Aurelio A. Heckert: Women's power no projeto Noosfero

Larry Cafiero, publicou ontem em seu blog o artigo "2011: The Year of Women in FOSS" (2011: O Ano da Mulher no Software Livre e Aberto). Nesse texto ele chama a atenção para o fato de que existem mais do que apenas caras barbudos no movimento de Software Livre, que as garotas são uma parcela já notável e que elas estão galgando posições de importância na comunidade.

Claro que a comunidade como um todo não se reúne e decide qual será o tema do ano, como faz a ONU e o Vaticano, mas é comum que alguns membros percebam tendências e tentem prever o que acontecerá de notável no movimento em tal ano. O interessante é que, seguindo essa boa tendência, o poder feminino acaba de crescer no projeto Noosfero com a passagem do bastão de Release Manager de Antonio Terceiro para Daniela Feitosa. É importante destacar também que Keilla Menezes voltou a integrar a Colivre e foi diretamante alocada no time de desenvolvimento do Noosfero, reforçando a presença feminina.

Ainda ha muito sexismo a ser vencido e muitos passos a serem dados, para que homens e mulheres tenham as mesmas chances e uma representatividade mais equilibrada nas diferentes atividades humanas. Isso faz a Colivre ainda mais orgulhosa por participar ativamente deste processo (longo, mas consistente) de redução do sexismo e fortalecimento da mulher.

Claro que agora você deve ter algum interesse de conhecer nossa manda-chuva, então pode segui-la no micro-blog livre identi.ca. ;-)

Lucas Almeida Rocha: Micro Commits

Branches by Andrew Storms (CC-BY-SA)

It’s been a few years since I became a full-time git user both at work and in the FLOSS projects I contribute to. I guess there’s no need to argue in favour of git at this point as it has become a sort of given on any sane software project—along with some other DVCS. I can’t really remember anymore how my life with Subversion was. Sad, I guess…

One of my favourite cultural shifts in software development brought by DVCS is the use of micro commits. JP has just blogged about it. Here are what I consider the most useful benefits of micro commits.

Tell a story. When you send one huge patch implementing a feature or fixing a bug, you’re completely hiding the incremental process through which you reached your final solution. On the other hand, a well written series of micro commits tell the reviewers the whole story of your code changes, step by step.

Discipline. If you want to tell a coherent story with your commits, you obviously need to organize them properly. Each commit should be a self-contained step towards the new feature or bug fix. Writing good patch series requires quite a bit of practice. It’s a very good exercise in terms of splitting a complex solution into a well-defined sequence of code changes—leading to more disciplined development practices.

Better code reviews. Because micro commits are, well, small, they are much easier to review because they do only one thing at a time. You get better code reviews as a consequence because the patches tend to contain no unrelated code changes.

Bisect and cherry-pick. Huge commits makes bisect and cherry-pick close to useless. And you don’t want that! Micro commits make it much easier to spot what caused a regression. Plus, they make it very easy to cherry-pick commits from one branch to another.

Git makes it utterly simple to move, split, squash, reorder, and remove commits providing the best ways to write good series of micro commits. It allows you to look like the perfect developer to the outside world by incrementally fixing your commits before submitting your patches for review. If you’re not micro-committing yet, you should.

Lucas Almeida Rocha: Selection in The Board

Selected Elements

Since I started dogfooding The Board on a daily basis, it became clear to me that not having a simple way to arrange multiple elements in the page is quite annoying. If you wanted to arrange multiple elements in a specific area of the page, you’d end up having to move each element separately, one by one. Argh! This is why I decided to focus on an initial set of features targeting this specific issue for the upcoming release.

You can now select, move, align, distribute, and remove multiple elements in a page. Click on the image above to see a video demonstrating the new features. Selection can done in three ways: the usual dragging from background to start selecting a region of the page, Ctrl+clicking on elements, or using Ctrl+A to select all elements in the page.

Once more than one element is selected, a context toolbar slides in presenting all available operations for the selection. I’m following the same obviousness, clarity, and consistency principles I’ve discussed before. The available operations for any app state are always visible and easily accessible. No need to dig around to find out what to do.

As usual, feedback on the design decisions are more than welcome. So, what’s next? I’ll be fixing a few critical bugs and then roll a new release. I’ve been pestering distro guys to create packages for The Board. I’ll hopefully be announcing the next release with links to distro packages.

Alexandro Silva: LAMP++ – Implementando um servidor LAMP seguro

Vocês devem estar achando que fiquei maluco, porque postar um assunto tão batido?

Calma!

O objetivo deste post é apresentar todo o processo de implantação de um servidor LAMP seguro de forma rápida e prática. Veremos quais são os pacotes necessários, como fazer o hardening, tunning, monitoramento e segurança.

Não irei detalhar cada fase do processo, quando necessário irei adicionar links com maiores informações.

Instalação dos pacotes

aptitude install apache2 apache2-mpm-prefork apache2-utils apache2.2-common binutils build-essential ca-certificates curl dbconfig-common defoma dpkg-dev fontconfig-config gawk javascript-common libapache2-mod-php5 libapr1 libaprutil1 libc6-dev libcurl3 libdbd-mysql-perl libdbi-perl libexpat1 libfontconfig1 libfreetype6 libgd2-xpm libgmp3c2 libgomp1 libhtml-template-perl libio-multiplex-perl libjpeg62 libjs-jquery libmpfr1ldbl libmysqlclient15off libnet-cidr-perl libnet-daemon-perl libnet-server-perl libnet-snmp-perl libplrpc-perl libpng12-0 libpq5 libssh2-1 libstdc++6-4.3-dev libt1-5 libtalloc1 libterm-readkey-perl libtimedate-perl libwbclient0 libxpm4 munin-node mysql-server mysql-common openssl openssl-blacklist php5 php5-common php5-gd php5-mysql php5-suhosin psmisc ssl-cert ttf-dejavu ttf-dejavu-core ttf-dejavu-extra wwwconfig-common libwww-perl htop sudo

Hardening e Tunning do Apache

Edite os seguintes parâmetros do arquivo /etc/apache2/conf.d/security

Server Tokens

De
ServerTokens Full

Para
ServerTokens Prod

ServerSignature

De
ServerSignature On

Para
ServerSignature Off

TraceEnable

De
TraceEnable On

Para
TraceEnable Off

Nos arquivos de configuração em /etc/apache2/sites-available/ edite a linha Document / deixando da seguinte forma:

Order Deny,Allow
Deny from All
Options FollowSymLinks
AllowOverride None

Habilite o server-status para adquirir estatísticas do Apache2

Crie o arquivo server-status em /etc/apache2/conf.d/ com o seguinte conteúdo:

SetHandler server-status
Deny from all
Allow from localhost

Adicione a seguinte linha no final do arquivo /etc/apache2/apache2.conf

ExtendedStatus On

Habilite o módulo info

a2enmod info

Habilite o SSL

Para habilitar o SSL acesse AQUI

Tunning do Apache

As configurações de tunning do Apache2 estão totalmente ligadas a quantidade de recursos ( CPU, memória e banda ) disponíveis:

Por exemplo para um servidor QuadCore com 8 GB e um link de 5Mb eu recomendo a seguinte configuração:

StartServers 5
MinSpareServers 5
MaxSpareServers 10
ServerLimit 1000
MaxClients 1000
MaxRequestsPerChild 0

Descrição de cada diretiva:

StartServers – Configura o número de processos filhos criados na inicialização ( Recomendado deixar o valor padrão )

MinSpareServers – Número minimo de processos que não manipulam requisições. ( Recomendado deixar o valor padrão )

MaxSpareServers – Número máximo de processos que não manipulam requisições. ( Recomendado deixar o valor padrão )

ServerLimit – Valor máximo da diretiva MaxClients. ( Deve ser igual ou superior ao MaxClients )

MaxClients – Número máximo de conexões simultâneas. ( Varia de acordo com os recursos disponíveis )

MaxRequestsPerChild – Limite de requesições que um processo filho poderá manipular. ( 0 siginifica ilmitado )

Dica Importante: Para testes de benchmark do Apache2 recomendo o uso do AB ( Apache Benchmark )

Hardening e Tuninng do MySQL

Execute o seguinte comando e siga os passos recomendados:

/usr/bin/mysql_secure_installation

Enter current password for root (enter for none): Informe a senha do root do mysql ou pressione ENTER se a senha ainda não foi configurada

Change the root password? [Y/n] Pressine ENTER para criar uma nova senha

Remove anonymous users? [Y/n] Pressione ENTER

Disallow root login remotely? [Y/n] Pressione ENTER

Remove test database and access to it? [Y/n] Pressione ENTER

Reload privilege tables now? [Y/n] Pressione ENTER

MySQL Tunning

Para o tunning recomendo o uso do MySQL Performance Tuning Primer Script .

Dica Importante: O uso desta ferrramenta é recomendado após 48 horas de uso do banco permitindo que o script detecte os valores corretos para o tunning do banco.

Este script validará os parâmetros do arquivo my.cnf e criará um novo arquivo com as alterações recomendadas.

Hardening do PHP

Para ampliar a segurança do PHP recomendo o uso do Suhosin , o Debian implementa ele por padrão. Além do suhosin é necessário desabilitar os seguintes parâmetros do arquivo /etc/php5/apache2/php.ini:

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = Off

Segurança e Manutenção do S.O.

Desabilite o exim4

invoke-rc.d exim4 stop

update-rc.d exim4 remove

Hardening do SSH

Modifique as seguintes linhas do arquivo /etc/ssh/sshd_config:

Port 22

para por exemplo

Port 3000

PermitRootLogin yes

para

PermitRootLogin no

Limite o uso do sudo somente para o grupo admin

Crie o grupo admin

addgroup admin

Adicione seu usuário nesse grupo

adduser alexos admin

Configure o sudo adicionando a seguinte linha

%admin ALL=(ALL) ALL

Desabilite o usuário root

usermod -L root

Dica Importante: Para manter o sistema operacional e os aplicativos atualizados recomendo o uso do Cron-apt.

Monitoramento de performance

Para montitorar a performance do servidor e dos serviços recomendo o uso do Munin , você encontrará como instalar e configurar o Munin AQUI.

Agora vou apresentar como configurar o Munin para monitorar o Apache.

Com o server-status funcionando habilite os plugins do Apache

cd /etc/munin/plugins

ln -s /usr/share/munin/plugins/apache_processes apache_processes

ln -s /usr/share/munin/plugins/apache_accesses apache_accesses

Feito isso é necessário editar o arquivo /etc/munin/plugin-conf.d/munin-node e informar o usuário com permissão de acesso as informações do apache, no caso do Debian este usuário é o www-data.

vim /etc/munin/plugin-conf.d/munin-node

[apache2]
user www-data

E para finalizar implemente uma camada a mais de segurança. Recomendo fortemente o uso do Ossec Hids e de um pequeno script de firewall.

A instalação e configuração do Ossec Hids você encontrará AQUI .

OBS Importante: Durante a instalação do Ossec opte pela instalação local ao invés do server, assim a instalação será standalone.

Script de Firewall

Crie um arquivo /etc/init.d/firewall.sh com o seguinte conteúdo:

#!/bin/bash

# Server firewall

# Alexandro Silva
# April 27th ’2010

PATH=/bin:/usr/bin:/sbin:/usr/sbin

TCPOK=”123 80 443″
UDPOK=”53″

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#Drop incoming malformed NULL packets
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP

#Drop incoming malformed XMAS packets
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP

#Syn flood protection
iptables -A INPUT -p tcp –syn -m limit –limit 1/s –limit-burst 3 -j RETURN

#Drop incoming ping request
iptables -A INPUT -p icmp –icmp-type echo-request -j DROP

iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j LOG -i ! lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -j DROP -i ! lo -s 127.0.0.1/255.0.0.0

iptables -A OUTPUT -j ACCEPT -o lo

# Permit SSH in the 3000 port
iptables -A INPUT -s 0.0.0.0 -p tcp –dport 3000 -j ACCEPT

# Permit access in some TCP ports
for PORTA in $TCPOK
do
iptables -A INPUT -p tcp –dport $PORTA -j ACCEPT
done

# Permit access in some UDP ports
for PORTA in $UDPOK
do
iptables -A INPUT -p udp –dport $PORTA -j ACCEPT
done

# Drop other entering connections checking the state
iptables -A INPUT -m state –state ! ESTABLISHED,RELATED -j DROP

iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT

Se desejar faça o download do script AQUI

Adcione esse script na inicialização do sistema

update-rc.d firewall.sh defaults

Testando a segurança do servidor

Após a conclusão de todos estes passos use as seguintes ferramentas para scanear o servidor e validar todo o trabalho

W3af

Nikto

Netsparker

Conclusão

No que tange a segurança dos servidores LAMP venho tendo bastante sucesso seguindo estes passos. Sei que existem outras implementações tão melhores quanto essa, porém aqui sigo boas práticas e faço uso de poucas ferramentas tornando sua aplicabilidade rápida, simples e de fácil gerência.

Fábio Nogueira: Nosso Planeta!

Não… não é o nosso planeta terra que eu vos falo. E sim do nosso Planeta Ubuntu Brasil!
Com mais de 4.000 seguidores no Twitter, chegou a vez de invadir o Facebook.
Divulguem, façam panfletagem, repassem para todos!! Clique nos ícones abaixo e faça do nosso Planeta, o mais reconhecido na web.

Rafael Gomes: Campus Party 2011 lá vou eu!

Atenção pessoal!

Sei que já faz um tempo que não escrevo nada, mas mudanças de emprego, pós graduação e outras coisinhas mais tem tomado boa parte do meu tempo.

Fui convidado para participar da organização da área Software Livre da Campus Party 2011, sou responsável pela Lan Livre e irei também ministrar a oficina “Contribua com seu primeiro projeto de Software Livre – HnTool” junto com meu amigo Aurium.

Esse evento promete! Serão quase sete dias de pura imersão no mundo nerd/geek/gamer/devel/colaborativo e vocês acompanharão toda essa minha “saga” aqui no blog.

Fiquem ligados e aguardem novidades!

Gabriel "Pnordico" Menezes: [GentooBR] Remoção da documentação oficial do Gentoo em Português do Brasil

Pra quem não sabe, já tem alguns anos que a documentação em pt_BR do Gentoo não é atualizada. Ainda que tenham surgido esforços diversos, inclusive do próprio GentooBR, em manter essa documentação sincronizada com a principal, em inglês, esbarramos na dificuldade de conseguir voluntários (tradutores, revisores), ficando o projeto limitado a poucas pessoas, até atingir um ritmo de quase estagnação, apesar de uma certa quantidade de páginas inteiras já terem sido concluídas.

Segue o comunicado publicado no GentooBR:

“A documentação do Gentoo em Português do Brasil encontra-se totalmente desatualizada (as últimas atualizações ocorreram em 2006). Esta falta de atualização tem causado problemas para iniciantes, que acabam por utilizar a documentação desatualizada por falta de informação.

Não existe mão-de-obra suficiente para sincronizar a documentação em Português do Brasil com a documentação em Inglês, nem uma grande quantidade de usuários dependendo dela, ao que parece. Portanto será solicitda a remoção completa do material em Português do Brasil disponível no site oficial do Gentoo.

Caso alguém deseje trabalhar na atualização, entre em contato conosco o quanto antes.  A remoção ainda não foi solicitada.

Infelizmente não existe justificativa para manter documentação desatualizada disponível para os usuários, e isto pode ser percebido facilmente através dos problemas reportados diariamente nos canais de comunicação, como os canais IRC.

Agradecemos a compreensão de todos.”

De todo modo, com certo pesar, devo concordar. Não é viável manter disponível uma documentação defasada, que terá maior chance de ser maléfica do que benéfica, onerando os canais de suporte aos usuários. Mas é uma pena.