Ambos comandos adicionam regras no firewall, e a diferença é a ordem em que essas são incluídas:

• -I : Insere regras no topo das já existentes (Insert)
• -A : Adiciona regras abaixo das já existentes (Append)

Isto responderia a pergunta de forma resumida, mas para saber o que isso significa, continue lendo!

É importante conhecer a forma de processamento das regras do iptables quando vamos decidir se queremos uma nova regra no topo ou no final das já existentes. O IPTables realiza a comparação com as regras de cima para baixo e assim que um pacote atinge os critérios de uma regra a ação dela é aplicada e o pacote não passará pelas de baixo.

Portanto, se temos as seguintes regras na tabela INPUT:

# iptables -nvL
Chain INPUT (policy DROP 12078 packets, 1298K bytes)
pkts bytes target     prot opt in     out     source               destination         
57  6228 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
147K  144M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
69  4140 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW /* SSH Server */

Um pacote TCP, iniciando uma nova conexão, com destino a porta 22 passará pelas seguintes fases:

1. NÃO será aplicada a primeira regra (aceitar todas conexões na interface de loopback)
2. NÃO será aplicada a segunda regra (aceitar todas conexões já estabelecidas e relacionadas a estas)
3. SERÁ APLICADA a terceira regra ( aceitar conexões TCP, novas, com destino a porta 22)

O processamento do pacote irá parar neste ponto. É importante lembrar que, caso os pacotes não sejam processados por nenhuma das regras a política padrão da tabela será aplica (no caso do exemplo acima, DROP). Então, um pacote tcp com destino a porta 80, iniciando uma nova conexão, seria processado da seguinte maneira:

1. NÃO será aplicada a primeira regra (aceitar todas conexões na interface de loopback)
2. NÃO será aplicada a segunda regra (aceitar todas conexões já estabelecidas e relacionadas a estas)
3. NÃO será aplicada a terceira regra (aceitar conexões TCP, novas, com destino a porta 22)
4. A política padrão será aplicada neste pacote (DROP)

Vamos agora adicionar mais uma regra:

# iptables -A INPUT -p tcp --dport 80 -j REJECT

Após aplicar esta regra nosso firewall ficaria da seguinte forma:

# iptables -nvL
Chain INPUT (policy DROP 12078 packets, 1298K bytes)
pkts bytes target     prot opt in     out     source               destination         
57  6228 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
147K  144M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
69  4140 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW /* SSH Server */
0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 reject-with icmp-port-unreachable

Agora o pacote tcp com destino à porta 80 não seria mais descartado devido a política padrão da tabela, e sim rejeitado. A diferença entre o DROP e o REJECT é que o REJECT envia uma mensagem de erro utilizando o protocolo ICMP para informar que a conexão foi recusada. Um reject produz um erro de “conexão recusada (connection refused)” enquanto um drop produz um erro de timeout (connection timeout).

O processamento do pacote, neste caso, seria o seguinte:

1. NÃO será aplicada a primeira regra (aceitar todas conexões na interface de loopback)
2. NÃO será aplicada a segunda regra (aceitar todas conexões já estabelecidas e relacionadas a estas)
3. NÃO será aplicada a terceira regra (aceitar conexões TCP, novas, com destino a porta 22)
4. SERÁ APLICADA a quarta regra (REJECT)

Vamos supor agora que desejamos aceitar conexões TCP novas e já estabelecidas na porta 80 mas ainda queremos rejeitar ativamente pacotes em outros estados. Para isso seria necessário adicionar a regra ANTES do REJECT. Portanto:

# iptables -I INPUT -p tcp --dport 80 -m state --state new -j ACCEPT

Isso vai fazer com que nossa tabela INPUT fique da seguinte forma:

# iptables -nvL
Chain INPUT (policy DROP 12078 packets, 1298K bytes)
pkts bytes target     prot opt in     out     source               destination         
0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW
57  6228 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
147K  144M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
69  4140 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW /* SSH Server */
0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 reject-with icmp-port-unreachable

Neste caso um pacote novo com destino à porta 80 seria processado da seguinte forma:

1. SERÁ APLICADA a primeira regra (aceitar todas conexões TCP novas com destino a porta 80 )

O restante das regras seriam ignoradas. Após o estabelecimento das conexões novas as conexões já existentes seriam aceitas pela terceira regra. Outros tipos de conexão com destino a porta 80 seriam rejeitadas pela última regra.

Caso tenha algum problema ou sugestão, deixe seu comentário aqui

extension_methods REPORT MERGE MKACTIVITY CHECKOUT

Após adicionar esta linha basta fazer um reload ou reiniciar o serviço, e deve ser possível utilizar os repositórios normalmente.

Esta é uma função em perl que recebe como parâmetros o nome de usuário, senha antiga e a nova senha e realiza a alteração, retornando 0 (zero) em caso de sucesso. Para utiliza-la em seu programa basta fazer as alterações relativas ao seu ambiente. A alteração de senhas por esse script é feita através do protocolo LDAP sobre SSL, o que torna a passagem de informações segura entre o cliente e servidor.

#!/usr/bin/perl -w
use strict;
use warnings;
use Net::LDAPS;

#####################################################################
# Altera senha de um usuário em um servidor AD utilizando LDAPS     #
# Deve ser chamada da seguinte forma:                               #
#                                                                   #
# changeAdPass [usuario] [senha atual] [senha nova]                 #
#                                                                   #
# Autor: Diego Lima (diego@diegolima.org)                           #
#####################################################################
sub changeAdPass
{

	# Paremetros de usuario
	my $user_dn;
	my $user_name    = shift;
	my $user_pass    = shift;
	my $user_newpass = shift;
	my $uniuser_pass;
	my $uniuser_newpass;
	my $user_domain = 'diegolima.org';                            # Dominio

	# Parametros do servidor e diretorio
	my $ad_server         = '172.16.32.69';                       # Servidor AD
	my $ad_port           = '636';                                # Porta LDAPS
	my $directory_base_dn = 'ou=usuarios,dc=diegolima,dc=org';
	my $directory_scope   = 'sub';
	my $directory_filter  = "(samaccountname=$user_name)";
	my $directory_uid     = "dn=$user_name,$directory_base_dn";

	# Cria a conexao com o servidor
	my $ldap_server = Net::LDAPS->new(
									   "$ad_server",
									   port    => "$ad_port",
									   version => 3
	  )
	  or warn("Erro conectando ao servidor $ad_server - $!\n")
	  and return (1);

	# Se autentica utilizando as credenciais do usuario
	my $ldap_result =
	  $ldap_server->bind( "$user_domain\\$user_name", password => "$user_pass" )
	  or warn("Erro ao realizar bind como $user_domain\\$user_name $!\n")
	  and return (1);

	if ( $ldap_result->code )
	{
		warn(   "Erro tentando se autenticar como $user_domain\\$user_name - "
			  . $ldap_result->code
			  . "\n" )
		  and return ( $ldap_result->code );
	}

	# Busca o usuário no diretorio
	$ldap_result = $ldap_server->search(
										 base   => "$directory_base_dn",
										 scope  => "$directory_scope",
										 filter => "$directory_filter"
	  )
	  or warn("Erro ao realizar buscar $directory_filter - $!\n")
	  and return (1);

	if ( $ldap_result->code )
	{
		warn("$directory_filter não encontrado - $! \n") and return (1);
	} else
	{

		# Apenas um usuário deve ser alterado
		if ( $ldap_result->count != 1 )
		{

			# Mais de um usuario foi encontrado para a busca utilizada
			warn( $ldap_result->count
				  . " resultados encontrados. Quantidade esperada: 1\n" )
			  and return (1);
		} else
		{
			map { $uniuser_pass .= "$_\000" } split( //, "\"$user_pass\"" );
			map { $uniuser_newpass .= "$_\000" }
			  split( //, "\"$user_newpass\"" );

			# Recuperar o DN correto do usuario
			$user_dn = $ldap_result->entry(0)->dn;

			# Altera a senha do usuário (remove a antiga e adiciona a nova)
			$ldap_result =
			  $ldap_server->modify(
								"$user_dn",
								changes => [
									delete => [ 'unicodePwd' => $uniuser_pass ],
									add => [ 'unicodePwd' => $uniuser_newpass ]
								]
			  )
			  or warn("Erro modificando entrada unicodePwd de $user_dn - $! \n")
			  and return (1);

			# Verificar o resultado da operacao de modificacao
			if ( $ldap_result->code != 0 )
			{

				# Erro ao alterar a senha. Retornar o codigo do erro
				warn(   "Erro ao alterar senha de $user_dn - "
					  . $ldap_result->code
					  . "\n" )
				  and return ( $ldap_result->code );
			}
		}
	}

	# Desconectar do servidor
	$ldap_server->unbind;
	$ldap_server->disconnect();

	return (0);
}

[ wave id="WaveID" ]

Para obter o WaveID você pode adicionar o contato “embeddy@appspot.com” na sua lista de contatos e então adicioná-lo ao Wave. Ele vai informar o ID do wave a ser utilizado. O deste wave, por exemplo, é googlewave.com!w+jEI49nBOC

O resultado será o seguinte:

[wave id="googlewave.com!w+jEI49nBOC"]

Minhas dúvidas no momento:

1. Como disponibilizar o Wave (somente leitura) para todos usuários do Google Wave? (atualmente apenas os participantes da Wave verão corretamente)
2. Como disponibilizar um Wave para que todos usuários do Google Wave possam participar (leitura e edição)?
   Para isso basta adicionar o usuário public@a.gwave.com na sua lista de contatos e então ao seu wave.

/home/diego/open_mailto.sh ffwindow %s

Pronto! Agora quando voce clicar em um link de email (mailto://) uma janela do firefox com o gmail irá aparecer. Caso você prefira abrir uma aba em uma janela existente do firefox, basta substituir “ffwindow” por  “fftab” no comando acima. Caso prefire usar o opera, substitua “ffwindow” por “opera”.

Para quem prefere fazer tudo pelo terminal:

1. wget http://www.diegolima.org/wordpress/wp-content/uploads/2009/08/open_mailto.sh
2. chmod +x open_mailto.sh
3. vi ~/.gconf/desktop/gnome/url-handlers/mailto/%gconf.xml
4. Altere o valor entre <stringvalue> e </stringvalue> para /home/diego/open_mailto.sh ffwindow %s. Troque /home/diego pelo seu home, salve e saia.

O script original foi modificado por mim para suportar o opera e a seleçao do método de abertura do gmail por parâmetros. O script original (e o artigo que me levou a criar este post) pode ser encontrado em: How-To Geek

1. “O Kaspersky Anti-Virus2009 foi o que obteve o melhor resultado, detectando mais de dez mil programas nocivos nos seis mil arquivos. A página de estatística é outro destaque do programa, com gráficos mostrando as ameaças em detalhes.”
   ⠀
   Se foram colocados 6 mil vírus diferentes (como o texto explicando como o teste foi feito dá a entender), como foram detectados 10 mil problemas?  Podemos entender duas coisas: ou haviam arquivos infectados por mais de um tipo de virus (e espero que esse seja o caso) ou houve falsos positivos. E falsos postivos não tornam um antivirus melhor.
   ⠀
2. Entre os pacotes gratuitos, quem leva a Escolha INFO é o AVG Free Edition 8.0, com sua nova interface que permite ver todos os recursos diretamente no menu principal. Ponto para a empresa tcheca, que conseguiu se livrar do visual antigo e pobre.
   ⠀
   Pergunta: Como você escolhe seu antivirus? Aquele que é mais bonitinho ou o que detecta mais virus?
   Resposta: É óbvio que aquele que detecta mais virus. Certo?
   ERRADO. A taxa de detecção do AVG nem sequer foi mencionada. Aparentemente ele não ter mais o visual pobre de antes é mais que o suficiente para relevar qualquer dado relativo a seu funcionamento.
   ⠀
3. Uma boa surpresa em nossos testes foi perceber que o Norton 2009 ficou mais ágil e objetivo. A nova versão do software da Symantec ficou mais leve e também ganhou um belo upgrade na interface. Destaque também para a boa defesa dos usuários na web.
   ⠀
   Certo. Novamente a interface mais bela. E quanto à eficiência da detecção? Caso alguém tenha alguma dúvida: o objetivo do antivirus é… detectar virus! Para enfeitar nosso desktop temos nossos papéis de parede. E applets. E o compiz.
   ⠀
4. Um dos mais completos antivírus continua sendo o McAfee VirusScan. O firewall e o bloqueio a sites perigosos funcionam muito bem, e a taxa de detecção do programa é das mais altas: ele desalojou mais de 9 mil executáveis maliciosos.
   ⠀
   Supondo que existam agora 10 mil, e não mais 6 mil, virus isso significa que ele ficou abaixo do Kaspersky, no mínimo. E não fazemos idéia de como ele se compara aos anteriores. Pelo menos sabemos que o firewall funciona, mesmo não sendo esse o foco da comparação.
   ⠀
5. Agora, se a intenção for apostar num software simples e gratuito, que dá mais importância para a leveza, pode ser uma boa experimentar o Avira AntiVir Personal. Ele tem interface espartana, mas identificou 100% das ameaças jogadas no micro.
   ⠀
   É claro que ele não é o melhor, pois apesar de ter identificado 100% das ameaças (em outras palavras, tendo desempenho superior ou ao menos igual ao do Kaspersky que foi eleito como O antivirus) ele tem uma interface espartana. E é leve. Obviamente para ser o melhor ele não precisava de uma detecção tão alta, só precisava ser mais bonito. Como não perceberam isso?
   ⠀
6. Por fim, testamos também o NOD32, desenvolvido pela ESET, um antivírus que se destacou pela velocidade na varredura. Ele demorou apenas 29,5 minutos para correr atrás das pragas num sistema com apenas o Windows Vista instalado.
   ⠀
   Sim, claro! Destaque para a velocidade, novamente sem levar em consideração quantas “pragas” foram detectadas. E, falando em velocidade, não vi nenhuma menção a quanto tempo os outros levaram.
   ⠀

E por fim… esse é o fim. Termina assim, depois de falar bem de todos os antivirus testados, elogiando seus pontos altos (alguns deles bem duvidosos) e mostrando uma tabela comparativa sem mostrar uma comparação entre eles ou sequer dar notas. Não sabemos quantos virus cada um detectou (apesar de sabermos que o Avira detectou 100% deles). Não sabemos nem sequer quantos virus haviam ao certo.

Entendo que a matéria tem como público-alvo uma platéia composta grande parte por leigos, mas creio que isso torna ainda mais importante que cada solução seja analisada cuidadosamente. O que eu vi foi um festival do tipo “sorria e acene pois todos são bons produtos” e não uma matéria séria que vai servir como guia para os leitores – que é justamente o que eles procuram. Os leigos, lendo uma matéria de uma revista “conceituada” em informática, vão acreditar que aquilo é o certo.

E, sinceramente… nada ali está certo.

⠀

Para que eu quero ingressar minha máquina Linux em um domínio do Windows?

A primeira razão é que você poderá acessar o Linux com os usuários do AD. Isso permite que você utilize a estrutura de usuários já presente com o seu Linux, sem necessidade de ficar microgerenciando as estações. A segunda é utilizar os serviços que estão integrados com o AD (single sign on).

⠀

Instalação e Configuração

Instalar o likewise-open e utilizá-lo para ingressar no domínio é simples e tudo estará pronto após 5 passos:

1. $ sudo apt-get update && sudo apt-get install likewise-open
2. $ sudo domainjoin-cli join nome.do.dominio.windows Administrador
3. Coloque a senha do administrador do domínio quando solicitado
4. $ sudo /etc/init.d/likewise-open restart
5. Faça logoff.

Agora você deverá poder acessar a máquina com um usuário do AD. A única nota é que você TEM que utilizar o usuário neste formato:

nome.do.dominio.windows\usuario

Por exemplo, meu domínio para testes é o sprawl.diegolima.org, então para acessar eu utilizo:

sprawl\diego

⠀

Utilizando a Interface Gráfica para Ingressar no Domínio

Se você prefere usar a interface gráfica para ingressar no domínio basta fazer o seguinte:

• $ sudo apt-get install likewise-open5-gui
• $ sudo domainjoin-gui
• Siga as instruções na tela

⠀
⠀

Problemas Possíveis

Problema: Error: Lsass Error [code 0x00080047] Failed to lookup the domain controller for given domain
Solução: Provavelmente seu computador não está utilizando o servidor AD como seu servidor DNS. Edite seu arquivo /etc/resolv.conf e se assegure que seu primeiro nameserver contém o ip do servidor windows controlador do domínio.
Solução: O firewall do controlador de domínio está bloqueando conexões de DNS ou para a porta 123 UDP. Verifique as configurações do firewall do controlador de domínio.

Problema: Error: Manual configuration required [code 0x00080043] The configuration stage 'open ports to DC' cannot be completed automatically.
Solução: Algumas portas do controlador de domínio estão sendo bloqueadas por um firewall. Verifique o firewall do controlador e se assegure que as portas necessárias estão abertas. A lista das portas que não puderam ser alcançadas será exibida no final da mensagem de erro.

Problema: Error: Lsass Error [code 0x00080047] The password is incorrect for the given username
Solução: A senha do administrador do domínio está incorreta. Opcionalmente o usuário administrador não se chama "Administrador". No windows em inglês o nome será "Administrator" por padrão, enquanto que no windows em português este se chama "Administrador".

⠀

Instalação no Debian e Outras Distros

Infelizmente os pacotes estão somente presentes nos repositórios do Ubuntu e não do Debian. Porém você pode baixar os arquivos necessários neste link: http://www.likewise.com/community/index.php/download/

Estão disponíveis pacotes para Debian, Fedora Core, SuSE, RedHat, Ubuntu e Freebsd.

⠀

Créditos Onde São Aplicáveis

Eu descobri o likewise-open neste blog: http://www.bauer-power.net/2008/05/join-ubuntu-804-to-windows-domain.html
Todo o restante (adaptações, interface gráfica e erros comuns) foram redigidos por mim depois de alguma tentativa e erro.
Nenhum hamster foi ferido durante a redação deste artigo.

ssh-keygen -e

Você será perguntado quanto à localização de sua chave privada, e após confirmar a localização a chave pública será mostrada. Ele irá gerar uma chave pública no padráo do RFC 4716, que precisa ser “convertida” para o formato do ssh antes de ser utilizada. Para fazer isso, copie e salve esta chave em um arquivo qualquer (por exemplo, /tmp/foo).

Em seguida, faça isso:

ssh-keygen -i

E informe o caminho do arquivo em que você salvou a chave gerada. Ele irá então informar o fingerprint da chave pública, que poderá ser adicionado no authorized_hosts para a autenticação.