) em vez de utilizar as conexões de rede. 3. Switches KVM ou Switches KVM sobre IP acessam os servidores por meio de portas de teclado, vídeo e mouse, a fim de fornecer acesso como se o administrador estivesse fisicamente presente. 4. As unidades inteligentes de distribuição de energia (IPDUs) oferecem a capacidade de ligar e desligar o equipamento remoto para controle operacional ou recuperação de falhas de software/hardware. 5. Os gerenciadores de service processors oferecem acesso consolidado e centralizado aos service processors incorporados à placa mãe do computador. Os service processors operam separadamente da CPU principal, permitindo aos administradores acessarem, monitorarem e gerenciarem os componentes de hardware dos servidores. Os gerenciadores de service processors também permitem que os administradores reiniciem os servidores caso o processador principal ou o sistema operacional esteja em atividade ou não. Intelligent Platform Management Interface (IPMI), HP Integrated Lights Out (iLO) e Sun Advanced Lights Out Management (ALOM) são exemplos de tecnologias de service processors estabelecidas. suporte. Nesse caso, as ferramentas de gerenciamento out-of-band permitiram que a empresa reduzisse seus custos operacionais e o risco, enquanto aumentavam tanto os ativos de TI quanto a produtividade do pessoal, conforme ilustrado pelas estatísticas a seguir: ➧92% de decréscimo em custos com hora extra; ➧ 50% de decréscimo no tempo de implantação; ➧ 33% de acréscimo de ativos de TI por ano sem a necessidade de equipe adicional. Os custos operacionais gerais da empresa foram reduzidos uma vez que os gastos com horas extras diminuíram em 92%. O tempo necessário para implantar os ativos caiu em 50%, o que permitiu que a empresa conquistasse melhores condições competitivas, uma vez que seus concorrentes não conseguiam se equiparar a sua velocidade de implantação. Os crescimentos na produtividade de pessoal permitiram à empresa expandir os ativos de TI em 33% anualmente para mais de 100 locais, sem a necessidade de contratar pessoal adicional. Em dezesseis meses, as ferramentas de gerenciamento out-of-band pagaram seus próprios gastos por meio da diminuição dos custos operacionais e do risco e do aumento de ativos de TI e de produtividade da equipe. Claramente, a utilização de ferramentas de gerenciamento out-of-band foi uma decisão corporativa inteligente, eficiente e com ótima relação custo-benefício. A evolução das tecnologias Por décadas, a interface de linha de comando tem sido utilizada para gerenciamento remoto de TI. O usuário digita comandos pré-definidos e o ativo de TI responde da mesma forma com dados acionáveis em forma de texto. Todo o acesso remoto de TI a ativos de computação e de rede também utilizava essa interface. Primeiramente, os administradores utilizavam um modem inteligente através de conexão discada para acessar ativos com proteção por senha para fornecer uma forma de segurança. Quando as conexões seriais evoluíram, os servidores de terminal surgiram com a possibilidade de acessar servidores e outros ativos utilizando Telnet. Com o crescente aumento das preocupações com segurança, os fabricantes desenvolveram servidores de console seguros que utilizavam Secure Shell (SSH) para criptografar a comunicação entre o desktop do administrador de rede ou de TI e o ativo de TI acessado remotamente. Em meados dos anos 1990, os servidores Windows, que utilizavam uma interface gráfica de usuário em Retorno do investimento Por um período de dois anos, uma empresa de telecomunicações européia utilizou uma ferramenta de gerenciamento out-of-band para implantar mais de 2 mil ativos de TI dentro de sua infraestrutura de TI existente. Essas implantações ocorreram sem aumento da equipe de LinuxMagazine#71 | Outubrode2010 Figura 4 Acessoainfraestruturaviarotadiscada. 75 REDES | Out-of-band vez da linha de comando, proliferaram nos datacenters corporativos. Em resposta a isso, os fabricantes passaram a oferecer switches de teclado, vídeo e mouse (KVM) que permitiam que usuários utilizassem o teclado, o monitor e o mouse da sua estação de trabalho para acessar e controlar múltiplos servidores. Mais recentemente, os switches KVM sobre IP surgiram a fim de permitir aos usuários o acesso remoto e a utilização de switches KVM em locais remotos por meio de redes IP. Consequentemente, os switches KVM sobre IP se tornaram ferramentas importantes para o gerenciamento de servidores Windows. Começando com os mainframes e mais tarde nos servidores UNIX, os fabricantes de hardware passaram a oferecer um processador de serviço (service processor) na placa-mãe do servidor com o único propósito de monitorar e fornecer acesso às funções de hardware, incluindo BIOS, temperatura da unidade, controle de energia etc., mesmo com a eventualidade do travamento do sistema operacional. Enquanto as primeiras tecnologias de service processors e protocolos relacionados eram proprietários, como o ALOM da Sun e iLO da HP/Compaq, mais recentemente Intel, HP, Dell, IBM e outros fabricantes de hardware colaboraram para desenvolver um service processor de padrão aberto chamado IPMI, que agora está incluído em muitos servidores rack mountable e blades com arquitetura x86 da Intel. Os administradores de TI então começaram a utilizar um gerenciador de service processors para acessar, monitorar e controlar os servidores. No início de 2004, surgiu o primeiro gerenciador IPMI independente de fornecedor. O desafio de muitas organizações é o fato de que elas utilizam diversas tecnologias de gerenciamento out-of-band para acessar e gerenciar uma ampla variedade de ativos de TI 76 novos e legados. Cada nova tecnologia adiciona ainda outra camada de complexidade para administradores de TI. Os executivos de TI carecem de uma tecnologia de gerenciamento que gerencie tudo em sua empresa – incluindo todos os ativos novos e legados de TI e as tecnologias de acesso remoto. A forma mais eficaz de gerenciar todas estas tecnologias é utilizar um sistema abrangente de gerenciamento out-of-band que forneça um acesso centralizado e consolidado para todas as ferramentas de gerenciamento out-of-band e os ativos de TI conectados a elas. Segurança Evidentemente, as ferramentas de gerenciamento out-of-band fornecem acesso poderoso aos ativos de TI. No entanto, o acesso deve ser restrito ao pessoal confiável e qualificado em TI. Qualquer ferramenta de gerenciamento out-of-band deve incluir recursos de segurança para autenticar administradores de TI e para assegurar que todas as comunicações permaneçam criptografadas e privadas. Em sistemas de gerenciamento out-of-band que fornecem uma infraestrutura de segurança à parte, adicionam-se uma camada de complexidade e um ponto de vulnerabilidade para os gerentes de TI que necessitam de ferramentas para simplificar o gerenciamento, e não para torná-lo mais difícil. De modo ideal, as ferramentas de gerenciamento out-of-band devem oferecer suporte a protocolos padrão da indústria de TI para autenticação, diretório e criptografia, permitindo a integração com infraestruturas de segurança existentes. Conclusão O gerenciamento local e as visitas aos sites remotos consomem recursos humanos, tempo e dinheiro. O gerenciamento remoto ou out-of-band fornece uma maneira mais eficaz – um método eficiente, seguro e de melhor custo-benefício – para assegurar que os ativos de TI permaneçam produtivos e conectados à rede. Para atender às diretrizes da TI de cortar gastos e melhorar os níveis de serviço e a produtividade, a próxima geração de infraestrutura de TI deve incluir o gerenciamento out-of-band como um componente fundamental em sua arquitetura. Entretanto, para que o gerenciamento out-of-band seja efetivo, seus componentes devem funcionar como um sistema integrado, o qual possa ser acessado por meio de uma interface de visualização simples e consolidada, em vez de funcionar como uma outra camada de caixas gerenciadas separadamente. As ferramentas de gerenciamento out-of-band devem oferecer a possibilidade de ser integradas a uma infraestrutura de segurança existente na organização, suportando todos os protocolos e especificações de seguranças padrão do setor. Projetado e organizado corretamente, o gerenciamento out-of-band provê as capacidades de gerenciamento remoto de TI que afetam diretamente o negócio-fim da organização e trazem um rápido retorno do investimento. n Gostou do artigo? Queremosouvirsuaopinião.Faleconoscoem cartas@linuxmagazine.com.br Esteartigononossosite: http://lnm.com.br/article/4011 http://www.linuxmagazine.com.br SERVIÇOS Linux.local Omaiordiretóriodeempresasqueoferecemprodutos,soluçõese serviçosemLinuxeSoftwareLivre,organizadoporEstado.Sentiu faltadonomedesuaempresaaqui?Entreemcontatocomagente: 11 3675-2600 ou anuncios@linuxmagazine.com.br Fornecedor de Hardware = 1 Redes e Telefonia / PBX = 2 Integrador de Soluções = 3 Literatura / Editora = 4 Fornecedor de Software = 5 Consultoria / Treinamento = 6 Empresa Cidade Endereço Telefone Web 1 2 3 4 5 6 Bahia IMTECH Salvador Av.AntonioCarlosMagalhaes,846–Edifício MaxCenter–Sala337–CEP41825-000 714062-8688 www.imtech.com.br MagiclinkSoluções Salvador RuaDr.JoséPeroba,275.Ed.MetropolisEmpresarial1005,STIEP 712101-0200 www.magiclink.com.br 4 4 4 4 4 4 4 4 4 Ceará F13Tecnologia Fortaleza RuaPadreValdevino,526–Centro NettionTecnologiae SegurançadaInformação Fortaleza Av.OliveiraPaiva,941,CidadedosFuncionários–CEP60822-130 853878-1900 853252-3836 www.f13.com.br LinuxShopp VilaVelha RuaSãoSimão(Correspondência),18–CEP:29113-120 273082-0932 www.linuxshopp.com.br MegaworkConsultoria eSistemas Vitória RuaChapotPresvot,389–sl201,202–PraiadoCanto CEP:29055-410 273315-2370 www.megawork.com.br 4 4 4 SpiritLinux Vitória RuaMarinsAlvarino,150–CEP:29047-660 273227-5543 www.spiritlinux.com.br 4 4 4 623232-9333 www.3way.com.br 4 4 4 4 4 4 4 4 4 4 4 4 www.nettion.com.br Espírito Santo 4 4 4 4 Goiás 3WAYNetworks Goiânia Av.QuartaRadial,1952.SetorPedroLudovico–CEP.:74830-130 Minas Gerais InstitutoOnline BeloHorizonte Av.BiasFortes,932,Sala204–CEP:30170-011 313224-7920 www.institutoonline.com.br LinuxPlace BeloHorizonte RuadoOuro,136,Sala301–Serra–CEP:30220-000 313284-0575 corporate.linuxplace.com.br 4 4 4 4 4 4 Microhard BeloHorizonte RuaRepúblicadaArgentina,520–Sion–CEP:30315-490 313281-5522 www.microhard.com.br 4 4 4 4 4 TurboSite BeloHorizonte RuaParaíba,966,Sala303–Savassi–CEP:30130-141 0800702-9004 www.turbosite.com.br 4 4 4 iSolve Curitiba Av.CândidodeAbreu,526,Cj.1206B–CEP:80530-000 41252-2977 www.isolve.com.br MandrivaConectiva Curitiba RuaTocantins,89–CristoRei–CEP:80050-430 413360-2600 www.mandriva.com.br TelwayTecnologia Curitiba RuaFranciscoRocha1830/71 413203-0375 www.telway.com.br 813223-8348 www.fuctura.com.br Paraná 4 4 4 4 4 4 4 4 4 Pernambuco FucturaTecnologia Recife RuaNicarágua,159–Espinheiro–CEP:52020-190 4 4 Rio de Janeiro ClavisSegurançadaInformação RiodeJaneiro Av.RioBranco156,1303–Centro–CEP:20040-901 212561-0867 www.clavis.com.br 4 4 4 LinuxSolutionsInformática Av.PresidenteVargas962–sala1001 212526-7262 www.linuxsolutions.com.br 4 4 4 4 RiodeJaneiro MúltiplaTecnologiadaInformação RiodeJaneiro Av.RioBranco,37,14°andar–CEP:20090-003 212203-2622 www.multipla-ti.com.br NSITraining RiodeJaneiro RuaAraújoPortoAlegre,71,4ºandarCentro–CEP:20030-012 212220-7055 www.nsi.com.br 4 4 OpenIT RiodeJaneiro RuadoMercado,34,Sl,402–Centro–CEP:20010-120 212508-9103 www.openit.com.br 4 4 UnipiTecnologias Camposdos Goytacazes Av.AlbertoTorres,303,1ºandar–Centro–CEP:28035-581 222725-1041 www.unipi.com.br 4upSoluçõesCorporativas NovoHamburgo Pso.CalçadãoOsvaldoCruz,54sl.301CEP:93510-015 513581-4383 www.4up.com.br DefinitivaInformática NovoHamburgo RuaGeneralOsório,402-HamburgoVelho 5135943140 www.definitiva.com.br 4 RedeHostInternet Gravataí RuaDr.LuizBastosdoPrado,1505–Conj.301CEP:94010-021 5140620909 www.redehost.com.br 4 4 4 Solis Lajeado Av.7deSetembro,184,sala401–BairroMoinhos CEP:95900-000 513714-6653 www.solis.coop.br 4 4 4 4 4 4 4 4 Rio Grande do Sul 4 4 4 4 4 4 4 4 4 4 4 4 DualCon NovoHamburgo RuaJoaquimPedroSoares,1099,Sl.305–Centro 513593-5437 www.dualcon.com.br 4 4 Datarecover PortoAlegre Av.CarlosGomes,403,Sala908,Centro ComercialAtriumCenter–BelaVista–CEP:90480-003 513018-1200 www.datarecover.com.br 4 4 LM2Consulting PortoAlegre RuaGermanoPetersenJunior,101-Sl202–Higienópolis– CEP:90540-140 513018-1007 www.lm2.com.br 4 4 4 4 4 Lnx-ITInformaçãoeTecnologia PortoAlegre Av.VenâncioAires,1137–RioBranco–CEP:90.040.193 513331-1446 www.lnx-it.inf.br 4 4 4 4 TeHospedo PortoAlegre RuadosAndradas,1234/610–Centro–CEP:90020-008 513301-1408 www.tehospedo.com.br 4 4 PropusInformática PortoAlegre RuaSantaRita,282–CEP:90220-220 513024-3568 www.propus.com.br 4 4 4 4 4 São Paulo WsHost ArthurNogueira RuaJerere,36–VistaAlegre–CEP:13280-000 193846-1137 www.wshost.com.br 4 DigiVoice Barueri Al.Juruá,159,Térreo–Alphaville–CEP:06455-010 114195-2557 www.digivoice.com.br 4 4 4 DextraSistemas Campinas 4 4 4 4 RuaAntônioPaioli,320–Pq.dasUniversidades–CEP:13086-045 193256-6722 www.dextra.com.br 4 4 4 InsigneFreeSoftwaredoBrasil Campinas Av.AndradesNeves,1579–Castelo–CEP:13070-001 193213-2100 www.insignesoftware.com 4 4 4 Microcamp Campinas Av.ThomazAlves,20–Centro–CEP:13010-160 193236-1915 www.microcamp.com.br PC2Consultoria emSoftwareLivre Carapicuiba RuaEdeia,500-CEP:06350-080 113213-6388 www.pc2consultoria.com 78 4 4 http://www.linuxmagazine.com.br 4 4 Linux.local | SERVIÇOS Empresa Cidade Endereço Telefone Web 1 2 3 4 5 6 São Paulo (continuação) EpopéiaInformática Marília RuaGoiás,392–BairroCascata–CEP:17509-140 Redentor Osasco RuaCostantePiovan,150–Jd.TrêsMontanhas–CEP:06263-270 112106-9392 143413-1137 www.redentor.ind.br Go-Global Santana deParnaíba Av.YojiroTakaoca,4384,Ed.ShoppingService, Cj.1013–CEP:06541-038 www.go-global.com.br 112173-4211 www.epopeia.com.br 4 4 4 AW2NET SantoAndré RuaEdsonSoares,59–CEP:09760-350 114990-0065 www.aw2net.com.br AsyncOpenSource SãoCarlos RuaOrlandoDamiano,2212–CEP13560-450 163376-0125 www.async.com.br 4 DelixInternet SãoJosédo RioPreto RuaVoluntáriodeSãoPaulo,30669º–Centro–CEP:15015-909 114062-9889 www.delixhosting.com.br 4 2MITecnologiaeInformação SãoPaulo RuaFrancoAlfano,262–CEP:5730-010 114203-3937 www.2mi.com.br 4Linux SãoPaulo RuaTeixeiradaSilva,660,6ºandar–CEP:04002-031 112125-4747 www.4linux.com.br 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 ACasadoLinux SãoPaulo Al.Jaú,490–Jd.Paulista–CEP:01420-000 113549-5151 www.acasadolinux.com.br 4 4 4 AccenturedoBrasilLtda. SãoPaulo RuaAlexandreDumas,2051–ChácaraSantoAntônio –CEP:04717-004 115188-3000 www.accenture.com.br 4 4 4 ACRInformática SãoPaulo RuaLincolndeAlbuquerque,65–Perdizes–CEP:05004-010 113873-1515 www.acrinformatica.com.br 4 4 AgitInformática SãoPaulo RuaMajorQuedinho,111,5ºandar,Cj.508 Centro–CEP:01050-030 113255-4945 www.agit.com.br 4 4 4 Altbit-Informática ComércioeServiçosLTDA. SãoPaulo Av.FranciscoMatarazzo,229,Cj.57– ÁguaBranca–CEP05001-000 113879-9390 www.altbit.com.br 4 AS2M-WPCConsultoria SãoPaulo RuaTrêsRios,131,Cj.61A–BomRetiro–CEP:01123-001 113228-3709 www.wpc.com.br Blanes SãoPaulo RuaAndréAmpére,153–9ºandar–Conj.91 CEP:04562-907(próx.Av.L.C.Berrini) 115506-9677 www.blanes.com.br 4 4 4 4 4 4 4 4 4 4 4 BullLtda SãoPaulo Av.Angélica,903–CEP:01227-901 113824-4700 www.bull.com 4 4 4 4 CommlogikdoBrasilLtda. SãoPaulo Av.dasNaçõesUnidas,13.797,BlocoII,6ºandar–Morumbi –CEP:04794-000 115503-1011 www.commlogik.com.br 4 4 4 4 4 ComputerConsulting ProjetoeConsultoriaLtda. SãoPaulo RuaCaramuru,417,Cj.23–Saúde–CEP:04138-001 115071-7988 www.computerconsulting.com.br 4 4 4 ConsistConsultoria,SistemaseRepresentaçõesLtda. SãoPaulo Av.dasNaçõesUnidas,20.727–CEP:04795-100 115693-7210 www.consist.com.br 4 4 4 4 4 DomínioTecnologia SãoPaulo RuadasCarnaubeiras,98–MetrôConceição–CEP:04343-080 115017-0040 www.dominiotecnologia.com.br 4 ÉticaTecnologia SãoPaulo RuaNovaYork,945–Brooklin–CEP:04560-002 115093-3025 www.etica.net 4 GetronicsICTSolutions andServices SãoPaulo RuaVerboDivino,1207–CEP:04719-002 115187-2700 www.getronics.com/br Hewlett-PackardBrasilLtda. SãoPaulo Av.dasNaçõesUnidas,12.901,25ºandar–CEP:04578-000 115502-5000 www.hp.com.br 4 4 4 4 4 IBMBrasilLtda. SãoPaulo RuaTutóia,1157–CEP:04007-900 0800-7074837 www.br.ibm.com 4 4 4 4 iFractal SãoPaulo RuaFiaçãodaSaúde,145,Conj.66–Saúde–CEP:04144-020 115078-6618 www.ifractal.com.br 4 4 4 Integral SãoPaulo RuaDr.GentilLeiteMartins,295,2ºandarJd.Prudência –CEP:04648-001 115545-2600 www.integral.com.br 4 4 4 4 4 4 4 4 4 ItautecS.A. SãoPaulo Av.Paulista,2028–CEP:01310-200 113543-5543 www.itautec.com.br KomputerInformática SãoPaulo Av.JoãoPedroCardoso,392ºandar–Cep.:04335-000 115034-4191 www.komputer.com.br KonsultexInformatica SãoPaulo Av.Dr.GuilhermeDumontVillares,14106andar,CEP:05640-003 113773-9009 www.konsultex.com.br LinuxKomputerInformática SãoPaulo Av.Dr.LinodeMoraesLeme,185–CEP:04360-001 115034-4191 www.komputer.com.br 4 4 LinuxMall SãoPaulo RuaMachadoBittencourt,190,Cj.2087–CEP:04044-001 115087-9441 www.linuxmall.com.br LivrariaTempoReal SãoPaulo Al.Santos,1202–CerqueiraCésar–CEP:01418-100 113266-2988 www.temporeal.com.br LocasiteInternetService SãoPaulo Av.BrigadeiroLuizAntonio,2482,3ºandar–Centro –CEP:01402-000 112121-4555 www.locasite.com.br Microsiga SãoPaulo Av.BrazLeme,1631–CEP:02511-000 113981-7200 www.microsiga.com.br Locaweb SãoPaulo Av.Pres.JuscelinoKubitschek,1.830–Torre4 VilaNovaConceição–CEP:04543-900 113544-0500 www.locaweb.com.br NovatecEditoraLtda. SãoPaulo RuaLuisAntoniodosSantos,110–Santana–CEP:02460-000 116979-0071 www.novateceditora.com.br NovellAméricaLatina SãoPaulo RuaFunchal,418–VilaOlímpia 113345-3900 www.novell.com/brasil OracledoBrasilSistemasLtda. SãoPaulo Av.AlfredoEgídiodeSouzaAranha,100–BlocoB–5º andar–CEP:04726-170 115189-3000 www.oracle.com.br ProelbraTecnologia EletrônicaLtda. SãoPaulo Av.Rouxinol,1.041,Cj.204,2ºandarMoema–CEP:04516-001 115052-8044 www.proelbra.com.br Provider SãoPaulo Av.CardosodeMelo,1450,6ºandar–VilaOlímpia –CEP:04548-005 112165-6500 RedHatBrasil SãoPaulo Av.BrigadeiroFariaLima,3900,Cj818ºandar ItaimBibi–CEP:04538-132 113529-6000 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 www.e-provider.com.br 4 4 4 www.redhat.com.br 4 4 4 SamuraiProjetosEspeciais SãoPaulo RuaBarãodoTriunfo,550,6ºandar–CEP:04602-002 115097-3014 www.samurai.com.br 4 4 4 SAPBrasil SãoPaulo Av.dasNaçõesUnidas,11.541,16ºandar–CEP:04578-000 115503-2400 www.sap.com.br 4 4 4 SavantTecnologia SãoPaulo Av.Brig.LuisAntonio,2344cj13–Jd.Paulista–CEP:01402-000 112925-8724 www.savant.com.br SimplesConsultoria SãoPaulo RuaMouratoCoelho,299,Cj.02Pinheiros–CEP:05417-010 113898-2121 www.simplesconsultoria.com.br 4 4 4 4 4 4 4 4 4 4 4 4 SmartSolutions SãoPaulo Av.Jabaquara,2940cj56e57 115052-5958 www.smart-tec.com.br SnapIT SãoPaulo RuaJoãoGomesJunior,131–Jd.Bonfiglioli–CEP:05299-000 113731-8008 www.snapit.com.br 4 4 4 StefaniniITSolutions SãoPaulo Av.Brig.FariaLima,1355,19º–Pinheiros–CEP:01452-919 113039-2000 www.stefanini.com.br 4 4 4 4 4 4 4 4 4 4 4 4 4 4 SybaseBrasil SãoPaulo Av.JuscelinoKubitschek,510,9ºandarItaimBibi–CEP:04543-000 113046-7388 www.sybase.com.br UnisysBrasilLtda. SãoPaulo R.AlexandreDumas1658–6º,7ºe8ºandares–Chácara SantoAntônio–CEP:04717-004 www.unisys.com.br 113305-7000 Utah SãoPaulo Av.Paulista,925,13ºandar–CerqueiraCésar–CEP:01311-916 113145-5888 www.utah.com.br Webnow SãoPaulo Av.NaçõesUnidas,12.995,10ºandar,Ed.PlazaCentenário –ChácaraItaim–CEP:04578-000 115503-6510 www.webnow.com.br 4 4 WRLInformáticaLtda. SãoPaulo RuaSantaIfigênia,211/213,Box02–Centro–CEP:01207-001 113362-1334 www.wrl.com.br 4 Systech Taquaritinga RuaSãoJosé,1126–Centro–CaixaPostal71–CEP:15.900-000 163252-7308 www.systech-ltd.com.br 4 4 Linux Magazine #71 | Outubro de 2010 4 4 79 SERVIÇOS Calendário de eventos Índice de anunciantes Evento Data Local Informações Empresa Pág. II COALTI 15 a 17 de outubro Maceió, AL www.lg.com.br/jornada/ Intelig 02,03 CNASI 2010 20 a 22 de outubro São Paulo, SP www.cnasi.com/ Python Brasil 6 21 a 23 de outubro Curitiba, PR www.pythonbrasil.org.br/ Futurecom 2010 SOLISC – Congresso Catarinense de Software Livre YAPC::Brasil 2010 Latinoware 2010 25 a 28 de outubro 22 e 23 de outubro 25 a 31 de outubro 10 a 12 de novembro São Paulo, SP Florianópolis, SC Fortaleza, CE Foz do Iguaçu, PR www.futurecom.com.br/ www.solisc.org.br/2010/ www.yapcbrasil.org.br/ www.latinoware.org/ RedeHost 05 CentralServer 09 UolHost 11 Watchguard 13 Othos 19 F13 21 Unodata 25 Impacta 31 Futurecom 33 Vectory 63 Bull 83 Latinoware 84 Nerdson – Os quadrinhos mensais da Linux Magazine 80 http://www.linuxmagazine.com.br PREVIEW Linux Magazine #72 Segurança em VoIP Aprenda a melhorar a segurança de suas conexões VoIP, de forma a garantir a confidencialidade das informações que trafegam nas redes de voz sobre IP, o que atualmente é uma realidade e uma preocupação de diversas empresas. n Asterisk de A a Z Deseja instalar o Asterisk em sua empresa? Aprenda a instalá-lo, configurá-lo e aproveite todos os benefícios desta incrível ferramenta, onde a palavra de ordem é economia. n Túneis de voz O Protocolo de Inicialização de Sessão (SIP, do inglês Session Initiation Protocol) é uma das tecnologias mais populares para se efetivar conexões de voz sobre o protocolo IP. Por se tratar de um padrão aberto (IETF RFC 3261), é relativamente simples desenvolver aplicativos para esse protocolo. Quem usa o protocolo SIP para fazer chamadas VoIP encontra limitações, quando o software de telefonia IP do lado do cliente possui apenas um IP inválido por causa do uso de NAT. Os pacotes SIP contêm em sua área de dados informações sobre o endereço IP e a porta de comunicação, que o gateway responsável pela NAT não conhece. n Ubuntu User #20 Firewall no Ubuntu Aprenda a trabalhar com o firewall do Ubuntu, configurando-o da forma correta para manter o seu computador e seus dados sempre seguros. n Ubuntu 10.10 Conheça os novos recursos do Ubuntu 10.10 Maverick Meerkat (suricato independente), que promete ter significativas mudanças na interface gráfica, totalmente redesenhada. Inicialização mais rápida, navegador mais rápido e experiência web mais leve e veloz são as novidades anunciadas para esta versão. n 82 http://www.linuxmagazine.com.br