Linux Magazine Community Edition 71 by Herbert de Carvalho

10/2010

MADDOG p.24

TAURION p.26

Quais necessidades avaliar ao contratar serviços na nuvem.

DIVÓRCIOS CORPORATIVOS p.15

Índice Open Source Software Potential.

Relação entre as corporações e o código aberto.

# 71 Outubro 2010 Linux Magazine # 71

A REVISTA DO PROFISSIONAL DE TI

CASE ALFRESCO p.26 A Construcap agilizou seus projetos com o Alfresco

LINUX PARK 2008 p.28 Iniciada em Porto Alegre a temporada de seminários Linux Park de 2008

CEZAR TAURION p.34 O Código Aberto como incentivo à inovação

#44 07/08

00044

R$ 13,90 € 7,50

A REVISTA DO PROFISSIONAL DE TI

9 771806 942009

MONITORAMENTO DE REDES

Monitoramento de

TIVOLI

GOVERNANÇA COM

GRÁTIS SEJA UM BOM GESTOR E UTILIZE AS MELHORES PRÁTICAS ADOTADAS E RECOMENDADAS PELOS PROFISSIONAIS MAIS EXPERIENTES NESSA ÁREA p.36 » O que dizem os profissionais certificados p.24

TCP_WRAPPER

» Cobit, CMMI, ITIL. Quais as melhores práticas? p.36 » ITIL na prática p.39 » Novidades do ITIL v3. p.44

SEGURANÇA: DNSSEC p.69

VEJA TAMBÉM NESTA EDIÇÃO:

Com o DNSSEC, a resolução de nomes fica protegida de ataques. Mas seu preço vale a pena?

» Relatórios do Squid com o SARG p.60

REDES: IPV6 p.64

» Becape de bancos de dados com a Libferris p.46

Conheça as vantagens da nova versão do Internet Protocol, e veja por que é difícil adotá-la

» Java, Ruby e Rails: conheça o JRuby on Rails p.74 » Benchmarks do GCC 4.3? p.58 » LPI nível 2: Servidores NIS e DHCP p.52

APRENDA A MONITORAR SUA REDE DE FORMA INTELIGENTE, INVENTARIAR O PARQUE COMPUTACIONAL, GERAR GRÁFICOS COM QUALIDADE, MANTER A SEGURANÇA E PREVER EVENTOS FUTUROS EM SEU AMBIENTE DE REDE p. 27 WWW.LINUXMAGAZINE.COM.BR

CACTI NAGIOS

» Nagios: Nos mínimos detalhes p.28 » Centreon: Controle o Nagios e monitore sua rede p.34 » Monitor de ambientes remotos p.40 » Prático e eficiente: Zenoss p.44 » Gráficos elegantes com Cacti p.48

CENTREON

TUTORIAL: OPEN-AUDIT p.64

ZABBIX

Solução ideal para auditar sistemas Linux e Windows conectados em rede.

ZENOSS

SEGURANÇA GARANTIDA p.68

AUDITORIA

Conheça o TCP_Wrapper, sistema de segurança simples e eficaz.

SEGURANÇA

VEJA TAMBÉM NESTA EDIÇÃO: » A multiplicidade do Tivoli p.57 » Escritórios remotos p.54 » Arquitetura Zero-Client p.51 » Gerenciamento Out-of-band p.72

WWW.LINUXMAGAZINE.COM.BR

10/2010

MADDOG p.24

TAURION p.26

Quais necessidades avaliar ao contratar serviços na nuvem.

DIVÓRCIOS CORPORATIVOS p.15

Índice Open Source Software Potential.

Relação entre as corporações e o código aberto.

IVOS p.15 CORPORAT rações DIVÓRCIOS as corpo entre TAURION

# 71 Outubro 2010

o. Relação o abert e o códig

p.26

e Open Sourc tial. Índice are Poten Softw

Linux Magazine

r ao p.24 des avalia m. necessida na nuve Quais serviços contratar

MADDOG

mento de Monitora NTARIAR A NTE, INVE INTELIGE IDADE, MANTER FORMA 27 QUAL REDE p. REDE DE ICOS COM AR SUA IENTE DE GERAR GRÁF EM SEU AMB A MONITOR APRENDA COMPUTACIONAL, TOS FUTUROS p.34 O PARQUE E PREVER EVEN sua rede ÇA monitore SEGURAN e o Nagios : Controle tos p.40 » Centreon ambientes remo de p.44 Zenoss » Monitor i p.48 e eficiente: com Cact » Prático elegantes » Gráficos

p.64 N-AUDIT AL: OPEauditar sistemas . TUTORIideal para s em rede Solução conectado Windows Linux e

p.68

e efica Conheça a simples seguranç

ÇÃO:

TA EDI BÉM NES

A REVISTA DO PROFISSIONAL DE TI

i p.57 do Tivol VEJA TAM iplicidade

» A mult s remotos p.54 » Escritório Zero-Client p.51 p.72 ra d » Arquitetu ento Out-of-ban » Gerenciam M.BR

LINUX PARK 2008 p.28 Iniciada em Porto Alegre a temporada de seminários Linux Park de 2008

CEZAR TAURION p.34 O Código Aberto como incentivo à inovação

#44 07/08

00044

R$ 13,90 € 7,50

A REVISTA DO PROFISSIONAL DE TI

TIVOLI

GOVERNANÇA COM

SEJA UM BOM GESTOR E UTILIZE AS MELHORES PRÁTICAS ADOTADAS E RECOMENDADAS PELOS PROFISSIONAIS MAIS EXPERIENTES NESSA ÁREA p.36 » O que dizem os profissionais certificados p.24

TCP_WRAPPER

» Cobit, CMMI, ITIL. Quais as melhores práticas? p.36 » ITIL na prática p.39 » Novidades do ITIL v3. p.44

SEGURANÇA: DNSSEC p.69

VEJA TAMBÉM NESTA EDIÇÃO:

Com o DNSSEC, a resolução de nomes fica protegida de ataques. Mas seu preço vale a pena?

» Relatórios do Squid com o SARG p.60

REDES: IPV6 p.64

» Becape de bancos de dados com a Libferris p.46

Conheça as vantagens da nova versão do Internet Protocol, e veja por que é difícil adotá-la

» Java, Ruby e Rails: conheça o JRuby on Rails p.74 » Benchmarks do GCC 4.3? p.58 » LPI nível 2: Servidores NIS e DHCP p.52

CACTI NAGIOS

CENTREON

TUTORIAL: OPEN-AUDIT p.64

ZABBIX

Solução ideal para auditar sistemas Linux e Windows conectados em rede.

ZENOSS

SEGURANÇA GARANTIDA p.68

AUDITORIA

Conheça o TCP_Wrapper, sistema de segurança simples e eficaz.

SEGURANÇA

VEJA TAMBÉM NESTA EDIÇÃO: » A multiplicidade do Tivoli p.57 » Escritórios remotos p.54 » Arquitetura Zero-Client p.51 » Gerenciamento Out-of-band p.72

WWW.LINUXMAGAZINE.COM.BR

v en d a p r o i b i d a

CASE ALFRESCO p.26 A Construcap agilizou seus projetos com o Alfresco

9 771806 942009

MONITORAMENTO DE REDES

Monitoramento de

Assinante

AZINE.CO

NUXMAG

WWW.LI

exemplar de

# 71

ANTIDAde ma NÇA GAR per, siste SEGURA o TCP_Wrap z.

Efeito LinuxCon

Expediente editorial Diretor Geral Rafael Peregrino da Silva rperegrino@linuxmagazine.com.br

EDITORIAL

Editora Flávia Jobstraibizer fjobs@linuxmagazine.com.br Editora de Arte Paola Viveiros pviveiros@linuxmagazine.com.br Colaboradores Alexandre Borges, Augusto Campos, Márcio Pessoa, Matuzalém Guimarães, Smailli Moraes, Cezar Taurion, Marcelo de Miranda Barbosa, Marcos Amorim, Sandro Mendes, Wanda Rosalino e Marcellino Júnior. Tradução Diana Ricci Aranha Revisão Ana Carolina Hunger Editores internacionais Uli Bantle, Andreas Bohle, Jens-Christoph Brendel, Hans-Georg Eßer, Markus Feilner, Oliver Frommel, Marcel Hilzinger, Mathias Huber, Anika Kehrer, Kristian Kißling, Jan Kleinert, Daniel Kottmair, Thomas Leichtenstern, Jörg Luther, Nils Magnus. Anúncios: Rafael Peregrino da Silva (Brasil) anuncios@linuxmagazine.com.br Tel.: +55 (0)11 3675-2600 Penny Wilby (Reino Unido e Irlanda) pwilby@linux-magazine.com Amy Phalen (América do Norte) aphalen@linuxpromagazine.com Hubert Wiest (Outros países) hwiest@linuxnewmedia.de Diretor de operações Claudio Bazzoli cbazzoli@linuxmagazine.com.br Na Internet: www.linuxmagazine.com.br – Brasil www.linux-magazin.de – Alemanha www.linux-magazine.com – Portal Mundial www.linuxmagazine.com.au – Austrália www.linux-magazine.es – Espanha www.linux-magazine.pl – Polônia www.linux-magazine.co.uk – Reino Unido www.linuxpromagazine.com – América do Norte Apesar de todos os cuidados possíveis terem sido tomados durante a produção desta revista, a editora não é responsável por eventuais imprecisões nela contidas ou por consequências que advenham de seu uso. A utilização de qualquer material da revista ocorre por conta e risco do leitor. Nenhum material pode ser reproduzido em qualquer meio, em parte ou no todo, sem permissão expressa da editora. Assume-se que qualquer correspondência recebida, tal como cartas, emails, faxes, fotografias, artigos e desenhos, sejam fornecidos para publicação ou licenciamento a terceiros de forma mundial não-exclusiva pela Linux New Media do Brasil, a menos que explicitamente indicado. Linux é uma marca registrada de Linus Torvalds. Linux Magazine é publicada mensalmente por: Linux New Media do Brasil Editora Ltda. Rua São Bento, 500 Conj. 802 – Sé 01010-001 – São Paulo – SP – Brasil Tel.: +55 (0)11 3675-2600 Direitos Autorais e Marcas Registradas © 2004 - 2010: Linux New Media do Brasil Editora Ltda. Impressão e Acabamento: RR Donnelley Distribuída em todo o país pela Dinap S.A., Distribuidora Nacional de Publicações, São Paulo. Atendimento Assinante www.linuxnewmedia.com.br/atendimento São Paulo: +55 (0)11 3512 9460 Rio de Janeiro: +55 (0)21 3512 0888 Belo Horizonte: +55 (0)31 3516 1280 ISSN 1806-9428

Impresso no Brasil

Tomo a liberdade de usar o editoral desta edição da Linux Magazine para fazer uma constatação: a primeira edição brasileira da LinuxCon mexeu com o mercado nacional de TI. O evento, desenvolvido e organizado a quatro mãos no Brasil pela Linux Foundation e pela Linux New Media do Brasil, contou com a presença de Linus Torvalds, entre muitos outros participantes ilustres. Era a conferência que faltava ao Brasil. A despeito dos problemas organizacionais – que podem ser considerados resolvidos para a edição de 2011 – o sucesso do evento, bem como seus desdobramentos posteriores, só pode ser considerado estrondoso. A conferência havia sido dimensionada para cerca de 700 pessoas, mas nas horas finais que a antecederam, em torno de 1.000 pessoas já haviam se inscrito para participar. Claro, isso gerou alguma confusão durante o credenciamento, já que a confecção dos crachás de cerca de 300 pessoas teve de ser realizada “na hora”. Superado esse tumulto inicial, entretanto, o evento mostrou a que veio: keynotes internacionais em profusão, grade sólida de palestras e atividades de primeira linha. Linus Torvalds esbanjou simpatia e conversou com o público e com a imprensa, além de conceder uma entrevista exclusiva para a Rede Globo de Televisão, veiculada no canal GloboNews às 14h30 do dia 03/09/10. Se o leitor não teve oportunidade de assistir, o vídeo da entrevista ainda está disponível no portal G1 http://migre.me/1ipd8. Praticamente todos os jornais de grande circulação do País, bem como todas as revistas e portais de tecnologia, noticiaram o evento, alguns deles quase em tempo real. Uma semana após a realização da conferência, ainda era possível encontrar extenso material a seu respeito em veículos de massa, como jornais e revistas, e mesmo aquelas mídias mais “tímidas” na divulgação de temários relacionados ao Linux e ao Software Livre, se manifestaram positivamente a esse respeito – a maior delas, inclusive, citando o Brasil como palco de evento consagrados, como o FISL e a LinuxCon. Fato: a LinuxCon conseguiu finalmente colocar o Linux e o Software Livre no “radar” do público leigo no Brasil. Contabilizamos, aproximadamente, uma centena de artigos e notícias a respeito do evento e, no fechamento desta edição, mais de 15 dias após o seu encerramento, ainda havia material sendo publicado, ainda que esporadicamente. A edição de 2011, anunciada por Jim Zemlin, diretor presidente da Linux Foundation, em seu keynote de encerramento, deverá disseminar ainda mais a percepção do Linux junto ao público em geral – apesar de a audiência da LinuxCon ser basicamente formada por um público técnico. Propósito precípuo da Linux Foundation, a promoção do Linux e do Software Livre e de Código Aberto no mercado brasileiro não poderia ter ganhado maior impulso do que esse. Portanto, fique ligado! No próximo ano estaremos de volta, com muitas novidades! n Rafael Peregrino da Silva Diretor de Redação

http://www.linuxmagazine.com.br

ÍNDICE

CAPA Monitorar é preciso

A prenda a monitorar sua rede de forma inteligente, inventariar o parque computacional, gerar gráficos com qualidade e prever eventos futuros com as ferramentas que você irá conhecer nesta edição da Linux Magazine. Nos mínimos detalhes

O poderoso Nagios pode chegar ao estado da arte nas tarefas de monitoramento de redes com o auxílio do PNP4Nagios. Centreon: controle o Nagios e monitore sua rede!

A prenda a utilizar os recursos do Centreon, robusta ferramenta visual para administração de redes. Monitor de ambientes remotos

P ossuir sistemas altamente distribuídos já não é mais problema. Aprenda a monitorar redes remotas via proxy com o Zabbix. Prático e eficiente

A prenda a monitorar e gerenciar redes com o Zenoss, que foi desenvolvido para atender as demandas de administradores de rede que necessitam ter o controle das informações. Gráficos elegantes

C rie gráficos agradáveis e elegantes utilizando estatísticas e métricas de seu ambiente.

http://www.linuxmagazine.com.br

Linux Magazine 71 | ÍNDICE

COLUNAS

Remoto, mas presente

Klaus Knopper

Charly Kühnast

Zack Brown

Augusto Campos

Kurt Seifried

Alexandre Borges

NOTÍCIAS Geral ➧ Nvidia promete nova placa gráfica para 2011

A multiplicidade do Tivoli 20

A melhoria da continuidade dos negócios para escritórios remotos é crítica para grande parte das empresas.

H á tempos a IBM vem investindo pesadamente em Linux, não apenas no desenvolvimento de aplicações e na inclusão desse sistema operacional em suas soluções em ambientes distribuídos, como também no ambiente do mainframe. A suíte Tivoli é um excelente exemplo do que já foi feito nessas três linhas de investimentos.

TUTORIAL Auditoria com qualidade

C onheça o Open-Audit, a solução ideal para auditar sistemas Linux e Windows conectados em sua rede local, sem a necessidade da instalação de qualque agente adicional nas estações.

➧ Canonical, Fedora e Red Hat corrigem falhas no kernel de suas distribuições ➧ Mandriva afirma que projeto não está morto ➧ Google Code passa a aceitar todas as licenças aprovadas pela OSI

CORPORATE Notícias ➧ VMware está comprando a Novell

SEGURANÇA

➧ Opsera firma parceria com a Canonical para distribuir Opsview no Ubuntu

Segurança garantida

➧ Grupo SCO leiloa divisão UNIX ➧ Oracle aposta em seu próprio Linux Coluna: Jon “maddog” Hall

Coluna: Cezar Taurion

Tão magro que desapareceu

REDES O que há aqui dentro, o que há lá fora

ANÁLISE 51

S e thin clients oferecem vantagens em relação aos ultrapassados PCs clientes, conheça o simples e rápido zero-client.

C onheça o TCP_Wrapper, sistema de segurança simples e eficaz criado nos anos 90 e ultimamente esquecido pelos novos administradores de sistemas.

N este artigo, as abordagens tradicionais de monitoramento, manutenção e restauração de ativos de TI são questionadas; e o gerenciamento out-of-band é apresentado como uma maneira mais eficiente de cortar gastos e melhorar os níveis de serviço e a produtividade.

SERVIÇOS

Linux Magazine #71 | Outubro de 2010

Editorial

Emails

Linux.local

Preview

u c.h ww .s x –w ro nja

gje

Emails para o editor

CARTAS

Acelerar o mutt ✉

Estou usando o cliente de email mutt para acessar remotamente minha caixa de mensagens localizada em um servidor baseado em Unix/ Linux através do protocolo IMAP, mas minha conexão de rede é lenta e minha caixa de mensagens está ficando cada vez maior com o passar do tempo. Esperar que o mutt exiba o index do cabeçalho da mensagem é cansativo. Há alguma maneira de fazer o mutt exibir apenas as mensagens novas, mantendo a lista das mensagens antigas? Vinícius Toledo da Silva

Resposta

Como você está usando o mutt como cliente IMAP, seu arquivo .muttrc conterá algo do tipo: set spoolfile= imap://username@mailserver‑address/INBOX set imap_user=username

Se você possuir acesso SSH é possível utilizar um comando túnel no mutt para usar o SSH como uma camada de transporte seguro, com a chave pública de autenticação SSH para evitar senhas de texto, veja: set tunnel="ssh ‑x ‑q ‑C ‑t username@mailserver‑address /usr/sbin/dovecot \ ‑‑exec‑mail imap"

Contanto que o dovecot esteja instalado no servidor como um cliente de email local. Se o dovecot está sendo executado como servidor de email, é possível que haja clientes instalados. Portanto, uma configuração de túnel provavelmente irá funcionar e até mesmo fornecer uma melhor taxa de download por causa da compressão de dados/texto interna ssh ‑C.

Escreva para nós!

Permissão de Escrita

Agora, vejamos a configuração do mutt propriamente dito: as versões 1.5.18 e posteriores suportam dois parâmetros para cache de email local. Eles possuem duas funções: armazenar mensagens localmente, para que não seja necessário baixá-las mais de uma vez depois de serem lidas, e manter um cache de cabeçalhos de mensagens em sincronia com o servidor de email remoto. set header_cache=~/.mutt‑header_cache set message_cachedir= ~/.mutt‑message_cache

Os dois diretórios, .mutt‑header_ca‑ che e .mutt‑message_cache, precisam existir nesse exemplo. O mutt irá recuperar os cabeçalhos mais uma vez durante a próxima execução e depois lembrar quais cabeçalhos de mensagens já foram baixados. Nas próximas inicializações do mutt, apenas os novos cabeçalhos de mensagens são recuperados, e os velhos são exibidos a partir do cache local. Essa pode ser uma grande melhoria na velocidade para o já tão veloz cliente mutt baseado em terminal. n

✉

Sempre queremos sua opinião sobre a Linux Magazine e nossos artigos. Envie seus emails para cartas@linuxmagazine.com.br e compartilhe suas dúvidas, opiniões, sugestões e críticas. Infelizmente, devido ao volume de emails, não podemos garantir que seu email seja publicado, mas é certo que ele será lido e analisado.

http://www.linuxmagazine.com.br

NOTÍCIAS

➧ Nvidia promete nova placa gráfica para 2011 A Nvidia está trabalhando em uma nova placa gráfica que estará disponível no mercado a partir segundo semestre de 2011. O componente, denominado Kepler, sairá dois anos após o lançamento da última geração. O presidente-executivo da empresa, Jen-Hsun Huang afirma que o desenvolvimento da placa está acelerado e conta com a colaboração de centenas de engenheiros. A nova placa possui circuitos de 28 nanômetros e será de três a quatro vezes mais rápida do que a atual geração de chips Fermi. A Nvidia, especializada em placas gráficas de alta performance para fãs de jogos eletrônicos, enfrentará a concorrência da Intel no ano que vem. A gigante dos chips lançará um processador que combina uma CPU tradicional e uma unidade de processamento gráfico. A AMD também tem planos de lançar um processador com capacidade gráfica integrada. Buscando novos mercados, a Nvidia Corp está buscando o mercado de celulares, e combinando processadores de baixo

consumo projetados pela ARM com seu próprio chip gráfico sob a marca Tegra, voltado para celulares e tablets, cuja versão 2 saiu no começo deste ano. n

➧ Canonical, Fedora e Red Hat corrigem falhas no kernel de suas distribuições A Canonical lançou kernels atualizados para as versões do Ubuntu 10,04 LTS, 9.10, 9.04, 8.04 LTS e 6.06 LTS, para corrigir duas recentes falhas descobertas. As atualizações também são para as versões equivalentes do Kubuntu, Edubuntu e Xubuntu, e deverão estar disponíveis através do sistema de atualização automática dos softwares. As falhas foram descobertas por Ben Hawkes. Em uma delas, ele descobriu que no sistema kernel 64-bits os intervalos de memória não são calculados corretamente quando fazem chamadas à sistemas de 32-bits que aloquem memória. Essa falha poderia permitir a um invasor local a ganhar direitos de root (CVE-20103081). Em outra falha, ele descobriu que os registros de kernel 64-bits não foram corretamente filtrados quando o sistema de 32-bits realiza chamadas em um sistema de 64 bits (CVE-2010-3301), o que também pode permitir que invasores ganhem privilégios de root. 20

A Red Hat, por sua vez, tem avaliado se o problema existe no Red Hat Enterprise Linux (RHEL), e diz que apenas a versão 5 deste é vulnerável ao CVE2010-3081. A versão 4 têm problemas semelhantes de validação, mas não possui a função "compat_mc_ sockopt()" que é utilizada pelo exploit. A empresa planeja uma atualização para o RHEL5 logo que as correções forem aprovadas nos testes, e as questões do RHEL4 serão abordadas em uma atualização posterior, por não serem críticas neste momento. A empresa diz que nenhuma versão do RHEL é vulnerável ao CVE-2010-3301. Atualmente, os desenvolvedores do Fedora também estão no processo de liberação das correções para as versões 13 e 12 do sistema operacional. As atualizações estão na fila à espera da verificação final, antes de serem enviadas para o mecanismo de atualização automática do Fedora.

http://www.linuxmagazine.com.br

Gerais | NOTÍCIAS

➧ Mandriva afirma que projeto não está morto Em respota ao projeto Mageia, a Mandriva comenta sua atual situação e os planos futuros da empresa. A distribuição francesa afirma que o projeto está longe de estar no fim e que sim, será mantida por muito tempo. O próximo lançamento será o Mandriva Community Edition, previsto para o início de 2011. O foco de desenvolvimento do Mandriva é tornar-se a "melhor distribuição KDE do mundo". Uma comunidade independente deverá manter outros sistemas de desktop e a Mandriva afirma que irá forrnecer a infraestrutura técnica para que eles possam operar. A empresa estuda a contratação de um gerente para comunidade que vai ajudar a criar uma estrutura de gestão autônoma. A empresa comentou também que está planejando lançar novos produtos para tablets com processadores Intel e AMD, além do tabalho no desenvolvimento de uma estratégia de serviços na nuvem. A Mandriva Store será simplificada e melhorada e outros serviços online serão integrados à versão desktop do Mandriva. O planejamento da distribuição é a contratação de vinte colaboradores no Brasil no próximo ano, somando-se aos atuais sete desenvolvedores brasileiros e aos cinco desenvolvedores da França além de quinze funcionários na Rússia. Embora exista este planejamento, muitos desenvolvedores não acreditam que a comunidade independente do Mandriva dará certo. n

➧ Google Code passa a aceitar todas as licenças aprovadas pela OSI A empresa anunciou que seu repositório, o Google Code, agora irá armazenar os novos códigos aprovados pela Open Source Iniciative (OSI). Para efetuar a mudança no sistema, a equipe do Google Code acrescentou a opção para selecionar o tipo de licença. Sendo assim, os desenvolvedores de software podem agora escolher a opção "other open source" e indicarem a licença que estão usando. De acordo com o blog oficial do serviço, "Esta é uma nova forma de armazenar códigos de diferentes tipos de licenças, pois é um ajuste para melhorar e incentivar os desenvolvedores de softwares de código aberto". Os desenvolvedores do Google também afirmam que nunca se sentiram bem em se afastar dos novos projetos e que apoiam licenças compatíveis sob licenças que "servem a uma função verdadeiramente nova, como a AGPL". Anteriormente, o Google Code oferecia somente um número limitado de licenças de código aberto para seus usuários. Em 2008, por exemplo, o site do projeto tinha bloqueado o uso da GPL Affero (AGPL) em projetos hospedados e mais tarde abandonou o suporte ao Mozilla Public Licenciados (MPL). Além disso, como estas licenças não são disponíveis em alguns países, os desenvolvedores ainda estão permitindo apenas projetos de domínio público e estudando caso a caso outras licenças. A equipe do Google Code afirma ainda que vai "continuar a buscar novos projetos de código não-aberto ou outros projetos usando o Google Code como um serviço genérico de hospedagem de arquivos". n

Linux Magazine #71 | Outubro de 2010

CORPORATE

➧ V Mware está

comprando a Novell

O Wall Street Journal publicou a notícia de que a VMware vai comprar a Novell. A VMware poderá utilizar e lucrar muito com o SUSE Linux da Novell, no futuro. Ainda de acordo com o jornal, os ativos remanescentes da Novell, incluindo o NetWare, a antiga rede de sistema operacional Novell, podem acabar nas mãos da Attachmate, que é mantida por empresas do setor privado, que incluem a Golden Gate Capital e a Francisco Partners. A Attachmate possui um emulador de terminal com mais de 30 anos e é uma companhia especializada em redes, o que certamente será um diferencial para ajudar a fazer um bom trabalho de apoio e suporte para os últimos clientes fiéis do produto Novell NetWare. Se a VMware irá fazer um bom trabalho cuidando do SUSE Linux é outra questão. Paul Martiz, CEO da VMware e com certos rancores contra a Microsoft, teve pouco a dizer sobre a fusão: “Eu não iria tão longe para dizer que a VMware/Novell tem menos a ver com a Microsoft do que com a Novell nos dias de hoje.” Isso não quer dizer que a VMware/Novell não irá trabalhar com a Microsoft. Há muitos clientes Windows trabalhando com virtualização VMware, e um bom número de clientes Windows

que trabalham com Linux estão utilizando o SUSE Linux como sistema operacional. Ao mesmo tempo porém, a VMware está satisfeita em poder utilizar o mais recente lançamento da Novell, o software Cloud Manager, para mover os usuários já existentes para instâncias virtuais SUSE Linux - e para longe do Windows. A Novell e a VMware já estavam trabalhando juntos neste projeto muito tempo antes de as negociações começarem a se materializar. Além disso, a VMware sabe que, para que sua empresa consiga obter qualquer valor real da Novell, terá que ajudar o Linux e o Software Livre em geral. As empresas tem aprendido que o Software Livre gera uma boa quantia de dinheiro. É por essas e outras razões práticas e financeiras que a VMware vai apoiar o Linux e fazer do SUSE Linux o sistema operacional principal para ambientes de virtualização e servidores cloud. n

➧ Opsera firma parceria com a Canonical para distribuir Opsview no Ubuntu A rede de Open Source Opsera firmou acordo com a Canonical para distribuir o Opsview para parceiros da empresa. A Opsera declarou que o Ubuntu Server Edition é sua plataforma de escolha Linux rodando o Opsview Enterprise Edition, a versão comercial do Opsview Community. Após a aquisição da Enterprise Division pela Ixxus, a Opsera está direcionada agora para o Opsview, serviço associado e de consultoria. Tom Callway, gerente de marketing da Opsera, afirma que muitos clientes da empresa já implantaram o Opsview no Ubuntu Server Edition e isto, combinado com a estratégia da Canonical, o deixa convencido que a rede terá uma relação mais próxima com o fornecedor do Ubuntu. John Pugh, gestor da Canonical, chamou a parceria de "ajuste perfeito" para lidar com o provedor de serviços gerenciados e serviços financeiros. n

http://www.linuxmagazine.com.br

Notícias | CORPORATE

➧ Grupo SCO leiloa divisão UNIX A SCO Group, declarou em um comunicado de imprensa que irá vender a sua divisão Unix pelo maior lance. A divisão UNIX da SCO lida com vendas e desenvolvimento de aplicações como UnixWare e OpenServer, juntamente com suporte para esses produtos. Os parceiros interessados têm até o dia 5 de outubro para apresentar suas propostas. A SCO descreve o spin off da sua divisão como uma tentativa de manter a confiança do cliente no desenvolvimento das tecnologias UNIX. Ao mesmo tempo, a receita é assegurar a sobrevivência do Grupo SCO, que arquivou um processo de falência em acordo com a legislação dos Estados Unidos. Ken Nielsen, diretor financeiro da SCO, explica em comunicado à imprensa: “Esta venda é um importante passo no sentido de garantir a continuidade dos negócios da SCO para todos os clientes ao redor do mundo”. A venda da divisão UNIX é um esforço da empresa em obter financiamento para

o Grupo SCO. Não é a primeira vez que uma divisão foi desmembrada. No mês de abril, a SCO, com o então CEO Darl Mcbride comprou a divisão móvel da empresa por US$100.000. Mcbride originalmente queria pagar somente US$35,000, mas um segundo proponente, cuja identidade permanece anônima até hoje, aumentou o preço. Se um comprador for encontrado através do atual leilão da divisão UNIX, o grupo SCO teria que enfrentar acusações apresentadas pela IBM e Red Hat sobre alegadas violações de direitos autorais do Linux, e pode esperar que a recente oposição, apresentada contra a decisão final sobre a quem pertence o copyright dos sistemas UNIX será bem sucedida em sua disputa com a Novell. Em 2007, a SCO Group entrou em negociação com os investidores da York Management Capital, que estava oferecendo US$ 10 milhões para a divisão UNIX e US$ 6 milhões para a divisão de dispositivos móveis. Mas, como mostram os relatórios trimestrais, a divisão UNIX tem tido seu valor diminuído desde 2007. Analistas do mercado americano estimam que de US$ 2 a US$4 milhões de dólares seria um bom negócio. O leilão da divisão UNIX ocorre ao mesmo tempo em que a empresa Novell está à venda. n

➧ Oracle aposta em seu próprio Linux O Presidente da Oracle, Larry Allison, declarou na abertura do Oracle OpenWorld que a empresa desenvolveu um novo kernel para Linux, o Oracle Linux. Edward Screven, detalha a estratégia, junto com o vicepresidente executivo John Fowler. A Oracle irá manter a compatibilidade e o suporte ao sistema operacional Red Hat Linux, mas lançando o Unbreakable Enterprise Kernel, kernel altamente otimizado, e que a empresa assegura que irá garantir a estabilidade das soluções de midleware Exadata e Exalogic. As reclamações de Allisson eram antigas em relação ao Red Hat. Ele já havia afirmado que a empresa era muito lenta para solucionar bugs e manter um kernel antigo. Por estes motivos a empresa resolveu reviver o projeto Oracle Linux, que estava parado desde seu lançamento, há quatro anos e que agora será reforçado com o Unbreakable Enterprise Kernel. O suporte ao Red Hat irá se manter, mas agora não será a primeira opção nos sistemas empresariais. Segundo Edward Screven, este kernel é 75% mais eficiente que o Red Hat. “A migração dos clientes é muito simples”, garante.

Mesmo com estas novidades, a Oracle continuará a investir no Solaris, que terá uma nova versão disponível em 2011. Ontem foi apresentado o Solaris 11 Express, que deve chegar aos clientes no final deste ano. O novo sistema contém mais de 2.700 projetos com mais de 400 novidades, resultado de 20 milhões de horas de desenvolvimento e mais de 60 milhões de horas de testes. O novo Solaris foi construído com novas capacidades para desenvolver e suportar cloud computing, e foi otimizado para as exigências de escalabilidade que estes sistemas vão exigir das empresas. n

Para notícias sempre atualizadas e com a opinião de quem vive o mercado do Linux e do Software Livre, acesse nosso site: www.linuxmagazine.com.br

Linux Magazine #71 | Outubro de 2010

Monitoramento de redes

CAPA

Monitorar é preciso Aprenda a monitorar sua rede de forma inteligente, inventariar o parque computacional, gerar gráficos com qualidade e prever eventos futuros com as ferramentas que você irá conhecer nesta edição da Linux Magazine. por Flávia Jobstraibizer

corriqueiro encontrar diretores de pequenas ou médias empresas, que, se perguntados sobre quantos e quais dados trafegam em sua rede, certamente não saberão a resposta. Isso se deve ao fato de que nem sempre estas pequenas e médias empresas – e até mesmo algumas poucas grandes empresas – não possuem um analista de rede, profissão específica e muito subjulgada atualmente. É o analista de redes quem melhor poderá informar aos responsáveis por uma empresa, se os seus dados estão seguros, se nenhum usuário está efetuando downloads ou instalando em suas estações de trabalho conteúdo ilegal, prever e efetuar manutenções preventivas na rede e outras tantas vantagens da função. Fato é, que, com o avanço das ferramentas para monitoria de redes, até mesmo um administrador de sistemas que não seja especialista em redes, poderá realizar as tarefas de inventariar um parque computacional, gerar relatórios de desempenho, tráfego de dados, estatísticas, monitorar determinados equipamentos da rede etc. É importante manter o controle – ou pelo menos estar ciente – das

Linux Magazine #71 | Outubro de 2010

necessidades básicas de sua rede. Antecipar eventos, como por exemplo, determinar em que data aproximadamente um cartucho de impressora irá acabar, pode facilitar muito a vida de uma empresa inteira. Esse tema é abordado pelo artigo Nos mínimos detalhes, que mostra como utilizar a ferramenta adicional para Nagios, PNP4Nagios. Se a sua intenção é gerar gráficos elegantes dos mais diversos para apresentação de resultados, auditorias ou levantamentos internos, uma ótima opção é utilizar o Cacti. A ferramenta é extremamente robusta e promete o mesmo desempenho de outras ferramentas comerciais similares. Ainda falando de ferramentas robustas, um entrave para o administrador de redes, é a monitoria de ambientes de rede remotos. No artigo Monitorando ambientes remotos utilizando Zabbix Proxy, você vai aprender como instalar o Zabbix Proxy e monitorar redes remotas, de qualquer lugar em que estiver! Para quem não tem muito tempo, e deseja automatizar tarefas corriqueiras, conheça o Zenoss, que auxilia o administrador de redes e sistemas, aumentando a eficiência operacional

e a produtividade, automatizando muitas das notificações, alertas e necessidades de intervenção executados diariamente em uma rede. E para finalizar, o não tão divulgado, porém fantástico Centreon, interface de controle para o Nagios, com diversas ferramentas adicionais, para tornar o já poderoso Nagios, ainda melhor! Boa leitura!

Matérias de capa Nos mínimos detalhes Centreon: controle o Nagios e monitore sua rede! Monitor de ambientes remotos Prático e eficiente Gráficos elegantes

28 34 40 44 48

A nova arquitetura zero-client

ANÁLISE

Tão magro que desapareceu Se thin clients oferecem vantagens em relação aos ultrapassados PCs clientes, conheça o simples e rápido zero-client. por Jim Emery e Ben Tucker

s arquiteturas de thin clients oferecem aos departamentos de TI vantagens significativas em relação ao custo total de propriedade, em comparação com PCs clientes dedicados. Entre elas estão um menor custo de aquisição, melhor confiabilidade e menores custos de suporte. A arquitetura zero-client, criada pela Digi International, introduz um conceito semelhante. Assim como um thin client, o zero-client oferece uma variedade de interfaces de I/O, incluindo portas para vídeo, periféricos USB e seriais. Porém, diferentemente dos thin clients, as máquinas da arquitetura zero-client atuam como simples redirecionadores de I/O para tais dispositivos, permitindo que as interfaces dos aplicativos sejam fornecidas onde quer que precisem ser exibidas, redirecionando o I/O de e para os dispositivos através de qualquer rede TCP/IP. Usando essa arquitetura, os aplicativos podem ser colocados num único servidor, em vez de serem distribuídos em servidores e clientes ou em thin clients.

Funcionamento

O zero-client utiliza uma implementação do VNC em código aberto que faz a interface com um software

Linux Magazine #71 | Outubro de 2010

servidor VNC, também de código com seus próprios sistemas operacioaberto, localizado no servidor de nais. Também com frequência rodam aplicativos. Essa conexão VNC su- partes de um aplicativo distribuído porta tanto um monitor quanto qualque precisou de esforço de adaptação quer dispositivo USB conectado ao em relação ao aplicativo original, aparelho. Para dispositivos seriais, a que era executado em PCs comuns. Digi utiliza sua tecnologia patente- Funções como interfaces gráficas e ada RealPort® para permitir que o gerenciamento de dispositivos locais I/O serial também atravesse a rede existem no thin client, enquanto o até o aplicativo baseado no servidor. resto dos aplicativos rodam no serA combinação de VNC e RealPort vidor. Essa abordagem distribuída permite que o aplicativo interaja com requer tanto modificações no aplicadispositivos periféricos por meio da tivo original quanto a permanência rede, exatamente da forma como o do sistema operacional e de partes fariam localmente no servidor. do aplicativo em cada thin client, Uma vantagem significativa da reduzindo as vantagens quanto ao arquitetura zero-client é que os apli- custo de propriedade desses aparelhos. cativos que precisavam ser executados em PCs clientes dedicados já podem rodar num servidor centralizado, sem qualquer modificação. Como a tela e os dispositivos periféricos parecem locais para o servidor, o aplicativo nem mesmo percebe que o I/O desses dispositivos está, na verdade, sendo passado pela rede. Enquanto alguns thin clients funcionam de forma semelhante, frequen- Figura 1 O Digi Port Authority Remote encontra o aparelho ConnectPort Display pela rede. temente eles são mini-PCs 51

ANÁLISE | Thin Client

O passo 1, instalação e ativação do servidor VNC, é muito simples em qualquer distribuição Linux – inclusive com assistentes gráficos de configuração desse recurso – tanto em ambiente KDE quanto Gnome. Porém, é importante lembrar-se de permitir a passagem Figura 2 A aba Outline mostra a estrutura do código, listando diversas classes, funções e declarade conexões VNC ções de variáveis. Instalar um dispositivo zero-client através do firewall como o ConnectPort Display da Digi do servidor. entrada e coleta de dados, quiosques é fácil. Basta conectar o dispositivo O passo 2, instalação do driver Re- e monitores de status. à energia elétrica, conectando, a se- alPort, serve para fornecer um endereAssim como ocorre com todos os guir, o monitor e os periféricos USB çamento tty estático dentro do sistema drivers para Linux, a instalação do e seriais. Por último, o aparelho é operacional para portas seriais físicas RealPort requer várias etapas. A Digi específicas no ConnectPort Display. O disponibiliza o driver em formatos conectado à rede Ethernet. A comunicação do servidor zero- sistema operacional então obtém total RPM e tgz. O procedimento é detaclient com os clientes exige apenas controle das portas e pode especificar lhado nas notas incluídas no pacote. parâmetros através do /etc/inittab ou A versão mais recente do driver foi três passos: 1 Instalar e ativar o servidor VNC por chamadas do ioctl para portas se- lançada em outubro de 2007, com no servidor; riais padrão. Isso significa que aplicati- a revisão N. O driver RealPort mais 2 Se forem usados dispositivos se- vos atuais, criados para comunicarem-se atual sempre pode ser baixado a parriais, instalar o driver RealPort; com portas seriais, podem fazê-lo sem tir de [1]. A instalação do driver é 3 Configurar os vários parâmetros necessidade de alterações, permitindo a descrita nas notas de lançamento[2]. do zero-client através de uma migração fácil de aplicativos que fazem O terceiro e último passo da conuso intenso de I/O serial, como POS, figuração do zero-client, configurar o simples interface web; ConnectPort Display, é feito com as Digi discovery tools, distribuídas pela empresa, que permitem que o dispositivo receba um endereço IP na rede. As ferramentas são disponibilizadas para Windows, Linux e várias versões de Unix. Quando o dispositivo recebe um IP, basta clicar no botão Connect para visualizar a interface do navegador do dispositivo (figura 1). Com um clique em Configure, o administrador se conecta ao ConnectPort Display. A aba Remote Access deve ser configurada de acordo com a figura 2, informando como servidor VNC o IP do servidor Linux e verificando se o número da porta está correto para a implementação do VNC instalado no servidor. Depois disso, o usuário do cliente Figura 3 Tela de entrada conforme vista no ConnectPort Display. zero-client já poderá usar sua sessão

Como o zero-client é um dispositivo focado em I/O, e não em ser um mini-PC, seu suporte e seu gerenciamento são muito mais simples e com custo inferior. Praticamente não há necessidade da manutenção do sistema operacional encontrado em thin clients mais comuns, assim como manutenção de aplicativos, pois estes rodam sem modificações no servidor. E o gerenciamento de dispositivos zero-client é tão simples quanto o de qualquer dispositivo periférico.

Instalação

http://www.linuxmagazine.com.br

Thin Client | ANÁLISE

remota. No Open Suse, distribuição instalada no servidor usado na confecção deste artigo, o VNC está vinculado ao KDM, e então o usuário do cliente verá uma tela como a da figura 3. Em outras distribuições Linux, o VNC pode ser iniciado após o contexto de login do usuário; nesses casos, deverão ser configuradas senhas para os usuários que farão uso do servidor.

Linux versus Windows

Sistemas operacionais multiusuário como o Linux são perfeitos para múltiplos aplicativos rodando num único servidor com múltiplos usuários ou interfaces de dispositivos. Contudo, a situação no Windows é bem diferente. Muitos projetos atuais de thin clients são feitos para uso em ambientes Windows mono-usuário, o que requer grande complexidade por parte da arquitetura do software servidor. A arquitetura do zero-client é simplesmente projetada para oferecer múltiplas interfaces de usuário em sistemas Linux multiusuário, sem necessidade de qualquer middleware para contornar deficiências do sistema.

Configuração e gerenciamento Como os zero-clients são, em essência, apenas dispositivos de I/O, criar toda uma variedade de configurações de portas em hardware também é muito fácil. A Digi atualmente tem várias configurações de seu ConnectPort Display e acrescentará várias configurações de porta no futuro. A centralização do zero-client em I/O também permite o uso de outras ferramentas igualmente focadas, como o Connectware Manager, também da Digi. Esse software pode ser instalado diretamente no servidor do aplicativo, num servidor separado no mesmo local ou num servidor remoto de suporte que acessa dispositivos através de qualquer rede IP. Essa ferramenta de gerenciamento oferece muitas fun-

Linux Magazine #71 | Outubro de 2010

Figura 4 Interface do Connectware Manager para gerenciar múltiplos aparelhos ConnectPort Display.

ções comuns, tais como alterações de configuração e atualizações de firmware, para um ou cem dispositivos, sejam locais ou remotos, usando o recurso de agrupamento. Tarefas de gerenciamento podem até mesmo ser automatizadas, usando uma função de agendamento para grupos particulares de dispositivos. O monitoramento de dispositivos também é fornecido de forma embutida, oferecendo estatísticas e relatórios. O software emite ainda alertas de problemas para técnicos de suporte. A interface de gerenciamento é simples e feita em Java. Na figura 4 vemos várias unidades zero-client ConnectPort Display sendo monitoradas remotamente

através da rede, a partir de um local central. É interessante o fato de que o Connectware Manager é capaz até de gerenciar centralizadamente dispositivos com IPs privados localizados atrás de firewalls.

Conclusão

Tanto thin clients quanto zero-clients oferecem vantagens significativas de custo de propriedade, quando comparados com PCs clientes padrão. Essas vantagens são visíveis tanto imediatamente quanto a longo prazo. A arquitetura zero-client oferece vantagens adicionais em relação à compatibilidade e suporte de software, além de flexibilidade de configuração e gerenciamento. n

Mais informações [1] Download do driver RealPort: http://ftp.digi.com/ [2] Notas de lançamento do driver RealPort: http://ftp1.digi.com/support/driver/93000359_n.txt/

Sobre o autor Jim Emery é gerente de produto do ConnectPort Display, e Ben Tucker é o engenheiro-chefe de vendas do ConnectPort Display da Digi International.

Gostou do artigo? Queremos ouvir sua opinião. Fale conosco em cartas@linuxmagazine.com.br Este artigo no nosso site: http://lnm.com.br/article/4001

Escritórios remotos

ANÁLISE

Remoto, mas presente A melhoria da continuidade dos negócios para escritórios remotos é crítica para grande parte das empresas. por Marco Mendes e Wanda Rosalino

ew B Matth

uedas de rede e interrupções relacionadas aos serviços são responsáveis por perdas significativas de produtividade e receita. Tradicionalmente, as organizações têm implantado infraestruturas redundantes em locais remotos para garantir a estabilidade da rede e dos sistemas. Atualmente, as empresas consideram se é possível justificar o custo da redundância completa de infraestrutura entre vários locais para fins de melhoria da continuidade dos negócios. Impulsionadas pelo surgimento das tecnologias de gerenciamento remoto baseadas em IP, as empresas com escritórios remotos vêm cada vez mais mudando para soluções econômicas de gerenciamento centralizado de TI. Apesar de impressionarem, essas soluções não estão livres de riscos. As soluções de acesso baseadas em IP (também chamadas

o wd e n

.sxc.h - www

de soluções in-band) dependem da Internet para o acesso remoto à infraestrutura. Um caminho alternativo, ou o acesso out-of-band, aos dispositivos dentro da infraestrutura de TI é necessário caso o acesso à Internet fique indisponível por algum motivo.

Custos de vulnerabilidades Hoje em dia as empresas dependem e contam com a disponibilidade 24/7 dos sistemas. Apesar de a disponibilidade do sistema ser somente um dos fatores que contribuem para a continuidade dos negócios, ela está entre os fatores mais críticos. Considerando o cenário de negócios cada vez mais dependente de TI, uma interrupção na disponibilidade do sistema pode resultar em graves desdobramentos, incluindo:

➧ Perda de produtividade. Na sua forma mais simples, a perda de produtividade é o produto do número de horas produtivas do trabalhador perdidas em uma parada pelo salário por hora. Cálculos mais sofisticados medem o impacto financeiro da perda de produtividade (por exemplo, lucros cessantes do trabalho que teria sido produzido durante a parada), ou subtraem o valor relativo do trabalho alternativo realizado durante a parada da base de cálculo; ➧ Custo de mão‑de‑obra adicio‑ nal. Esse custo inclui terceirização de TI, horas extras de todo o pessoal afetado, transporte de funcionários de TI para o local remoto ou transporte de funcionários remotos para um local alternativo, além do custo

http://www.linuxmagazine.com.br

Escritórios remotos | ANÁLISE

Tabela 1: Os custos de parada e de degradação são significativos nas filiais Setor

Nº Médio de filiais

Paradas Horas / ano

Degradações Horas / ano

Perda Média de Receita

Perda Média de Produtividade

212

719

461

$56 M

$ 165 M

Saúde

180

213

$17 M

$ 25 M

Transporte

101

172

126

$ 14 M

$ 18 M

Manufatura

159

393

373

$ 80 M

$ 74 M

Varejo

174

322

196

$ 18 M

$ 23 M

Financeiro

de outros projetos em decorrência da realocação da equipe de TI durante a parada; ➧ Perdas dos negócios em curto prazo. Elas incluem todas as perdas das receitas de vendas ou serviços no escritório remoto durante a parada; ➧ Perdas dos negócios em lon‑ go prazo. Essa é uma estimativa dos custos de “abandono” dos clientes que pode ocorrer como resultado de uma parada. Esses custos são específicos de cada setor e empresa, de forma que os gerentes de TI deverão examinar as paradas anteriores em sua empresa ou setor para efetuar as estimativas, se possível. As perdas dos negócios em longo prazo são particularmente importantes no caso de empresas de commodities sem bens físicos, como os serviços financeiros; ➧ Custos de reparação. Estes incluem multas, processos e honorários legais incidentes como resultado de uma parada, como infrações a acordos de nível de serviço (SLA), violações de política de privacidade e não conformidade com as regulamentações. Os custos de reparação também podem incluir todos os custos de gerenciamento de crises e publicidade, visando à restauração da confiança dos consumidores ou dos parceiros.

Linux Magazine #71 | Outubro de 2010

Métodos comuns de melhoria Tradicionalmente, os escritórios remotos vêm melhorando a resiliência de suas redes por meio da redundância de hardware e soluções de gerenciamento in-band. Uma das formas mais simples de proteção contra falhas de hardware é a localização de becapes de hardware crítico no local. Para algumas classes de hardware, de forma mais notável os discos rígidos, essa estratégia funciona bem. Os discos rígidos são baratos e têm padrões consolidados, como RAID, que automatizam a manutenção e o contorno de falhas (failover) das unidades de becape. Para outras classes de hardware mais complexas e onerosas, a redundância pode ser impraticável. Na ausência de controladores RAID ou seus equivalentes, a manutenção de configurações espelhadas de hardware requer administradores para configurar vários dispositivos com configurações, patches e addons idênticos. Este custo indireto é difícil de justificar em um escritório remoto com uma equipe de TI já reduzida. O hardware não substitui a necessidade da equipe humana. Mesmo no caso de um becape completo no local, ele requer que um membro da equipe de TI efetue a troca de peças. Além disso, o hardware duplicado não pode ajudar o escritório central a diagnosticar problemas

decorrentes de configuração das aplicações ou de conectividade. A maioria das grandes empresas atualiza seus contratos de suporte para proporcionar substituição rápida de hardware oneroso e crítico; porém, mesmo esses contratos requerem que a equipe local de TI efetue o diagnóstico do problema antes que o fornecedor envie uma substituição.

Gerenciamento in-band Os administradores de TI normalmente monitoram a infraestrutura dos escritórios remotos utilizando soluções de gerenciamento com conectividade IP. Esse tipo de software assume várias formas, incluindo servidores de terminais virtuais, sessões telnet ou consoles baseados em navegador web. Alguns fornecedores de servidores oferecem placas de hardware de gerenciamento embarcadas em seus sistemas, as quais fornecem informações detalhadas sobre as variáveis de ambiente e opções de configuração do dispositivo em um console customizado. Os sistemas com conectividade IP são conhecidos como in-band, pois requerem uma rede funcionando de forma apropriada (normalmente uma rede baseada em IP, como a Internet ou uma WAN). Se a conexão de rede entre o administrador e um dispositivo remoto apresentar falha (isto é,

ANÁLISE | Escritórios remotos

ficar “fora da banda”), a aplicação ficará inutilizada até a restauração da conexão de rede.

Gerenciamento out-of-band Do ponto de vista da continuidade dos negócios, os sistemas de gerenciamento in-band apresentam um problema significativo — eles falham exatamente quando são mais necessários. Se o acesso à rede estiver indisponível em decorrência de uma parada nos serviços, mau funcionamento de roteadores ou outras interrupções de serviços, o acesso in-band não funcionará. Para resolver esse problema, os fornecedores de tecnologia criaram uma nova classe de ferramentas de gerenciamento out-of-band. Diferentemente das soluções in-band estritamente baseadas em conectividade IP, as ferramentas out-of-band oferecem um caminho secundário ao local remoto para ser utilizado quando a rede primária tem problemas. Considere o exemplo a seguir: ocorreu uma falha na conexão de rede a um escritório remoto e os funcionários remotos não poderão trabalhar até que ela seja restaurada. Os administradores da rede não podem utilizar ferramentas in-band para avaliar ou reparar a situação. Sem nenhuma visibilidade ao local remoto e pouca idéia da causa do problema, os administradores são forçados a enviar o pessoal interno até o local, contratar prestadores de serviço onerosos para diagnóstico do problema ou confiar em procedimento de orientação passo a passo por telefone a uma equipe não técnica. A tecnologia out-of-band altera este cenário de forma significativa, permitindo que os administradores de rede disquem para um switch remoto de teclado-vídeo-mouse (KVM) ou serial, para visualizar as telas dos dispositivos inoperantes e diagnosticar os problemas. Com o gerenciamento

remoto de energia, os administradores podem até efetuar reinicializações do hardware dos sistemas, muitas vezes restaurando a funcionalidade total, sem deixar o escritório central. Se os problemas requerem a equipe no local, o escritório central pode enviar o pessoal correto para o problema em questão, com base no diagnóstico remoto, economizando dinheiro e tempo e retornando os trabalhadores mais rapidamente às suas funções. Normalmente, o gerenciamento out-of-band requer um servidor de console serial no local remoto. Ao se conectar aos ativos de TI do local remoto (por exemplo, roteadores, switches e outros dispositivos), o console serial pode ser acessado de forma segura por meio de conexão discada sobre o RTP (Real Time Transport Protocol ou Protocolo de Transporte em Tempo Real). Para mais detalhes veja a tabela 1. Em outras palavras, se o ISP (Internet Service Provider ou Provedor de Serviço de Internet) estiver com problemas de queda de rede, o local remoto ainda poderá ser acessado via conexão discada. O acesso seguro out-of-band via discagem a um servidor de console serial assegura que os dispositivos conectados em rede estejam sempre acessíveis, mesmo em caso de perda de conectividade. Mesmo com a rede fora do ar, os administradores poderão acessar as soluções de gerenciamento fora da banda por meio de um caminho alternativo, como a discagem. Em complementação às soluções de gerenciamento remoto, a funcio-

nalidade de acesso fora da banda oferece acesso mais robusto aos ativos de infraestrutura de TI. Os custos operacionais são reduzidos e a necessidade de redundância de hardware é minimizada.

Melhorias crescentes

Os produtos de gerenciamento out-of-band oferecem controle e reparo centralizado para a infraestrutura local e remota de TI, mesmo em caso de perda de conectividade ou dispositivos inoperantes. A porta console serial é o único meio de acesso out-of-band independente de plataforma que consegue conectar todos os equipamentos em um escritório remoto. Quando utilizada em conjunto com soluções de gerenciamento complementares, a continuidade dos negócios melhora de forma significativa.

Switches KVM

Há switches KVM sobre IP que oferecem controle da BIOS de todos os servidores e dispositivos seriais conectados no datacenter. Esses switches KVM permitem que os administradores gerenciem e liguem/desliguem de forma remota os dispositivos conectados. O switch permite acesso out-of-band através de uma porta que pode estar conectada a um modem. Isto permitirá o acesso ao switch quando a conexão IP não estiver operacional. Os administradores de TI podem utilizar switches KVM para gerenciar datacenters e filiais de forma remota, como se estivessem presentes em cada local. Isto reduzirá os tempos de parada, fornecendo acesso e controle fácil a qualquer servidor ou dispositivo conectado. n

Gostou do artigo? Queremos ouvir sua opinião. Fale conosco em cartas@linuxmagazine.com.br Este artigo no nosso site: http://lnm.com.br/article/4002

http://www.linuxmagazine.com.br

Tivoli e Linux: Gerenciamento de Infraestrutura de Redes e Servidores

ANÁLISE

A multiplicidade do Tivoli Há tempos a IBM vem investindo pesadamente em Linux, não apenas no desenvolvimento de aplicações e na inclusão desse sistema operacional em suas soluções em ambientes distribuídos, como também no ambiente do mainframe. A suíte Tivoli é um excelente exemplo do que já foi feito nessas três linhas de investimentos. por Marcos Alves e Roberto Nozaki

Davide Guglielmo – www.sxc.hu

o trabalhar pesadamente no desenvolvimento de soluções e ferramentas para Linux, tanto em ambientes distribuídos quanto em mainframes, a IBM entende que é possível combinar a escalabilidade e a confiabilidade dos servidores de mainframe com a flexibilidade e os padrões abertos de Linux. Na IBM isto se reflete em uma linha chamada zLinux, ou o Linux que roda no mainframe. Mas, independentemente da plataforma, o investimento é intenso também no gerenciamento de infraestruturas de servidores e redes baseadas em Linux. Dentro da IBM, a iniciativa de ITSM (IT Service Management) engloba a família Tivoli de produtos, que vem sendo ampliada através de dois grandes caminhos: 1 Desenvolvimento interno: a IBM investe bilhões por ano em pesquisa e desenvolvimento, e detém o recorde de registro de patentes, ano após ano (foram 3.621 nos EUA, em 2006);

Linux Magazine #71 | Outubro de 2010

2 Aquisições de empresas também focadas em gerenciamento, como Candle, Cyanea, Micromuse. Nessas ocasiões são incorporados os “cérebros” dessas companhias, o que redunda em evolução dos produtos da própria IBM. Esses fatores resultam em um leque bastante amplo de produtos, que, no caso específico do Tivoli em ambiente Linux, contam com ferramentas para controle de autenticação e autorização, becape, entre outros, passando por gerenciamento dos próprios servidores e aplicações e redes, e culminando no gerenciamento de linhas de serviço (veja no quadro 1). Este artigo se concentra nas soluções Tivoli para as seguintes áreas: 1 Gerenciamento de servidores e aplicações: Tivoli Monitoring e ITCAM; 2 Gerenciamento de redes: Tivoli Network Manager (ex-Netcool/ Precision);

3 Gerenciamento de eventos: Tivoli Netcool/OMNIbus; 4 CMDB.

Servidores e aplicações Dentro da família Tivoli, o ITM (IBM Tivoli Monitoring) é o responsável pelo gerenciamento de servidores e aplicações em rede, nas diversas plataformas do ambiente distribuído em que atua (Linux, outros Unix, Windows). No mainframe, a família mantém o nome OMEGAMON, herdado quando a IBM adquiriu a empresa Candle, em 2004. O ITM 6.1 no ambiente distribuído também é fruto desta incorporação, e possui monitores para recursos do sistema operacional (como uso de CPU, memória, disco, processos), aplicações (como SAP, Siebel, Lotus Domino, Exchange) e bancos de dados (DB2, Oracle, MS-SQL, Sybase). Os dados coletados a partir destas monitorações são armazenados 57

ANÁLISE | Tivoli

Quadro 1: Produtos IBM Tivoli para gerenciamento em Linux IBM Tivoli Access Manager for e-business

Atua como coordenador central das funções de autenticação e autorização para aplicações (sejam elas web ou não).

IBM Tivoli Access Manager for Operating Systems

Protege os recursos de aplicações e sistemas operacionais endereçando vulnerabilidades relacionadas com o uso de contas de superusuário em ambientes UNIX/Linux.

IBM Tivoli Composite Application Manager for Response Time Tracking

Uma solução para gerenciamento de transações fim-a-fim capaz de, proativamente, reconhecer, isolar e resolver problemas de tempo de resposta para usuários finais.

IBM Tivoli Configuration Manager

Solução integrada para distribuição de software e para inventário de configurações de software e hardware nas empresas.

IBM Tivoli Enterprise Console

Correlaciona eventos de servidores, redes e e-business, para rapidamente identificar a causa raiz de problemas em ambiente de TI.

IBM Tivoli Monitoring

Gerencia de forma pró-ativa a saúde e a disponibilidade da infraestrutura de TI, fim-afim, através de ambientes distribuídos e no mainframe.

IBM Tivoli Monitoring Express

Uma versão “light” do IBM Tivoli Monitoring, voltada para pequenas e médias empresas.

IBM Tivoli Monitoring for Microsoft .NET

Monitora e garante disponibilidade e desempenho ao ambiente .NET da Microsoft.

IBM Tivoli Network Manager

Gerencia recursos de redes nas camadas OSI 2 e 3 da rede.

IBM Tivoli OMEGAMON XE for Linux on zSeries

Gerencia o desempenho e a disponibilidade do sistema operacional Linux nas plataformas mainframe e distribuídas (OS/390, zSeries e Intel).

IBM Tivoli OMEGAMON XE for WebSphere Application Server for Linux on zSeries Um monitor especializado em WebSphere para Linux.

IBM Tivoli Risk Manager

Simplifica em um único console os eventos e alertas gerados por diversos produtos antes desconectados, para gerenciar incidentes de segurança e vulnerabilidades.

IBM Tivoli Service Level Advisor

Viabiliza o gerenciamento de nível de Serviço, para que seja possível alinhar os serviços entregues pela sua empresa com as necessidades de seus clientes.

IBM Tivoli Storage Manager

Automatiza funções de becape e restauração de becape, suportando uma ampla gama de plataformas e dispositivos de armazenamento.

IBM Tivoli Storage Manager for Databases

Protege bancos de dados Informix, Oracle e Microsoft® SQL.

IBM Tivoli System Automation for Multiplatforms

Provê solução de alta disponibilidade para aplicações e middlewares de missão crítica em Linux, AIX e plataformas zLinux.

IBM Tivoli Workload Scheduler

Automatiza e controla o fluxo de trabalho por meio de toda infraestrutura de TI da empresa.

pelo ITM em um banco de dados, e podem ser visualizados em tempo real através do console web do TEP (Tivoli Enterprise Portal) ou, por meio do acesso a históricos, através do TDW (Tivoli Data Warehouse). Um exemplo do console do TEP é mostrado na figura 1. Este console também é utilizado para definir thresholds (valor mínimo de um parâmetro utilizado para ativar um dispositivo ou ação) de monitoração, assim como ações automáticas a serem executadas quando um threshold é ultrapassado. Para exemplificar, definimos que, quando um determinado disco de um certo servidor atingir 80% de utilização, a ação automática executada será a remoção dos arquivos no diretório temporário. Além disso, caso a utilização ultrapasse 90%, o pager do analista de suporte é acionado e um ticket é automaticamente aberto no sistema de help desk da empresa. Com isso, ganha-se em pró-atividade e evita-se, posteriormente, maiores “dores de cabeça”, já que, em geral, o problema tem consequências mais sérias e custa mais caro para ser diagnosticado e resolvido, sobretudo quando uma aplicação importante pára de funcionar por falta de espaço em disco. No caso de recursos para os quais não existe um monitor out-of-the-box, é possível ainda utilizar o agente universal do ITM, bastante customizável e capaz de capturar seus dados via API, arquivos de log, ODBC, HTTP, SNMP, scripts, sockets, portas TCP, entre outras opções. Os dados capturados dessa forma podem também ser monitorados para disparar ações corretivas, ou visualizados em relatórios no TEP e no TDW. Usuários podem criar e compartilhar monitores ou scripts para customização do agente universal no site da IBM/ OPAL [1]. Mas, para haver um gerenciamento efetivo da saúde de uma aplicação,

http://www.linuxmagazine.com.br

Tivoli | ANÁLISE

Figura 1 Console do TEP (Tivoli Enterprise Portal). não basta gerenciar os recursos dos quais ela depende. É necessário, de alguma forma, gerenciar também a experiência do usuário, inclusive com testes fim-a-fim simulando um usuário real. Para atender a esta necessidade, a Tivoli conta com a família ITCAM (IBM Tivoli Composite Application Management). Por definição, aplicações compostas são todas aquelas que permeiam mais de um ambiente ou

sistema operacional, ou que se utilizam de múltiplos recursos existentes na infraestrutura da empresa, como servidores web, bancos de dados, servidores de aplicações ou mesmo o mainframe. Há módulos ITCAM prontos para gerenciar servidores de aplicação WebSphere ou outros servidores J2EE, como WebLogic, JBoss, Oracle, SAP NetWeaver e Tomcat. Esse geren-

ciador permite que se faça monitoramento e diagnósticos detalhados destes servidores, e pode utilizar a mesma infraestrutura do TEP, que atua como console unificado para as funções de monitoração. O ITCAM possui também monitores no mainframe para CICS e IMS, uma configuração muito comum em aplicações bancárias. Para prover a capacidade de gerenciamento fim-a-fim, há também o ITCAM para RTT (Response Time Tracking), que nos permite monitorar o tempo de resposta a partir da máquina do usuário final, seja de forma robótica (um teste é executado periodicamente, independentemente de haver alguém usando a máquina ou por amostras reais (à medida que um usuário real efetua as transações). É possível gravar uma transação para agendar sua reprodução nos testes, e podem ser monitoradas tanto aplicações com interface web como aplicações Windows. Podemos definir thresholds ideais para os tempo de respostas, e solicitar a geração de alarmes quando estes tempos estiverem fora do desempenho desejado. E mais: os dados coletados das transações do usuário podem ser usados pela equipe de desenvolvimento para localizar os gargalos da aplicação.

Gerenciamento de Redes

Figura 2 O ITNM mostrando a causa raiz de um problema de rede.

Linux Magazine #71 | Outubro de 2010

Até cerca de um ano e meio atrás, a ferramenta para descoberta e gerenciamento de redes da Tivoli em ambiente distribuído era o NetView, que por sua vez foi desenvolvido a partir de uma versão mais antiga do HP/OpenView. Com a aquisição da Micromuse, em fevereiro de 2006, a IBM incorporou o produto Netcool/ Precision, que agora é o carro-chefe da IBM para este tipo de gerenciamento, e passou a se chamar IBM Tivoli Network Manager (ITNM). É neste produto que o time de de59

ANÁLISE | Tivoli

senvolvimento está focado, ficando o NetView voltado para ambientes menores e menos complexos. O caminho natural é que novos usuários comecem diretamente com o ITNM, e que os antigos usuários de NetView migrem pouco a pouco seus ambientes para ITNM. É bastante comum utilizarmos o ITNM rodando em Linux, desde simples provas de conceito, onde demonstramos as funcionalidades da ferramenta, até a implementação de grandes projetos, com literalmente centenas de milhares de elementos sendo gerenciados. O ITNM é um produto de concepção mais moderna que seus antecessores, e foi amadurecido em ambientes extremamente exigentes: empresas de telecomunicações no mundo todo, que o utilizam para monitorar redes altamente complexas. A IBM percebeu que as características do ITNM seriam úteis não apenas neste tipo de empresa, mas também em qualquer empresa de TI que tivesse de gerenciar múltiplas tecnologias de rede, com centenas de milhares de elementos. O ITNM é capaz de descobrir e monitorar redes nos níveis 2 e 3 da camada OSI (enlace e rede), suportan-

do tecnologias como MPLS, OSPF, SNMPv1/2/3, ATM, Frame Relay, CDP, HSRP, VLAN e NAT estático. Um ponto forte desta ferramenta é a escalabilidade: com apenas um servidor de ITNM, pode-se gerenciar até 250.000 elementos (considerando como elemento uma interface de rede, uma VLAN ou um servidor, por exemplo). E uma arquitetura de ITNM pode combinar mais servidores ITNM, monitorando mais elementos ainda. Uma vez descobertos os elementos de rede, o ITNM utiliza algoritmos pré-definidos para estabelecer a relação entre estes objetos, alimentando um banco de dados interno com a topologia da rede. Isto permite mapear “quem” está ligado a “quem”, e de que forma (seja como um caminho único por um roteador ou por caminhos redundantes). Este mapeamento da topologia permite ao ITNM fazer algo além em relação a outras ferramentas similares: a análise de causa raiz (RCA, em inglês). Um exemplo disso pode ser visto na figura 2. Em um primeiro momento, todos os dispositivos afetados são mostrados como eventos críticos (ficariam em vermelho na lista de eventos e no mapa de topologia). Em alguns segundos, porém, o ITNM detecta que diversos elementos estão inacessíveis em função da falha em um dispositivo do qual todos dependem. Imediatamente, apenas o dispositivo causador do problema permanece na cor vermelha, e os demais são mostrados na cor púrpura, indicando-os como sintomas de uma causa em comum. Assim, a operação da rede pode Figura 3: Imagem do status da rede e eventos no Netcool/WebTop. atuar diretamente no 60

problema real, em vez de procurar entre inúmeros problemas. Uma característica que os fãs do Linux provavelmente vão apreciar é o ITNM ser uma ferramenta bastante aberta, e portanto altamente configurável. Modificando os scripts shell e Perl que fazem parte do produto, é possível configurar desde o discovery (caso você possua elementos incomuns em sua rede), até a forma como os elementos serão “costurados” na topologia, além da maneira como os elementos serão monitorados. Os DBs que contêm todas estas informações e parâmetros são abertos, podendo ser visualizados e até mesmo refinados pelos administradores mais experientes.

Gerenciamento de eventos

A coleta, consolidação e correlação dos eventos de falha é efetuada pelos produtos Netcool/OMNIbus, também incorporados com a aquisição da Micromuse. Assim como o ITNM, estes produtos amadureceram no ambiente de empresas de telecomunicações, sendo muito comum observá-los nos NOCs (sigla em inglês para Centro de Operações de Redes) destas operadoras. De fato, a totalidade das vinte maiores empresas deste ramo no mundo projetam consoles do Netcool em seus telões, nas mesas dos operadores da rede e também dos executivos. Hoje o seu uso não se restringe às empresas de telecomunicação, estando também presente em bancos, órgãos de defesa e indústrias. O Netcool/WebTop acrescenta ao OMNIbus a funcionalidade de visualização de eventos, mapas e gráficos via web, exemplificada na figura 3. O OMNIbus captura os eventos de falhas utilizando suas mais de 300 probes – softwares especializados em coletar eventos das mais variadas fontes, como: arquivos de log, bancos de dados, elementos

http://www.linuxmagazine.com.br

Tivoli | ANÁLISE

de rede que enviam traps SNMP, PABX, portas seriais, ou até mesmo outros gerenciadores de rede. As probes são desenvolvidas em parceria com os próprios fabricantes dos equipamentos monitorados e possuem arquivos de regras que permitem selecionar quais eventos serão enviados para o Netcool, através de filtros (expressões regulares). Uma vez coletados, os eventos são concentrados no ObjectServer, peça central do OMNIbus, onde são eliminadas as duplicidades (mesmo tipo de problema para o mesmo elemento). O ObjectServer é um banco de dados residente em memória, construído para tratar grandes volumes de eventos (dezenas de milhões de eventos por dia) com alta performance e escalabilidade. O ObjectServer automaticamente correlaciona eventos de problema com eventos que indicam a resolução do mesmo problema. Por exemplo, quando da chegada de um evento de Node Up para um dispositivo para o qual havia sido gerado um Node Down anteriormente, ambos os eventos são marcados como resolvidos e eliminados da lista dos operadores. Esta automação é genérica e pode ser aplicada a qualquer par de eventos problema/resolução, bastando configurar as probes (o que já é feito por padrão nas probes padrão). Assim, os operadores da rede podem se concentrar apenas nos eventos que ainda requerem sua atenção. Como o ObjectServer é um banco de dados relacional, basta ter um bom conhecimento de SQL para criar ou adaptar as automações. Projetos de Netcool em ambientes complexos são geralmente rápidos por não exigirem conhecimentos específicos de programação em alguma linguagem obscura. Outras automações (como a execução de scripts) podem ser disparadas por tempo ou pela chegada de eventos definidos pelo adminis-

Linux Magazine #71 | Outubro de 2010

trador, minimizando a necessidade de intervenções manuais por parte dos operadores da rede.

CMDB

Você já se deparou com uma solicitação de mudança, como fazer um upgrade em um roteador ou em um servidor, ou tirar o cabo de rede do switch para liberação de um ponto para uma instalação emergencial? E você então prontamente atende à solicitação, mas de repente o telefone do departamento não para de tocar, com reclamações sobre uma filial que parou de funcionar, ou uma aplicação ou um serviço que estão com problemas depois “daquela” mudança? Imagine como seria se você possuísse uma forma de, antes da mudança, saber que o “roteador X” está ligado às redes “A, B e C” ou que o “Servidor Y” é responsável por autenticar todos os usuários do serviço de Internet Banking. É sobre esta abordagem que a IBM vem investindo fortemente em uma ferramenta capaz de realizar um discovery dos componentes de rede, sejam roteadores, switches, servidores, links, sistemas operacionais e aplicações ou banco de dados, Web, correio eletrônico,

CRM, ferramentas de gestão etc. e montar um mapa de relacionamento entre estes componentes. Ou seja, descobrir quais componentes de rede estão ligados a um determinado roteador, ou em quais portas do switches estão conectados os servidores, ou em qual servidor a aplicação X está sendo executada e a quais outros servidores ou aplicações a mesma aplicação se conecta, ou, ainda, em relação a quais ela possui uma dependência. Essa ferramenta deve ser totalmente aderente ao ITIL (Information Technology Infrastructure Library), que define as melhores práticas para a implementação de um CMDB (Configuration Manager Database), que é uma base de dados com todas as informações sobre os relacionamentos e dependências do seu ambiente de TI. Desta forma, todas as vezes em que existir uma alteração no ambiente, esta base deverá ser consultada para que se saiba exatamente o impacto desta mudança. A ferramenta capaz de montar este CMDB chama-se IBM Tivoli Application Depedency Discovery Manager, ou ITADDM, fruto da aquisição pela IBM Software Group da empresa Collation em novembro de 2005.

Figura 4 Imagem da topologia de uma aplicação. 61

ANÁLISE | Tivoli

Como funciona?

O ITADDM é uma ferramenta não intrusiva, ou seja, não necessita de agentes instalados nos componentes para que estes sejam descobertos. Para tal, a ferramenta dispõe de quatro recursos que são chamados de sensors: SNMP, sockets, scripts e usuário e senha da aplicação ou componente. Todas estas informações são configuradas para uso da ferramenta por meio de um módulo chamado Access List, com acesso permitido apenas para o administrador do ITADDM. Depois da definição da Access List deve ser definido o escopo que, no caso do ITADDM, pode ser uma faixa de endereços IP, subrrede, ou um único IP. Uma vez definido o escopo, podese iniciar o processo de discovery dos componentes, que será realizado utilizando os sensors, seja via GET SNMP, porta Sockets, scripts onde se pode definir assinaturas para que seja identificado um determinado componente (muito utilizado em caso de aplicações customizadas) e usuário e senha para acesso às informações do componente que pode ser: um sistema operacional, um banco de dados, um servidor web, roteador ou switch. Após o processo de descoberta, o ITADDM armazena os componentes encontrados bem como os relacionamentos e as dependências entre eles em um banco de dados DB2. É possível consultar estas informações através de sua interface gráfica via browser (via Internet Explorer ou Firefox). Na interface do ITADDM as informações sobre relacionamento e dependências são apresentadas em três níveis: Infraestrutura, Aplicações e Negócios (figura 4). É provida uma visão completa de como cada nível influencia ou é influenciado pelos componentes de cada um dos três níveis, permitindo comparações en62

tre os componentes e das mudanças (lógicas ou físicas) de um determinado componente em um período de tempo. Portanto, o ITADDM é uma ferramenta que responde à seguinte pergunta: “Quais são as aplicações e serviços afetados se o componente parar ou tiver sua configuração alterada?”. Com relação ao sistema operacional, o ITADDM é bem democrático, podendo ser executado em diversas plataformas, incluindo Linux em ambiente distribuído e mainframe (RedHat e Suse Linux Enterprise Server). Vale ressaltar que o ITADDM não está só – essa ferramenta tem integração total com o Tivoli Service Desk, podendo, assim, ser implementado o CCMDB (Change and Configuration Management Database).

Outro ponto importante é que o ITADDM pode ser integrado com outros fornecedores de Service Desk, preenchendo uma grande lacuna que é descobrir as dependências e relacionamentos de todos os componentes de TI.

Conclusão

A família de produtos Tivoli é uma plataforma aberta, que permite que os administradores das ferramentas as adaptem para atender as necessidades de suas empresas. Administradores Linux, habituados a ter este nível de controle nos seus sistemas operacionais, podem certamente se beneficiar desta combinação de melhores práticas e flexibilidade existente nas ferramentas de gerenciamento de infraestrutura do Tivoli. n

Mais informações [1] OPAL (IBM Tivoli Open Process Automation Library): http://www‑01.ibm.com/software/tivoli/features/opal/ [2] Linux na IBM: http://www.ibm.com/br/linux/index.phtml [3] Soluções para gerenciamento de Linux da IBM: http://www‑01. ibm.com/software/tivoli/solutions/linux/products.html/ [4] Tivoli Information Center (contém produtos para Linux e outros sistemas operacionais): http://www.ibm.com/ developerworks/wikis/display/tivolidoccentral/Home/

Sobre os autores Marcos Alves é especialista em TI e membro do IBM Tivoli World Wide SWAT Team. Possui certificação ITIL. Há 16 anos trabalha na área de Informática e há 9 anos trabalha com ferramentas de gerência de TI. Atualmente é membro do time de Software Advanced Technology da IBM Tivoli Software. Roberto Nozaki é especialista em TI no time de SWG da IBM Brasil. Trabalha há mais de 20 anos na área de TI e há 12 com soluções de gerência de redes, servidores e aplicações. É certificado em ITIL Foundations, ITM e Netcool/OMNIbus.

Gostou do artigo? Queremos ouvir sua opinião. Fale conosco em cartas@linuxmagazine.com.br Este artigo no nosso site: http://lnm.com.br/article/4003

http://www.linuxmagazine.com.br

Segurança da informação com TCP_Wrappers

SEGURANÇA

Segurança garantida Conheça o TCP_Wrapper, sistema de segurança simples e eficaz criado nos anos 90 e ultimamente esquecido pelos novos administradores de sistemas. por Marcellino Júnior

melhor maneira de impedir um cracker de explorar um determinado serviço é removê-lo completamente do seu sistema. Você pode tomar alguma medida de segurança desabilitando ou removendo serviços sem uso nos diretórios /etc/xinted.d e etc/init.d, mas talvez você queira manter esse

serviço ativo porque planeja utilizálo no futuro. Tendo em vista os serviços de que precisa, você poderá ativá-los sem comprometer a segurança do sistema, bloqueando o acesso de determinados usuários, computadores ou qualquer rede através dos arquivos hosts.allow ou hosts.deny no diretório

Tabela 1: Exemplos de comandos em /etc/hosts.allow e /etc/hosts.deny

Cliente

Descrição

.abc.com.br

Nome de domínio. Com o nome de domínio começando com um ponto (.), especifica todos os clientes do domínio.

172.16.

Endereço de IP. Garante ou impede acesso de endereços IP de numeração iniciada por 172.16.

172.16.10.0/255.255.254.0

Controla um particular grupo de endereços IP.

marcellino@station5.abc.com.br

Usuário específico do determinado computador.

/etc. Esse sistema é conhecido como TCP_Wrappers [1], e tem seu foco na proteção de serviços xinetd que

está presente em várias distribuições GNU/Linux. O TCP_Wrapper foi originalmente escrito por Wietse Zweitze Venema [2] em 1990 para monitorar atividades cracker de uma estação de trabalho UNIX do departamento de Matemática e Ciência da Computação da Universidade Eindhoven of Technology, na Holanda, e mantido até 1995. Em primeiro de junho de 2001, foi lançado sob a licença BSD. Para entender seu funcionamento, imaginemos um sistema recebendo um pedido pela rede procurando um determinado serviço; este serviço passa antes pelo TCP_Wrappers. O sistema de segurança faz o log do pedido e então confere as regras de acesso. Se não existirem regras de impedimento de um endereço IP ou de um host em particular, o

http://www.linuxmagazine.com.br

TCP_Wrapper | SEGURANÇA

TCP_Wrappers devolve o controle ao serviço. Caso exista alguma regra de impedimento, a requisição será negada. A melhor definição para o TCP_Wrappers seria a de um intermediário entre a requisição de uma conexão e o serviço.

Tabela 2: Coringas Coringa

Descrição

ALL

Significa todos os serviços ou todos os clientes, dependendo apenas do campo em que se encontra.

LOCAL

Este coringa casa com qualquer nome de host que não contenha um caractere ponto “.”, isto é, uma máquina local.

PARANOID

Casa com qualquer nome de host que não case com seu endereço. Permite, por exemplo, a liberação do serviço para a rede interna e impede que redes externas consigam requisitar serviços.

KNOWN

Qualquer host onde o nome do host e endereço do host são conhecidos ou quando o usuário é conhecido.

UNKNOWN

Qualquer host onde o nome do host e endereço do host são desconhecidos ou quando o usuário é desconhecido.

Configurações

Sua configuração é objetiva, e os arquivos principais são hosts.allow e hosts.deny. A parte operacional também é bastante simples: usuários e clientes listados em hosts.allow estão liberados para acesso; usuários e clientes listados no hosts.deny não terão acesso. Usuários e/ou clientes listados nos dois arquivos, o sistema do TCP_Wrappers irá seguir os seguintes passos: Em primeiro lugar, o sistema irá procurar no arquivo /etc/ hosts.allow. Se o TCP_Wrapper encontrar a regra correspondente, garante o acesso. O arquivo hosts.deny será ignorado. Em seguida será feita uma busca no arquivo /etc/hosts.deny. Se o TCP_Wrapper encontrar alguma regra correspondente, irá impedir o acesso. Se as regras não forem encontradas em nenhum dos dois arquivos, o acesso é automaticamente garantido ao requisitante. Podemos usar a mesma linguagem em ambos os arquivos, /etc/ hosts.allow e /etc/hosts.deny, para informar ao TCP_Wrappers quais clientes serão liberados ou impedidos de acessar os serviços e/ou dados. O formato básico – um registro por linha –, é o daemon_list : client_list. A versão mais simples para esse formato é ALL : ALL. Esta regra especifica todos os serviços e torna-a aplicável a todos os hosts em todos os endereços IP. Se você inserir essa linha em /etc/ hosts.deny, o acesso será negado para

Linux Magazine #71 | Outubro de 2010

todos os serviços. Entretanto, você pode criar um filtro mais refinado. Por exemplo, a linha a seguir em /etc/hosts.allow autoriza o cliente com endereço IP 192.168.15.5 a conectar-se ao seu sistema através do serviço OpenSSH sshd : 192.168.15.5. A mesma linha em /etc/hosts. deny, impediria o computador com aquele endereço IP conectar-se em seu sistema. Você pode especificar um número de clientes de maneiras diferentes, como mostrado na tabela 1.

Como podemos observar na tabela 2, existem tipos diferentes de co-

ringas. O coringa ALL pode ser usado para representar qualquer cliente ou serviço, o ponto (.) especifica todos os hosts com o nome de domínio ou endereço de rede IP.

Múltiplos serviços

Você pode configurar múltiplos serviços e endereços com vírgulas. Exceções são muito simples de serem criadas com o operador EXCEPT. A seguir, um exemplo de exceção no arquivo /etc/hosts.allow:

Tabela 3: Operadores do TCP_Wrappers Campo

Descrição

Endereço do cliente

Endereço do host

Informação do Cliente

Nome do processo

Nome do host cliente

Nome do host servidor

Identificação do processo

Informação do servidor

SEGURANÇA | TCP_Wrapper

#hosts.allow ALL : .abc.com.br telnetd : 192.168.15.0/255.255.255.0 EXCEPT 192.168.15.51 sshd, in.tftpd : 192.168.15.10

A primeira linha é um comentário. A linha seguinte abre os serviços para todos (ALL) os computadores do domínio abc.com.br. A outra linha abre o serviço Telnet para qualquer computador na rede 192.168.15.0, exceto o endereço IP 192.168.15.51. Os serviços SSH e FTP estão abertos somente para o computador de endereço IP 192.168.15.10. #hosts.deny ALL EXCEPT in.tftpd : .abc.com.br Telnetd : ALL EXCEPT 192.168.15.10

A primeira linha no arquivo hosts. deny é um comentário. A segunda

linha impede que todos os serviços exceto o FTP para os computadores do domínio abc.com.br. A terceira linha indica que apenas um computador, de endereço IP 192.168.15.10, tem acesso ao servidor Telnet. A última linha seria uma negação geral onde todos os outros computadores serão impedidos de acessar todos os serviços controlados pelo TCP_Wrappers, exceto o endereço IP 192.168.15.10. Você também poderá utilizar comandos externos na configuração de regras para o TCP_Wrappers com as opções twist ou spawn nos arquivos /etc/hosts.allow ou /etc/hosts.deny para ter acesso a comandos do Shell. Imagine que você precise negar uma conexão e enviar uma razão individual a quem tentou estabelecer a conexão. Essa ação poderia ser feita pela opção twist, para executar um comando ou script. Por exemplo: sshd : .xyz.com.br : twist /bin/echo Desculpe %c, acesso negado.

Outra possibilidade é utilizar a opção spawn, que diferentemente 70

do comando twist, não envia uma resposta individual a quem fez o pedido de conexão. Como exemplo, considere: ALL : .abc.com.br : spawn (/bin/echo %a da %h tentativa de acesso %d >> /var/log/conexoes. log) : deny.

Estas linhas, negam todas as tentativas de conexão do domínio *.abc.com.br.. Simultaneamente, está realizando o log do nome do host, endereço IP e o serviço que está sendo requisitado no arquivo /etc/log/conexoes.log. Para conhecer a descrição dos operadores, veja a tabela 3. Citados anteriormente, os coringas podem ser utilizados tanto na lista de serviços quanto na lista de clientes. Os coringas KNOWN, UNKNOWN e PARA‑ NOID devem ser utilizados com cautela. Um problema na resolução de nomes pode impedir que usuários legítimos tenham acesso a um serviço. Como não existe nenhum sistema de segurança perfeito, posso destacar algumas possíveis considerações (ou seriam dicas?) que precisam

ser observadas na implantação do TCP_Wrappers: » O serviço identd em um sistema remoto pode fornecer dados falsos. » Se um cracker conseguir falsificar os nomes e endereços IP, através da técnica de spoofing [3], o TCP_Wrappers não será capaz de detectá-los. Mesmo com o coringa PARANOID. » Um ataque DoS (Denial of Service) [4] pode sobrecarregar o sistema de log, dependendo da configuração implantada.

Conclusão

Para que o sistema TCP_Wrapper realmente funcione a contento, é importante que no momento da configuração dos arquivos /etc/ hosts.allow e /etc/hosts.deny sejam utilizados critérios minuciosos, pois usuários na lista de negação podem ter seu acesso totalmente bloqueado, assim como usuários indevidos podem ter total acesso ao sistema. Procure analisar cada situação no momento de criar as regras. A segurança de seu sistema depende disso! n

Mais informações [1] TCP_Wrappers ftp://ftp.porcupine.org/pub/security/index.html/ [2] Site oficial do programador Wietse Zweitze Venema http://www.porcupine.org/wietse/ [3] Técnica de spoofing: http://pt.wikipedia.org/wiki/IP_spoofing/ [4] Ataque DoS http://pt.wikipedia.org/wiki/Denial_of_Service/

Sobre o autor Marcellino Júnior é Engenheiro da Computação e atua como Analista de Segurança Sênior em grandes empresas.

Gostou do artigo? Queremos ouvir sua opinião. Fale conosco em cartas@linuxmagazine.com.br Este artigo no nosso site: http://lnm.com.br/article/4042

http://www.linuxmagazine.com.br

Soluções em Gerenciamento Out-of-band

REDES

O que há aqui dentro, o que há lá fora Neste artigo, as abordagens tradicionais de monitoramento, manutenção e restauração de ativos de TI são questionadas; e o gerenciamento out-of-band é apresentado como uma maneira mais eficiente de cortar gastos e melhorar os níveis de serviço e a produtividade. por Yula Massuda

geo okretic | skyway lee – www.sxc.hu

s infraestruturas típicas de TI, em muitas das grandes empresas de hoje, consistem de um ou múltiplos datacenters e podem incluir também locais remotos ou filiais. Em alguns casos, as grandes empresas implantam datacenters redundantes para assegurar a continuidade do negócio e fornecer uma disponibilidade de serviço de TI consistente no caso de um desastre potencial. Da perspectiva arquitetônica, os datacenters compartilham uma constituição similar, que inclui servidores, storage e aplicativos, e também uma infraestrutura de rede de hubs, roteadores, firewalls e switches. As grandes empresas também podem possuir infraestrutura em filial ou escritório remoto ligadas à rede de produção corporativa por uma rede virtual privada (VPN-Virtual Private Network) utilizando conexões de Internet ou por meio de uma conexão de rede WAN (WAN-Wide Area Network). As instalações remotas maio72

res, tais como armazéns ou grandes lojas de departamento, podem utilizar uma versão menor de um datacenter completo, com rack de servidores e infraestrutura de storage e de rede. Escritórios remotos menores podem ser limitados a um roteador, firewall e hub com conexões de rede para PCs. Seja em uma grande corporação dividida em locais múltiplos ou limitada a um único datacenter, os gerentes de TI enfrentam o mesmo desafio – fornecer o mais alto desempenho e disponibilidade possíveis a um custo mínimo. Normalmente, as grandes organizações dependem de complexos aplicativos de gerenciamento de sistema (tais como HP OpenView, IBM® Tivoli®, CA Unicenter® e BMC PATROL®) para monitorar o desempenho da rede e gerenciar o desempenho e a disponibilidade dos aplicativos. As empresas de pequeno e médio portes podem utilizar aplicativos de gerenciamento de rede

mais econômicos para gerenciar sua rede. Essas ferramentas tradicionais de gerenciamento dependem da rede de produção de TI para monitorar o desempenho e a produtividade, e funcionam efetivamente somente enquanto as conexões de rede permanecem disponíveis.

Gerenciamento de TI: local versus remoto A descrição a seguir ilustra a diferença entre gerenciamento de TI local e remoto. Se um ativo de TI perde sua conexão à rede, os aplicativos de gerenciamento de sistemas alertam o administrador de que o ativo não está mais disponível; mas, em razão de estes aplicativos dependerem da infraestrutura de rede para gerenciar os ativos, eles não podem fornecer detalhes específicos sobre o problema; podem somente informar que o ativo não está mais conectado. Como resultado, a abordagem tradi-

http://www.linuxmagazine.com.br

Out-of-band | REDES

Figura 1 Relação entre ferramentas de infraestrutura de rede e ferramentas de gerenciamento out-of-band.

cional para restauração de ativos da outra conexão diferente da conexão onde ele pode retornar à produção no menor tempo possível. As ferrarede requer a presença física de um física local. mentas de gerenciamento out-of-band técnico próximo ao ativo, indepenminimizam a necessidade de gerendentemente de onde o ativo esteja localizado, seja no datacenter ou ciamento local e de visitas ao local, em local remoto. Particularmente, reduzindo drasticamente o tempo e um técnico deve ir até o dispositivo O gerenciamento remoto de TI pode o custo operacional necessários para problemático, seja com um carrinho ser realizado pelo uso de ferramentas colocar os recursos de TI on-line node manutenção ou com um laptop, de gerenciamento out-of-band, as vamente. A relação entre a infraesconectar-se a esse ativo para diagnosti- quais fornecem caminhos alterna- trutura de rede e as ferramentas de car o problema e restaurar finalmente tivos para acesso, monitoramento gerenciamento out-of-band possui o ativo de TI à rede. Esse processo e gerenciamento remotos de ativos uma configuração típica similar à é caro, consome tempo e define o de TI por meio da infraestrutura de topologia exibida na figura 1. termo “gerenciamento local de TI”. rede. Se um ativo se tornar inativo, Um exemplo de como as ferraO gerenciamento remoto ou as ferramentas de gerenciamento mentas de gerenciamento out-of-band out-of-band permite que o adminis- out-of-band podem restaurá-lo remo- podem funcionar é apresentado na trador acesse e controle os ativos de TI tamente na infraestrutura de rede, figura 2. Um dispositivo ou servidor tanto por meio da infraestrutura de rede com conexões de rede, seriais ou modem, quanto por um caminho segregado a essa infraestrutura. Não se exige que o administrador esteja fisicamente presente. Para melhor compreensão, o gerenciamento remoto é possível a partir de centenas de quilômetros de distância ou a partir de meio metro de distância, não importando se o ativo está em um datacenter ou em um local remoto. Sendo assim, o gerenciamento remoto é obtido através de qualquer Figura 2 Exemplo de funcionamento de ferramenta out-of-band.

Ferramentas de gerenciamento

Linux Magazine #71 | Outubro de 2010

REDES | Out-of-band

Figura 3 O acesso direto ao switch permanece disponível com o uso de ferramentas out-of-band.

no datacenter torna-se inativo; a infraestrutura de rede permanece operacional. Utilizando as ferramentas de gerenciamento out-of-band e a infraestrutura de rede, o administrador acessa o ativo de TI, diagnostica o problema e, se necessário, liga e desliga o dispositivo. Em minutos, o ativo é restaurado na rede onde ele pode voltar à produção utilizando os aplicativos de gerenciamento de sistemas. Os benefícios incluem menores custos com mão-de-obra, aumento de produtividade e redução de risco. Um exemplo mais completo de como as ferramentas de gerenciamento out-of-band são essenciais para o gerenciamento remoto de TI é ilustrado na figura 3. Um switch de rede conectado a um rack de sevidores se torna inativo, perdendo sua conexão com a rede. Nesse caso, a conexão de gerenciamento out-of-band do switch permanece disponível pela infraestrutura de rede. O administrador é alertado pelo aplicativo de gerenciamento de sistemas que um switch não está mais conectado à rede. Utilizando uma ferramenta de gerenciamento out-of-band para acessar remotamente o switch, o administrador diagnostica o problema e restaura o switch e todos os ativos conectados ao switch voltam à infraestrutura de rede. 74

A seguir, há outro cenário ilustrando os benefícios das ferramentas de gerenciamento out-of-band (figura 4). Um roteador que fornece acesso à rede e à Internet para todo o site torna-se inativo. Esse roteador tem a função de prover conexão à infraestrutura de rede a todos os ativos de TI ligados à rede e também a todas as ferramentas de gerenciamento out-of-band. Assim sendo, como as ferramentas de gerenciamento out-of-band não podem ser acessadas através da infraestrutura de rede, o administrador utiliza uma conexão dial-up (discada) para ter acesso a elas. O administrador então é capaz de utilizar as ferramentas de gerenciamento out-of-band a fim de se conectar ao roteador por meio da porta serial e diagnosticar rapidamente o problema. O administrador corrige o erro e restaura o roteador e todos os seus ativos à rede. Novamente, o que exigiria horas e uma visita ao local para se corrigir aconteceu em minutos. Os benefícios são evidentes. Os gastos operacionais são reduzidos e a disponibilidade do recurso de TI aumenta. Mesmo sem sistemas redundantes instalados, os níveis de serviço são aumentados. Resumindo, as diretrizes fundamentais de TI para cortar gastos e melhorar os

níveis de serviço e a produtividade são atendidas.

Gerenciamento out-of-band A seguir há descrições das várias ferramentas de gerenciamento out-of-band. 1. O software fornece acesso consolidado, gerenciamento de mudança e gerenciamento de configuração das ferramentas de gerenciamento out-of-band diferenciadas, tais como servidores de console serial, switches KVM, dispositivos de gerenciamento de energia e gerenciadores de processadores de serviço (service processors). Também provê capacidade de gerenciar diversos ativos conectados a estas ferramentas out-of-band a partir de uma interface de visualização única consolidada. Além disso, o software de gerenciamento fornece a escalabilidade exigida para atender as demandas das grandes corporações. 2. Servidores de console serial fornecem o acesso remoto às portas de gerenciamento seriais incluídos em alguns servidores e outros ativos de rede de TI (roteadores, switches, cabos, fi-

http://www.linuxmagazine.com.br

Out-of-band | REDES

rewalls etc.) em vez de utilizar as conexões de rede. 3. Switches KVM ou Switches KVM sobre IP acessam os servidores por meio de portas de teclado, vídeo e mouse, a fim de fornecer acesso como se o administrador estivesse fisicamente presente. 4. As unidades inteligentes de distribuição de energia (IPDUs) oferecem a capacidade de ligar e desligar o equipamento remoto para controle operacional ou recuperação de falhas de software/hardware. 5. Os gerenciadores de service processors oferecem acesso consolidado e centralizado aos service processors incorporados à placa mãe do computador. Os service processors operam separadamente da CPU principal, permitindo aos administradores acessarem, monitorarem e gerenciarem os componentes de hardware dos servidores. Os gerenciadores de service processors também permitem que os administradores reiniciem os servidores caso o processador principal ou o sistema operacional esteja em atividade ou não. Intelligent Platform Management Interface (IPMI), HP Integrated Lights Out (iLO) e Sun Advanced Lights Out Management (ALOM) são exemplos de tecnologias de service processors estabelecidas.

suporte. Nesse caso, as ferramentas de gerenciamento out-of-band permitiram que a empresa reduzisse seus custos operacionais e o risco, enquanto aumentavam tanto os ativos de TI quanto a produtividade do pessoal, conforme ilustrado pelas estatísticas a seguir: ➧ 92% de decréscimo em custos com hora extra; ➧ 50% de decréscimo no tempo de implantação; ➧ 33% de acréscimo de ativos de TI por ano sem a necessidade de equipe adicional. Os custos operacionais gerais da empresa foram reduzidos uma vez que os gastos com horas extras diminuíram em 92%. O tempo necessário para implantar os ativos caiu em 50%, o que permitiu que a empresa conquistasse melhores condições competitivas, uma vez que seus concorrentes não conseguiam se equiparar a sua velocidade de implantação. Os crescimentos na produtividade de pessoal permitiram à empresa expandir os ativos de TI em 33% anualmente para mais de 100 locais, sem a necessidade de contratar pessoal adicional. Em dezesseis meses, as ferramentas de gerenciamento out-of-band pagaram seus próprios gastos por meio da diminuição dos custos operacionais e do risco e do aumento de ativos de TI e de produtividade da equipe. Claramente, a

utilização de ferramentas de gerenciamento out-of-band foi uma decisão corporativa inteligente, eficiente e com ótima relação custo-benefício.

A evolução das tecnologias Por décadas, a interface de linha de comando tem sido utilizada para gerenciamento remoto de TI. O usuário digita comandos pré-definidos e o ativo de TI responde da mesma forma com dados acionáveis em forma de texto. Todo o acesso remoto de TI a ativos de computação e de rede também utilizava essa interface. Primeiramente, os administradores utilizavam um modem inteligente através de conexão discada para acessar ativos com proteção por senha para fornecer uma forma de segurança. Quando as conexões seriais evoluíram, os servidores de terminal surgiram com a possibilidade de acessar servidores e outros ativos utilizando Telnet. Com o crescente aumento das preocupações com segurança, os fabricantes desenvolveram servidores de console seguros que utilizavam Secure Shell (SSH) para criptografar a comunicação entre o desktop do administrador de rede ou de TI e o ativo de TI acessado remotamente. Em meados dos anos 1990, os servidores Windows, que utilizavam uma interface gráfica de usuário em

Retorno do investimento Por um período de dois anos, uma empresa de telecomunicações européia utilizou uma ferramenta de gerenciamento out-of-band para implantar mais de 2 mil ativos de TI dentro de sua infraestrutura de TI existente. Essas implantações ocorreram sem aumento da equipe de

Linux Magazine #71 | Outubro de 2010

Figura 4 Acesso a infraestrutura via rota discada.

REDES | Out-of-band

vez da linha de comando, proliferaram nos datacenters corporativos. Em resposta a isso, os fabricantes passaram a oferecer switches de teclado, vídeo e mouse (KVM) que permitiam que usuários utilizassem o teclado, o monitor e o mouse da sua estação de trabalho para acessar e controlar múltiplos servidores. Mais recentemente, os switches KVM sobre IP surgiram a fim de permitir aos usuários o acesso remoto e a utilização de switches KVM em locais remotos por meio de redes IP. Consequentemente, os switches KVM sobre IP se tornaram ferramentas importantes para o gerenciamento de servidores Windows. Começando com os mainframes e mais tarde nos servidores UNIX, os fabricantes de hardware passaram a oferecer um processador de serviço (service processor) na placa-mãe do servidor com o único propósito de monitorar e fornecer acesso às funções de hardware, incluindo BIOS, temperatura da unidade, controle de energia etc., mesmo com a eventualidade do travamento do sistema operacional. Enquanto as primeiras tecnologias de service processors e protocolos relacionados eram proprietários, como o ALOM da Sun e iLO da HP/Compaq, mais recentemente Intel, HP, Dell, IBM e outros fabricantes de hardware colaboraram para desenvolver um service processor de padrão aberto chamado IPMI, que agora está incluído em muitos servidores rack mountable e blades com arquitetura x86 da Intel. Os administradores de TI então começaram a utilizar um gerenciador de service processors para acessar, monitorar e controlar os servidores. No início de 2004, surgiu o primeiro gerenciador IPMI independente de fornecedor. O desafio de muitas organizações é o fato de que elas utilizam diversas tecnologias de gerenciamento out-of-band para acessar e gerenciar uma ampla variedade de ativos de TI 76

novos e legados. Cada nova tecnologia adiciona ainda outra camada de complexidade para administradores de TI. Os executivos de TI carecem de uma tecnologia de gerenciamento que gerencie tudo em sua empresa – incluindo todos os ativos novos e legados de TI e as tecnologias de acesso remoto. A forma mais eficaz de gerenciar todas estas tecnologias é utilizar um sistema abrangente de gerenciamento out-of-band que forneça um acesso centralizado e consolidado para todas as ferramentas de gerenciamento out-of-band e os ativos de TI conectados a elas.

Segurança

Evidentemente, as ferramentas de gerenciamento out-of-band fornecem acesso poderoso aos ativos de TI. No entanto, o acesso deve ser restrito ao pessoal confiável e qualificado em TI. Qualquer ferramenta de gerenciamento out-of-band deve incluir recursos de segurança para autenticar administradores de TI e para assegurar que todas as comunicações permaneçam criptografadas e privadas. Em sistemas de gerenciamento out-of-band que fornecem uma infraestrutura de segurança à parte, adicionam-se uma camada de complexidade e um ponto de vulnerabilidade para os gerentes de TI que necessitam de ferramentas para simplificar o gerenciamento, e não para torná-lo mais difícil. De modo ideal, as ferramentas de gerenciamento out-of-band devem oferecer suporte a protocolos padrão da indústria de TI para autenticação, diretório e criptografia, permitindo

a integração com infraestruturas de segurança existentes.

Conclusão

O gerenciamento local e as visitas aos sites remotos consomem recursos humanos, tempo e dinheiro. O gerenciamento remoto ou out-of-band fornece uma maneira mais eficaz – um método eficiente, seguro e de melhor custo-benefício – para assegurar que os ativos de TI permaneçam produtivos e conectados à rede. Para atender às diretrizes da TI de cortar gastos e melhorar os níveis de serviço e a produtividade, a próxima geração de infraestrutura de TI deve incluir o gerenciamento out-of-band como um componente fundamental em sua arquitetura. Entretanto, para que o gerenciamento out-of-band seja efetivo, seus componentes devem funcionar como um sistema integrado, o qual possa ser acessado por meio de uma interface de visualização simples e consolidada, em vez de funcionar como uma outra camada de caixas gerenciadas separadamente. As ferramentas de gerenciamento out-of-band devem oferecer a possibilidade de ser integradas a uma infraestrutura de segurança existente na organização, suportando todos os protocolos e especificações de seguranças padrão do setor. Projetado e organizado corretamente, o gerenciamento out-of-band provê as capacidades de gerenciamento remoto de TI que afetam diretamente o negócio-fim da organização e trazem um rápido retorno do investimento. n

Gostou do artigo? Queremos ouvir sua opinião. Fale conosco em cartas@linuxmagazine.com.br Este artigo no nosso site: http://lnm.com.br/article/4011

http://www.linuxmagazine.com.br

SERVIÇOS

Linux.local O maior diretório de empresas que oferecem produtos, soluções e serviços em Linux e Software Livre, organizado por Estado. Sentiu falta do nome de sua empresa aqui? Entre em contato com a gente: 11 3675-2600 ou anuncios@linuxmagazine.com.br

Fornecedor de Hardware = 1 Redes e Telefonia / PBX = 2 Integrador de Soluções = 3 Literatura / Editora = 4 Fornecedor de Software = 5 Consultoria / Treinamento = 6

Empresa

Cidade

Endereço

Telefone

Web

1 2 3 4 5 6

Bahia IMTECH

Salvador

Av. Antonio Carlos Magalhaes, 846 – Edifício MaxCenter – Sala 337 – CEP 41825-000

71 4062-8688

www.imtech.com.br

Magiclink Soluções

Salvador

Rua Dr. José Peroba, 275. Ed. Metropolis Empresarial 1005, STIEP

71 2101-0200

www.magiclink.com.br

4 4

4 4 4

4 4

Ceará F13 Tecnologia

Fortaleza

Rua Padre Valdevino, 526 – Centro

Nettion Tecnologia e Segurança da Informação

Fortaleza

Av. Oliveira Paiva, 941, Cidade dos Funcionários – CEP 60822-130 85 3878-1900

85 3252-3836

www.f13.com.br

Linux Shopp

Vila Velha

Rua São Simão (Correspondência), 18 – CEP: 29113-120

27 3082-0932

www.linuxshopp.com.br

Megawork Consultoria e Sistemas

Vitória

Rua Chapot Presvot, 389 – sl 201, 202 – Praia do Canto CEP: 29055-410

27 3315-2370

www.megawork.com.br

4 4

Spirit Linux

Vitória

Rua Marins Alvarino, 150 – CEP: 29047-660

27 3227-5543

www.spiritlinux.com.br

4 4

62 3232-9333

www.3way.com.br

4 4 4

4 4

www.nettion.com.br

Espírito Santo 4 4

4 4

Goiás 3WAY Networks

Goiânia

Av. Quarta Radial,1952. Setor Pedro Ludovico – CEP.: 74830-130

Minas Gerais Instituto Online

Belo Horizonte

Av. Bias Fortes, 932, Sala 204 – CEP: 30170-011

31 3224-7920

www.institutoonline.com.br

Linux Place

Belo Horizonte

Rua do Ouro, 136, Sala 301 – Serra – CEP: 30220-000

31 3284-0575

corporate.linuxplace.com.br

4 4 4

Microhard

Belo Horizonte

Rua República da Argentina, 520 – Sion – CEP: 30315-490

31 3281-5522

www.microhard.com.br

4 4 4

4 4

TurboSite

Belo Horizonte

Rua Paraíba, 966, Sala 303 – Savassi – CEP: 30130-141

0800 702-9004

www.turbosite.com.br

4 4

iSolve

Curitiba

Av. Cândido de Abreu, 526, Cj. 1206B – CEP: 80530-000

41 252-2977

www.isolve.com.br

Mandriva Conectiva

Curitiba

Rua Tocantins, 89 – Cristo Rei – CEP: 80050-430

41 3360-2600

www.mandriva.com.br

Telway Tecnologia

Curitiba

Rua Francisco Rocha 1830/71

41 3203-0375

www.telway.com.br

81 3223-8348

www.fuctura.com.br

Paraná 4 4

4 4 4 4 4 4

Pernambuco Fuctura Tecnologia

Recife

Rua Nicarágua, 159 – Espinheiro – CEP: 52020-190

Rio de Janeiro Clavis Segurança da Informação Rio de Janeiro

Av. Rio Branco 156, 1303 – Centro – CEP: 20040-901

21 2561-0867

www.clavis.com.br

4 4

Linux Solutions Informática

Av. Presidente Vargas 962 – sala 1001

21 2526-7262

www.linuxsolutions.com.br

4 4

Rio de Janeiro

Múltipla Tecnologia da Informação Rio de Janeiro

Av. Rio Branco, 37, 14° andar – CEP: 20090-003

21 2203-2622

www.multipla-ti.com.br

NSI Training

Rio de Janeiro

Rua Araújo Porto Alegre, 71, 4º andar Centro – CEP: 20030-012

21 2220-7055

www.nsi.com.br

Open IT

Rio de Janeiro

Rua do Mercado, 34, Sl, 402 – Centro – CEP: 20010-120

21 2508-9103

www.openit.com.br

Unipi Tecnologias

Campos dos Goytacazes

Av. Alberto Torres, 303, 1ºandar – Centro – CEP: 28035-581

22 2725-1041

www.unipi.com.br

4up Soluções Corporativas

Novo Hamburgo

Pso. Calçadão Osvaldo Cruz, 54 sl. 301 CEP: 93510-015

51 3581-4383

www.4up.com.br

Definitiva Informática

Novo Hamburgo

Rua General Osório, 402 - Hamburgo Velho

51 3594 3140

www.definitiva.com.br

RedeHost Internet

Gravataí

Rua Dr. Luiz Bastos do Prado, 1505 – Conj. 301 CEP: 94010-021

51 4062 0909

www.redehost.com.br

4 4 4

Solis

Lajeado

Av. 7 de Setembro, 184, sala 401 – Bairro Moinhos CEP: 95900-000

51 3714-6653

www.solis.coop.br

4 4

4 4 4 4

Rio Grande do Sul 4 4

4 4

4 4 4 4 4

DualCon

Novo Hamburgo

Rua Joaquim Pedro Soares, 1099, Sl. 305 – Centro

51 3593-5437

www.dualcon.com.br

Datarecover

Porto Alegre

Av. Carlos Gomes, 403, Sala 908, Centro Comercial Atrium Center – Bela Vista – CEP: 90480-003

51 3018-1200

www.datarecover.com.br

LM2 Consulting

Porto Alegre

Rua Germano Petersen Junior, 101-Sl 202 – Higienópolis – CEP: 90540-140

51 3018-1007

www.lm2.com.br

4 4

Lnx-IT Informação e Tecnologia Porto Alegre

Av. Venâncio Aires, 1137 – Rio Branco – CEP: 90.040.193

51 3331-1446

www.lnx-it.inf.br

4 4

TeHospedo

Porto Alegre

Rua dos Andradas, 1234/610 – Centro – CEP: 90020-008

51 3301-1408

www.tehospedo.com.br

4 4

Propus Informática

Porto Alegre

Rua Santa Rita, 282 – CEP: 90220-220

51 3024-3568

www.propus.com.br

4 4 4

4 4

São Paulo Ws Host

Arthur Nogueira

Rua Jerere, 36 – Vista Alegre – CEP: 13280-000

19 3846-1137

www.wshost.com.br

DigiVoice

Barueri

Al. Juruá, 159, Térreo – Alphaville – CEP: 06455-010

11 4195-2557

www.digivoice.com.br

4 4 4

Dextra Sistemas

Campinas

4 4 4

Rua Antônio Paioli, 320 – Pq. das Universidades – CEP: 13086-045 19 3256-6722

www.dextra.com.br

4 4

Insigne Free Software do Brasil Campinas

Av. Andrades Neves, 1579 – Castelo – CEP: 13070-001

19 3213-2100

www.insignesoftware.com

4 4

Microcamp

Campinas

Av. Thomaz Alves, 20 – Centro – CEP: 13010-160

19 3236-1915

www.microcamp.com.br

PC2 Consultoria em Software Livre

Carapicuiba

Rua Edeia, 500 - CEP: 06350-080

11 3213-6388

www.pc2consultoria.com

4 4

http://www.linuxmagazine.com.br

4 4

Linux.local | SERVIÇOS

Empresa

Cidade

Endereço

Telefone

Web

1 2 3 4 5 6

São Paulo (continuação) Epopéia Informática

Marília

Rua Goiás, 392 – Bairro Cascata – CEP: 17509-140

Redentor

Osasco

Rua Costante Piovan, 150 – Jd. Três Montanhas – CEP: 06263-270 11 2106-9392

14 3413-1137

www.redentor.ind.br

Go-Global

Santana de Parnaíba

Av. Yojiro Takaoca, 4384, Ed. Shopping Service, Cj. 1013 – CEP: 06541-038

www.go-global.com.br

11 2173-4211

www.epopeia.com.br

4 4 4

AW2NET

Santo André

Rua Edson Soares, 59 – CEP: 09760-350

11 4990-0065

www.aw2net.com.br

Async Open Source

São Carlos

Rua Orlando Damiano, 2212 – CEP 13560-450

16 3376-0125

www.async.com.br

Delix Internet

São José do Rio Preto

Rua Voluntário de São Paulo, 3066 9º – Centro – CEP: 15015-909

11 4062-9889

www.delixhosting.com.br

2MI Tecnologia e Informação

São Paulo

Rua Franco Alfano, 262 – CEP: 5730-010

11 4203-3937

www.2mi.com.br

4Linux

São Paulo

Rua Teixeira da Silva, 660, 6º andar – CEP: 04002-031

11 2125-4747

www.4linux.com.br

4 4

4 4 4 4 4

4 4

4 4 4 4

A Casa do Linux

São Paulo

Al. Jaú, 490 – Jd. Paulista – CEP: 01420-000

11 3549-5151

www.acasadolinux.com.br

4 4

Accenture do Brasil Ltda.

São Paulo

Rua Alexandre Dumas, 2051 – Chácara Santo Antônio – CEP: 04717-004

11 5188-3000

www.accenture.com.br

4 4

ACR Informática

São Paulo

Rua Lincoln de Albuquerque, 65 – Perdizes – CEP: 05004-010

11 3873-1515

www.acrinformatica.com.br

Agit Informática

São Paulo

Rua Major Quedinho, 111, 5º andar, Cj. 508 Centro – CEP: 01050-030

11 3255-4945

www.agit.com.br

4 4

Altbit - Informática Comércio e Serviços LTDA.

São Paulo

Av. Francisco Matarazzo, 229, Cj. 57 – Água Branca – CEP 05001-000

11 3879-9390

www.altbit.com.br

AS2M -WPC Consultoria

São Paulo

Rua Três Rios, 131, Cj. 61A – Bom Retiro – CEP: 01123-001

11 3228-3709

www.wpc.com.br

Blanes

São Paulo

Rua André Ampére, 153 – 9º andar – Conj. 91 CEP: 04562-907 (próx. Av. L. C. Berrini)

11 5506-9677

www.blanes.com.br

4 4

4 4 4

4 4

Bull Ltda

São Paulo

Av. Angélica, 903 – CEP: 01227-901

11 3824-4700

www.bull.com

4 4

Commlogik do Brasil Ltda.

São Paulo

Av. das Nações Unidas, 13.797, Bloco II, 6º andar – Morumbi – CEP: 04794-000

11 5503-1011

www.commlogik.com.br

4 4 4

4 4

Computer Consulting Projeto e Consultoria Ltda.

São Paulo

Rua Caramuru, 417, Cj. 23 – Saúde – CEP: 04138-001

11 5071-7988

www.computerconsulting.com.br

4 4

Consist Consultoria, Sistemas e Representações Ltda.

São Paulo

Av. das Nações Unidas, 20.727 – CEP: 04795-100

11 5693-7210

www.consist.com.br

4 4 4 4

Domínio Tecnologia

São Paulo

Rua das Carnaubeiras, 98 – Metrô Conceição – CEP: 04343-080

11 5017-0040

www.dominiotecnologia.com.br

Ética Tecnologia

São Paulo

Rua Nova York, 945 – Brooklin – CEP:04560-002

11 5093-3025

www.etica.net

Getronics ICT Solutions and Services

São Paulo

Rua Verbo Divino, 1207 – CEP: 04719-002

11 5187-2700

www.getronics.com/br

Hewlett-Packard Brasil Ltda.

São Paulo

Av. das Nações Unidas, 12.901, 25º andar – CEP: 04578-000

11 5502-5000

www.hp.com.br

4 4 4 4

IBM Brasil Ltda.

São Paulo

Rua Tutóia, 1157 – CEP: 04007-900

0800-7074 837

www.br.ibm.com

4 4

iFractal

São Paulo

Rua Fiação da Saúde, 145, Conj. 66 – Saúde – CEP: 04144-020

11 5078-6618

www.ifractal.com.br

4 4

Integral

São Paulo

Rua Dr. Gentil Leite Martins, 295, 2º andar Jd. Prudência – CEP: 04648-001

11 5545-2600

www.integral.com.br

4 4 4 4

4 4

Itautec S.A.

São Paulo

Av. Paulista, 2028 – CEP: 01310-200

11 3543-5543

www.itautec.com.br

Komputer Informática

São Paulo

Av. João Pedro Cardoso, 39 2º andar – Cep.: 04335-000

11 5034-4191

www.komputer.com.br

Konsultex Informatica

São Paulo

Av. Dr. Guilherme Dumont Villares, 1410 6 andar, CEP: 05640-003

11 3773-9009

www.konsultex.com.br

Linux Komputer Informática

São Paulo

Av. Dr. Lino de Moraes Leme, 185 – CEP: 04360-001

11 5034-4191

www.komputer.com.br

4 4

Linux Mall

São Paulo

Rua Machado Bittencourt, 190, Cj. 2087 – CEP: 04044-001

11 5087-9441

www.linuxmall.com.br

Livraria Tempo Real

São Paulo

Al. Santos, 1202 – Cerqueira César – CEP: 01418-100

11 3266-2988

www.temporeal.com.br

Locasite Internet Service

São Paulo

Av. Brigadeiro Luiz Antonio, 2482, 3º andar – Centro – CEP: 01402-000

11 2121-4555

www.locasite.com.br

Microsiga

São Paulo

Av. Braz Leme, 1631 – CEP: 02511-000

11 3981-7200

www.microsiga.com.br

Locaweb

São Paulo

Av. Pres. Juscelino Kubitschek, 1.830 – Torre 4 Vila Nova Conceição – CEP: 04543-900

11 3544-0500

www.locaweb.com.br

Novatec Editora Ltda.

São Paulo

Rua Luis Antonio dos Santos, 110 – Santana – CEP: 02460-000

11 6979-0071

www.novateceditora.com.br

Novell América Latina

São Paulo

Rua Funchal, 418 – Vila Olímpia

11 3345-3900

www.novell.com/brasil

Oracle do Brasil Sistemas Ltda. São Paulo

Av. Alfredo Egídio de Souza Aranha, 100 – Bloco B – 5º andar – CEP: 04726-170

11 5189-3000

www.oracle.com.br

Proelbra Tecnologia Eletrônica Ltda.

São Paulo

Av. Rouxinol, 1.041, Cj. 204, 2º andar Moema – CEP: 04516-001

11 5052- 8044

www.proelbra.com.br

Provider

São Paulo

Av. Cardoso de Melo, 1450, 6º andar – Vila Olímpia – CEP: 04548-005

11 2165-6500

Red Hat Brasil

São Paulo

Av. Brigadeiro Faria Lima, 3900, Cj 81 8º andar Itaim Bibi – CEP: 04538-132

11 3529-6000

4 4

4 4 4 4 4 4 4

4 4 4

4 4

4 4 4 4 4

4 4 4 4

www.e-provider.com.br

4 4

www.redhat.com.br

4 4

Samurai Projetos Especiais

São Paulo

Rua Barão do Triunfo, 550, 6º andar – CEP: 04602-002

11 5097-3014

www.samurai.com.br

4 4

SAP Brasil

São Paulo

Av. das Nações Unidas, 11.541, 16º andar – CEP: 04578-000

11 5503-2400

www.sap.com.br

4 4

Savant Tecnologia

São Paulo

Av. Brig. Luis Antonio, 2344 cj 13 – Jd. Paulista – CEP:01402-000

11 2925-8724

www.savant.com.br

Simples Consultoria

São Paulo

Rua Mourato Coelho, 299, Cj. 02 Pinheiros – CEP: 05417-010

11 3898-2121

www.simplesconsultoria.com.br

4 4 4

4 4

Smart Solutions

São Paulo

Av. Jabaquara, 2940 cj 56 e 57

11 5052-5958

www.smart-tec.com.br

Snap IT

São Paulo

Rua João Gomes Junior, 131 – Jd. Bonfiglioli – CEP: 05299-000

11 3731-8008

www.snapit.com.br

4 4

Stefanini IT Solutions

São Paulo

Av. Brig. Faria Lima, 1355, 19º – Pinheiros – CEP: 01452-919

11 3039-2000

www.stefanini.com.br

4 4

Sybase Brasil

São Paulo

Av. Juscelino Kubitschek, 510, 9º andar Itaim Bibi – CEP: 04543-000 11 3046-7388

www.sybase.com.br

Unisys Brasil Ltda.

São Paulo

R. Alexandre Dumas 1658 – 6º, 7º e 8º andares – Chácara Santo Antônio – CEP: 04717-004

www.unisys.com.br

11 3305-7000

Utah

São Paulo

Av. Paulista, 925, 13º andar – Cerqueira César – CEP: 01311-916

11 3145-5888

www.utah.com.br

Webnow

São Paulo

Av. Nações Unidas, 12.995, 10º andar, Ed. Plaza Centenário – Chácara Itaim – CEP: 04578-000

11 5503-6510

www.webnow.com.br

4 4

WRL Informática Ltda.

São Paulo

Rua Santa Ifigênia, 211/213, Box 02– Centro – CEP: 01207-001

11 3362-1334

www.wrl.com.br

Systech

Taquaritinga

Rua São José, 1126 – Centro – Caixa Postal 71 – CEP: 15.900-000

16 3252-7308

www.systech-ltd.com.br

4 4

Linux Magazine #71 | Outubro de 2010

4 4

SERVIÇOS

Calendário de eventos

Índice de anunciantes

Evento

Data

Local

Informações

Empresa

Pág.

II COALTI

15 a 17 de outubro

Maceió, AL

www.lg.com.br/jornada/

Intelig

02,03

CNASI 2010

20 a 22 de outubro

São Paulo, SP

www.cnasi.com/

Python Brasil 6

21 a 23 de outubro

Curitiba, PR

www.pythonbrasil.org.br/

Futurecom 2010 SOLISC – Congresso Catarinense de Software Livre YAPC::Brasil 2010

Latinoware 2010

25 a 28 de outubro

22 e 23 de outubro

25 a 31 de outubro

10 a 12 de novembro

São Paulo, SP

Florianópolis, SC

Fortaleza, CE Foz do Iguaçu, PR

www.futurecom.com.br/

www.solisc.org.br/2010/

www.yapcbrasil.org.br/

www.latinoware.org/

Rede Host

Central Server

Uol Host

Watchguard

Othos

F13

Unodata

Impacta

Futurecom

Vectory

Bull

Latinoware

Nerdson – Os quadrinhos mensais da Linux Magazine

http://www.linuxmagazine.com.br

PREVIEW

Linux Magazine #72 Segurança em VoIP

Aprenda a melhorar a segurança de suas conexões VoIP, de forma a garantir a confidencialidade das informações que trafegam nas redes de voz sobre IP, o que atualmente é uma realidade e uma preocupação de diversas empresas. n

Asterisk de A a Z

Deseja instalar o Asterisk em sua empresa? Aprenda a instalá-lo, configurá-lo e aproveite todos os benefícios desta incrível ferramenta, onde a palavra de ordem é economia. n

Túneis de voz

O Protocolo de Inicialização de Sessão (SIP, do inglês Session Initiation Protocol) é uma das tecnologias mais populares para se efetivar conexões de voz sobre o protocolo IP. Por se tratar de um padrão aberto (IETF RFC 3261), é relativamente simples desenvolver aplicativos para esse protocolo. Quem usa o protocolo SIP para fazer chamadas VoIP encontra limitações, quando o software de telefonia IP do lado do cliente possui apenas um IP inválido por causa do uso de NAT. Os pacotes SIP contêm em sua área de dados informações sobre o endereço IP e a porta de comunicação, que o gateway responsável pela NAT não conhece. n

Ubuntu User #20 Firewall no Ubuntu

Aprenda a trabalhar com o firewall do Ubuntu, configurando-o da forma correta para manter o seu computador e seus dados sempre seguros. n

Ubuntu 10.10

Conheça os novos recursos do Ubuntu 10.10 Maverick Meerkat (suricato independente), que promete ter significativas mudanças na interface gráfica, totalmente redesenhada. Inicialização mais rápida, navegador mais rápido e experiência web mais leve e veloz são as novidades anunciadas para esta versão. n 82

http://www.linuxmagazine.com.br